已解决: 回复： ISE2.7如何加载商用SSL证书（阿里云中申请了一个证书，ISE传上去报告不能传马？）

angel9999 · ‎03-15-2023

ISE2.7如何加载商用SSL证书（阿里云中申请了一个证书，ISE传上去报告不能传马？）

ilay · ‎03-16-2023

在CLI里面看你设置的domain-name，比如你的主机名是ise，domain name是abc.com那么FQDN就是ise.abc.com，修改ise主机名和domain name都会影响FQDN

ilay · ‎03-15-2023

正常情况下导入一个证书，需要先将改证书的根证书，中级ca的证书导入到ise的trusted certificates中，直接导入证书文件会报证书路径验证错误“Certificate path validation failed. Make sure required Certificate Chain is imported under Trusted Certificates.”。只需将需要导入证书的根证书和中级ca导入即可解决

解决办法：

1.用记事本或其他文本编辑器打开证书文件（阿里云下载nginx适配的格式即可），可以看到由"BEGIN CERTIFICATE"和"END CERTIFICATE"组成的几个文本块，从上到下依次是服务器证书文件-中级ca证书-根ca证书(按照证书路径的倒序排列的）

-----BEGIN CERTIFICATE-----

your server certificate

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

中级ca证书//中级证书可以有多个

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

根ca证书

-----END CERTIFICATE-----

-----

2. 将每个ca证书（中级ca和根ca）的文本块复制到新的文件，然后另存为一个文件，文件后缀可以是txt，pem，cer，crt等等

3. 在ise上选择administration-system-certificates点击Trusted Certificates，然后按先根ca，后中级ca的顺序依次导入证书文件，

4. 点击System Certificates，再次导入你的服务器证书文件即可。

===================

以阿里云免费证书为例，“Trusted Certificates”中是没有“Encryption Everywhere DV TLS CA - G1”（下图1）这个中级ca，“DigiCert Global Root CA”根ca ISE已经内置了，此时需要将中级ca证书（下图2）单独另存，然后导入到“Trusted Certificates”即可完善证书链

如果是其他颁发机构签发的证书，操作方法基本类似

#图1

#图2

附1:中级证书及根ca的另一种导出形式

将证书文件扩展名改为.crt或者cer，直接双击打开，按照下图操作即可。

angel9999 · ‎03-16-2023

4. 点击System Certificates，再次导入你的服务器证书文件即可这里面点击来开不是分Certificate File和私钥吗，再哪也是 pem 里的那两个？？？？

ilay · ‎03-16-2023

system certificate是需要提供证书文件和私钥的，证书文件就是你pem的那个

第二次回复的那个图上的test2是中级ca的证书，test1是你申请的证书，test1可以删掉，然后在system certificate中重新导入就行了

中级ca正式使用的时候最好命名和其真实名称类似，以免误删

angel9999 · ‎03-16-2023

test2 是中级证书，我看有效期有三年，因为免费证书有效期只有一年，一年后只需要更新证书文件和私钥就好了吧

ilay · ‎03-16-2023

中级证书到2027年11月，还有4年左右的时间，新签证书的中级ca没有更新的话，每年更换一次证书和私钥文件就行了，如果中级ca有调整，需要重新完善整个证书链。从根CA到最终用户证书，缺哪一个补哪个

angel9999 · ‎03-16-2023

我已经从阿里云里导出pem test1 和 test2 ，test2 和已又的更证书重复了吗？，可以删掉一个？？

angel9999 · ‎03-16-2023

Certificate path validation failed. Make sure required Certificate Chain is imported under Trusted Certificates. 中级导入后还是报这个错，要重启吗？？？？

ilay · ‎03-16-2023

不需要重启，应该还是你的证书链还是有问题，按照我第一次回复的最后一张图来操作，先将证书扩展名改为.crt,然后windows双击打开，一级一级的将上层的ca导出为单独的文件，然后将上层ca导入到trusted certificates中

angel9999 · ‎03-16-2023

There is one or more trusted certificate(s) which is part of the portal system certificate chain or selected with certbased admin auth role with the same subject name but having a different serial number. Import/Update was aborted. For successful import/update, you need to either disable the certbased admin auth role from duplicate trusted certificate or change the portal role from the system certificate which contains the duplicate trusted certificate in its chain.

三张证书都导了，还是报错

ilay · ‎03-16-2023

提示有相同common name不同序列号的证书

将“trusted certificates页面完整的截个图，然后将你的证书文件也当附件传一下，不要包含key

angel9999 · ‎03-16-2023

ilay · ‎03-16-2023

你这个看着没啥问题啊，"DigiCert Global Root G2"->"Encryption Everywhere DV TLS CA - G2"的证书链是完整的，证书序列号显示的前几位也是一致的，导入系统证书应该不会有问题才对啊。

CN=ise.dotcomlab.net#Encryption Everywhere DV TLS CA - G2 这个是你的用户证书文件，可以删掉，在system certificate中导入就可以了。

我在阿里云上新签了一个证书，你可以做一下system certificate导入测试。

angel9999 · ‎03-16-2023

Certificate must contain the FQDN 'ise.dotcomlab.net' or a matching wildcard as a DNS name in the SubjectAlternativeName (SAN) extension. 你这导入后提示这错误

ilay · ‎03-16-2023

这个报错是正常的，你给证书勾选admin的管理用途后，相当于将web管理界面的证书替换为上传的证书，我给你的测试文件肯定不能匹配你ise+domainname的主机名，勾选Admin用途后，证书需要严格匹配主机名或者使用泛域名证书。

如果不勾选任何用途，单纯做导入没问题的话，那就可以了