麒麟系统提示证书错误,银河麒麟浏览器如何安装根证书解决?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1219个文字,预计阅读时间需要5分钟。
如果贵在银行系统中使用,请确保以下内容:
一、确认错误类型并定位缺失证书
该步骤用于区分是公共 CA 证书缺失,还是企业私有 CA 或国密证书链不完整所致。需先捕获浏览器实际报错信息,再比对证书颁发机构(如 DigiCert、GlobalSign、CFCA、BJCA 或自建 CA),从而确定应安装哪类根证书。
1、在浏览器地址栏点击锁形图标,选择“连接安全”或“证书信息”。
2、查看证书路径中的“颁发者”字段,记录其全称(例如:DigiCert Global Root G3、BJCA EV Root CA、CFCA EV ROOT)。
3、检查证书有效期是否过期,若已过期,则需联系网站管理员更新证书;若颁发者不在系统信任列表中,则进入后续安装步骤。
二、安装主流国际 CA 根证书(以 DigiCert 为例)
适用于使用 DigiCert、GlobalSign、Sectigo 等国际 CA 签发的公网 SSL 证书。银河麒麟桌面版默认信任库可能未包含 2024 年后启用的新根证书(如 DigiCert SHA3-384 Root),需手动补充。
1、访问 DigiCert 官方根证书下载页:https://www.digicert.com/kb/digicert-root-certificates.htm。
2、根据证书类型(DV/OV/EV)及签发时间,下载对应根证书文件(.crt 格式),例如 DigiCert Global Root G3.crt。
3、打开终端,执行以下命令将证书导入系统信任库:
sudo cp DigiCert\ Global\ Root\ G3.crt /usr/local/share/ca-certificates/
4、更新系统 CA 证书包:
sudo update-ca-certificates
5、重启浏览器后重新访问原网站,验证错误是否消失。
三、安装国产 CA 根证书(如 CFCA、BJCA、SZCA)
政务、金融、统计直报等国产化系统常使用 CFCA(中国金融认证中心)、BJCA(北京数字认证)、SZCA(深圳数字认证)等国产 CA 签发的证书。此类证书未预置在开源信任库中,必须手动安装。
1、从对应 CA 官网下载根证书(通常为 .cer 或 .crt 格式),例如 CFCA 官网提供 CFCA_EV_ROOT.cer。
2、将证书复制至系统证书目录:
sudo cp CFCA_EV_ROOT.cer /usr/share/ca-certificates/extra/
3、编辑证书配置文件,使系统识别该证书:
echo "extra/CFCA_EV_ROOT.cer" | sudo tee -a /etc/ca-certificates.conf
4、执行更新命令:
sudo update-ca-certificates
5、若使用奇安信可信浏览器,还需将其国密证书策略设为启用状态,在浏览器设置中开启“SM2/SM3 证书支持”选项。
四、为 Chromium 浏览器单独导入根证书
Chromium 及其衍生浏览器(如 Chrome、Edge)在银河麒麟上不完全依赖系统 CA 信任库,而是使用独立的 NSS 数据库。因此即使系统级证书已安装,Chromium 仍可能报错,需额外导入。
1、确保已安装 libnss3-tools 工具:
sudo yum install -y libnss3-tools
2、获取当前用户 Chromium 的 NSS 数据库路径(通常为):
ls ~/.pki/nssdb/
3、将根证书(如 DigiCert_Global_Root_G3.crt)导入数据库:
certutil -d sql:$HOME/.pki/nssdb -A -t "CT,," -n "DigiCert Global Root G3" -i DigiCert_Global_Root_G3.crt
4、重启 Chromium 浏览器,访问原网站验证证书状态。
五、部署自建私有 CA 根证书(适用于内网环境)
当企业使用 OpenSSL 自建 CA 并为内部系统签发证书时,客户端必须显式信任该私有根证书,否则所有 HTTPS 访问均会触发警告。
1、从内网 CA 管理员处获取根证书文件(通常为 ca.crt 或 root.pem)。
2、将证书复制到系统级目录:
sudo cp ca.crt /usr/share/ca-certificates/extra/
3、添加证书路径至配置文件:
echo "extra/ca.crt" | sudo tee -a /etc/ca-certificates.conf
4、执行系统证书更新:
sudo update-ca-certificates
5、若使用银河麒麟 V10 自带的“麒麟浏览器”,还需进入其设置 → 隐私与安全 → 管理证书 → 证书机构 → 导入,选择同一 ca.crt 文件完成二次加载。
本文共计1219个文字,预计阅读时间需要5分钟。
如果贵在银行系统中使用,请确保以下内容:
一、确认错误类型并定位缺失证书
该步骤用于区分是公共 CA 证书缺失,还是企业私有 CA 或国密证书链不完整所致。需先捕获浏览器实际报错信息,再比对证书颁发机构(如 DigiCert、GlobalSign、CFCA、BJCA 或自建 CA),从而确定应安装哪类根证书。
1、在浏览器地址栏点击锁形图标,选择“连接安全”或“证书信息”。
2、查看证书路径中的“颁发者”字段,记录其全称(例如:DigiCert Global Root G3、BJCA EV Root CA、CFCA EV ROOT)。
3、检查证书有效期是否过期,若已过期,则需联系网站管理员更新证书;若颁发者不在系统信任列表中,则进入后续安装步骤。
二、安装主流国际 CA 根证书(以 DigiCert 为例)
适用于使用 DigiCert、GlobalSign、Sectigo 等国际 CA 签发的公网 SSL 证书。银河麒麟桌面版默认信任库可能未包含 2024 年后启用的新根证书(如 DigiCert SHA3-384 Root),需手动补充。
1、访问 DigiCert 官方根证书下载页:https://www.digicert.com/kb/digicert-root-certificates.htm。
2、根据证书类型(DV/OV/EV)及签发时间,下载对应根证书文件(.crt 格式),例如 DigiCert Global Root G3.crt。
3、打开终端,执行以下命令将证书导入系统信任库:
sudo cp DigiCert\ Global\ Root\ G3.crt /usr/local/share/ca-certificates/
4、更新系统 CA 证书包:
sudo update-ca-certificates
5、重启浏览器后重新访问原网站,验证错误是否消失。
三、安装国产 CA 根证书(如 CFCA、BJCA、SZCA)
政务、金融、统计直报等国产化系统常使用 CFCA(中国金融认证中心)、BJCA(北京数字认证)、SZCA(深圳数字认证)等国产 CA 签发的证书。此类证书未预置在开源信任库中,必须手动安装。
1、从对应 CA 官网下载根证书(通常为 .cer 或 .crt 格式),例如 CFCA 官网提供 CFCA_EV_ROOT.cer。
2、将证书复制至系统证书目录:
sudo cp CFCA_EV_ROOT.cer /usr/share/ca-certificates/extra/
3、编辑证书配置文件,使系统识别该证书:
echo "extra/CFCA_EV_ROOT.cer" | sudo tee -a /etc/ca-certificates.conf
4、执行更新命令:
sudo update-ca-certificates
5、若使用奇安信可信浏览器,还需将其国密证书策略设为启用状态,在浏览器设置中开启“SM2/SM3 证书支持”选项。
四、为 Chromium 浏览器单独导入根证书
Chromium 及其衍生浏览器(如 Chrome、Edge)在银河麒麟上不完全依赖系统 CA 信任库,而是使用独立的 NSS 数据库。因此即使系统级证书已安装,Chromium 仍可能报错,需额外导入。
1、确保已安装 libnss3-tools 工具:
sudo yum install -y libnss3-tools
2、获取当前用户 Chromium 的 NSS 数据库路径(通常为):
ls ~/.pki/nssdb/
3、将根证书(如 DigiCert_Global_Root_G3.crt)导入数据库:
certutil -d sql:$HOME/.pki/nssdb -A -t "CT,," -n "DigiCert Global Root G3" -i DigiCert_Global_Root_G3.crt
4、重启 Chromium 浏览器,访问原网站验证证书状态。
五、部署自建私有 CA 根证书(适用于内网环境)
当企业使用 OpenSSL 自建 CA 并为内部系统签发证书时,客户端必须显式信任该私有根证书,否则所有 HTTPS 访问均会触发警告。
1、从内网 CA 管理员处获取根证书文件(通常为 ca.crt 或 root.pem)。
2、将证书复制到系统级目录:
sudo cp ca.crt /usr/share/ca-certificates/extra/
3、添加证书路径至配置文件:
echo "extra/ca.crt" | sudo tee -a /etc/ca-certificates.conf
4、执行系统证书更新:
sudo update-ca-certificates
5、若使用银河麒麟 V10 自带的“麒麟浏览器”,还需进入其设置 → 隐私与安全 → 管理证书 → 证书机构 → 导入,选择同一 ca.crt 文件完成二次加载。