欢迎来到8455线路检测中心技术小课堂，每天分享一个技术小知识。

iis站点部署证书后华为手机访问提示证书不受信任，安卓苹果及pc浏览器访问正常

问题情况： 

用鸿蒙系统默认的浏览器访问  xxxx.com ，提示证书不受信任，但实际上用安卓和苹果访问都正常的，同样的证书，访问xxxx.com 就可以正常访问（没提示证书不受信任），是需要服务器iis里啥特殊配置吗？证书都是同样的证书，同样的iis配置方法，配置了TrustAsia C1 DV Free证书 免费证书就正常，配置了 Sectigo Public Server Authentication CA DV R36  这个证书就异常

排查解决方式： 

1.检查证书连是否完整；

2.检查服务器支持的TLS协议；

3.Microsoft IIS——当未提供正确的证书路径时，证书不被广泛信任。

在某些情况下，Microsoft IIS和其他基于Windows的TLS服务器会提供一条仅被更新客户端信任的证书链。

这些服务器无法在TLS握手时指定具体的证书链。

这些 Windows 服务器会根据服务器自身的信任存储，自行决定证书链的服务。

在大多数情况下，该信任存储已完全更新，因此服务器不会考虑较旧的客户端——即使CA拥有为数百万老旧或遗留客户端提供信任的交叉证书。

由于所有公共CA都必须转向单一用途层级结构，并且更频繁地轮换根证书——交叉认证至关重要，但遗憾的是，IIS服务器使得支持这种方式变得困难。

虽然这应该被视为一个漏洞，但Microsoft似乎认为这是设计使然，并在他们的知识库中提供了变通方法：

https://learn.microsoft.com/en-us/troubleshoot/windows-server/certificates-and-public-key-infrastructure-pki/secured-website-certificate-validation-fails

解决方法是将更新的 Sectigo R46 和 E46 根节点迁移到服务器的“被禁止”存储，或者完全禁用这些根节点。他们甚至建议关闭Windows自动根更新。

我们创建了.reg文件，可以在服务器上简单执行，将根节点迁移到“禁止”存储，从而修复问题。

还有一个.reg文件，如果需要可以恢复根源。

应用这些.reg文件，或按照Microsoft提供的说明作，将迫使IIS服务器在TLS握手中提供一条证书路径，该路径适用于所有客户端和浏览器，而不仅仅是最近更新的客户端（将使用从较新的Sectigo R/E46根到旧的USERTrust RSA和ECC根的交叉证书）。

下载附件执行后重启服务器

附件：

https://www.sectigo.com/knowledge-base/detail/Microsoft-IIS-Certificates-not-trusted-widely

8455线路检测中心官网上拥有完善的技术支持库可供参考，大家可自行查阅，更多技术问题，可以直接咨询。同时，8455线路检测中心整理了运维必备的工具包免费分享给大家使用，需要的朋友可以直接咨询。

更多技术知识，8455线路检测中心期待与你一起探索。