1.如何導出中間證書：為什么需要中間證書？

SSL證書包含3張，即根證書，中間證書和客戶端證書，這是一個完整的證書鏈，缺失一個鏈都是安裝不正確的。

根證書由于大部分瀏覽器都會內嵌，可以不安裝，但是中間證書是必須的。用戶往往在支付寶或微信小程序調試中會發現中間證書缺失而導致無法完成配置的問題，那是因為支付寶和微信的強制要求是證書鏈必須是完整的，如果您不完整，也就無法進行下一步了。我們平時在給服務器安裝https證書的時候，就需要養成良好的習慣，在服務器上綁定完客戶端證書的時候，同時要把中間證書導出來，然后導入服務器中。有些用戶只是將客戶端證書綁定在服務器上，而忘記裝中間證書，有些時候PC端的瀏覽器會顯示沒有問題，但是往往會在手機移動端尤其是安卓系統，就會因為沒有檢測到中間證書導致提示非信任等信息。

其實當用戶收到由數字證書頒發CA機構的最后一封證書簽發的郵件的時候，看到begin至end這段代碼，這個就是最終簽發給您的服務器客戶端證書，我們將這串代碼保存為.cer/.crt文件擴展名格式，請不要去掉中間的中橫線，然后打開方式選擇加密外殼擴展。如下圖2：

在證書路徑中，鼠標點擊上述圖1中間證書的地方，圖1展示的是（Geotrust EV RSA CA 2018），然后點擊查看證書->詳細信息->復制到文件->下一步->選擇Base64編碼，如圖3->下一步->瀏覽選擇保存文件的路徑并命名文件名保存。根證書的導出原理與中間證書一樣。

2. 接下來，我們需要解決如何安裝中間證書。

1）IIS可以在綁定完客戶端證書.pfx之后，運行打開certmgr.msc命令進入IIS安裝中間證書的地方，如下圖4，直接導入。

2）Apache和Nginx：使用.crt 和 .key進行安裝，安裝時需要注意的是server.crt是服務器客戶端證書和中間證書的整合，即按如下格式進行：

-----BEGIN CERTIFICATE-----

郵件里的服務器客戶端證書代碼

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

中間證書代碼

-----END CERTIFICATE-----

3）Tomcat使用jks安裝，在.cer和.key 進行合成轉換成jks格式時，.cer的文件需要按照上面第2）的格式進行，然后再完成轉換。