【完整证书链】存在证书链的CA证书如何导入设备（一）

【完整证书链】

完整的证书链必须有以下的情况：假设客户完整得提供了所有的证书，例如：根CA签发了CA1，CA1签发了CA2、CA2签发了CA3、CA3签发了local。客户把上面的CA、CA1、CA2、CA3、local和密钥key都提供了。（有些时候key已经合入了local）

注：这里假设您已经了解了CA证书、Local证书、私钥，PKI域等概念。

正常的情况下，一对证书会包含一个local证书和CA证书，但是现场客户提供了很多证书，存在证书链（就是上面CA1、CA2等）的情况，让导入到设备上，就需要先合成证书再导入。 

所谓的证书链是指CA机构提供的CA证书并不是一个，而是由多级连续签发，存在根CA证书和被签发CA证书。这种情况下，为了获得完整有效的证书，需要将CA证书和local分别合成以后，再导入设备。

你的目的是什么？

答：做成一个CA和local，后缀都是.cer的文件，也就是下文中的方式一；或者将所有的信息合成一个local证书，后缀是.cer的，也就是下文的方式二；

你应该怎么做？

方法一：合成两张证书CA和local 

 *1 合成CA证书，以下为例，客户提供的证书链中会有这样两个证书（已隐去关键信息），两个证书，其中ROOT是根CA签发了Server的二级CA证书，但是两者都属于CA证书，需要将两者合起来：

右键两个证书，分别用Notepad++软件打开，会得到电子版的长串数字，将两个信息复制在一起，建议Server放前面，ROOT放后面（仅作示例，隐去关键信息）。

上面的内容保存，命名CA.cer。

*2合成local证书；客户提供的日志中，有一个local和私钥。把两者合起来，方式和上面的一样，建议把私钥放在前面（仅作示例，隐去关键信息），然后命名成LOCAL.cer。如果客户提供的证书已经把.key文件合入了local了，那这步骤就可以省略了。（怎么判定有没有合入？答：看local证书上有没有一个小钥匙的图标，有的话就是合入了）

3*最后合成的效果

4*在设备上新建PKI域，然后导入两个证书。

 方法二：所有的证书合成一张证书，可以命名成.cer格式 

参考上面的方式，将上面四个证书（就是客户提供的原始的四张）的内容信息放在一起，保存成.cer格式的文件。例如：Certificate.cer。

然后导入设备上的时候，新建PKI域，然后把这个证书按【本地证书】形式导入。

顺序（自上而下）：key---local---CA3---CA2---CA1