证书颁发机构(CA),基本不直接用os或浏览器内置 ROOT-CA 证书进行客户证书的签发

而用ROOT-CA下的Sub-CA签发

Issuing-CA没内置就提示NET:ERROR_UNKNOW_CERTIFICATE_AUTHORITY之类。但实际申请的证书确实是授信的CA签发的

解决方案就是服务器推送证书的功能,发现客户机的Issuing-CA未找到,将存在服务器的对应的Issuing-CA主动推送至客户端

所以配置服务器证书的额时候一定要同时配置好证书链,也就是常说的证书链补全