在Linux系统下通过命令行快速合并CA发回的多级证书链文件

在Linux环境下合并证书链是部署SSL的关键步骤。CA机构通常会发送服务器证书和中间证书（Intermediate CA），如果两者不合并，移动端浏览器或部分国密软件会因找不到信任链而报错。

通过命令行合并证书链

在Nginx等服务器中，需要将服务器证书放在文件顶部，中间证书紧随其后。您可以使用cat命令快速完成：

Bash

cat your_domain.crt intermediate.crt > fullchain.crt

执行后，生成的fullchain.crt即为最终在Nginx配置文件ssl_certificate项中使用的路径。

合并时的注意事项

• 证书顺序：顺序不可颠倒。必须是：个人域名证书 > 中间证书1 > 中间证书2（如果有）。根证书（Root CA）通常由操作系统内置，无需合并进此文件。
• 代码换行检查：合并后，请务必检查证书衔接处。前一个证书的-----END CERTIFICATE-----与后一个证书的-----BEGIN CERTIFICATE-----必须分行显示。如果连在一起，会导致Nginx解析配置失败。
• 私钥匹配：合并操作仅针对证书文件（.crt/.pem），绝对不能将私钥（.key）合并进去。私钥应始终保持独立并由ssl_certificate_key指令单独调用。

如何验证合并是否成功

合并完成后，建议使用OpenSSL工具本地验证证书链的完整性：

Bash

openssl verify -CAfile intermediate.crt your_domain.crt

如果返回结果为OK，则表示证书链关系正确。