天威诚信中级CA证书配置应该如何选择？

　　随着国内百度淘宝全站部署SSL证书后，SSL证书在网站中的使用率越来越高，对于SSL证书的安装小编发现，有很多网站管理者面对CA证书配置时犯了难，不知道应该配置一张中级CA还是两张中级CA，今天小编就为大家做细致分析。

　　通常我们建议B/S架构用户配置一张中级CA，以获取最优的安全性保障。如果在内部网络中部署B/S架构服务器，需开放防火墙允许Windows XP用户联网更新根证书目录，Web Services、Java客户端等C/S架构用户，推荐配置两张中级CA。以适配客户端复杂的系统及运行环境差异，确保证书应用的兼容性。

　　在2015年9月之前，有很多企业被要求需要配置两张中级CA，但之后Symantec为了促进低版本客户端操作系统及运行环境的安全升级，要求所有的新版客户端使用新的数字认证安全技术，Symantec现已全面启用新的根证书，禁用原含SHA1算法的交叉认证证书链，赛门铁克的这一举措将确保用户在使用TLS安全协议时，获得更高的安全性保障。如果继续配置两张中级CA证书，Chrome 41及以上版本浏览器中，存在小概率浏览器报证书“不安全”的错误。

　　但如果您因兼容性需要，一定要配置两张中级CA，那么也是可以的，但一定要注意的是，交叉中级CA到期截止时间约为2021年，预计将于2018年开始逐渐全面弃用。如您因应用要求必须配置第二张中级CA，您需随着目前安全技术的革新和进步，适时计划算法升级及客户端运行环境的升级改造工作，以适配根证书升级服务的兼容性。

　　配置一张中级CA能确保用户在使用TLS安全协议时，获得更高的安全性保障，配置两张中级CA是为了适配客户端复杂的系统及运行环境差异，确保证书应用的兼容性。因此您可根据各自应用场景，来选择配置一张中级CA或者配置两张中级CA。

　　随着目前安全技术的革新和进步，建议您在考虑兼容性并兼顾安全性的同时，推进C/S架构下的兼容性升级，并最终完全使用一张中级CA的配置方案。

配置一张中级CA，即启动Symantec新根证书的兼容性列表：

　　天威诚信是Symantec全球最大的网站认证服务提供商，可为国内用户提供最安全可信的SSL证书产品，服务于全行业超过95%的大客户，拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团队，可以为用户提供最优质的本地化服务与技术支持。