Certificate 相同的p12证书，不同机器上的不同信任链，为什么？

我有一个p12文件。这是由DigiCert p7b生成的

当我在一台机器windows服务器上将其导入我的个人存储时，使用mmc证书，当我查看路径时，它会显示一个链

使用同一个文件，我使用certs mmc将文件导入到另一台机器（也包括windows）上的个人存储中。在这一个我看到一个不同的路径，在这种情况下，它有一个过期的跃点

具体地说，在我的证书上方两跳，就会出现发散

为什么会发生这种情况？我能做些什么来影响这条链吗？记住，这是同一条p12，它创造了不同的路径

---

我也应该说，我不是这方面的专家。我是一个开发人员，在需要的时候能够应付这些安全问题。

我也遇到过同样的问题。两台不同的windows 2008 r2服务器，具有相同的证书。标准操作系统打补丁后，其中一台服务器仅发送第一层证书信任链编号0，因此openssl客户端出现故障，并显示以下消息： 验证错误：num=21:无法验证第一个证书

不知道根本原因是什么。我试着

在IIS中重新分配证书 再进口证书 重新启动IIS 没有成功。最终帮助解决该问题的是服务器重新启动…

结束此操作。 我仍然有点不明白为什么事情会这样，但有些事情是有道理的。 似乎.p12是从包含一些中间证书的p7b创建的。其中一种中间体是坏的。这就解释了为什么链条在一台机器上坏了

仍然不确定我是如何在不同的机器上看到好的链条的，但我明白为什么我看到了坏的链条。看来好的链条是侥幸的，坏的链条本该是意料之中的。我最初的假设正好相反

---

我创建了一个没有中间产物的新的.p12。清除了服务用户和本地机器商店中以前从first.p12导入的所有不良中间产物。现在所有机器上的有效链都与预期一样工作。

您能浏览一下这个p12文件吗？它有颁发CAs的证书吗？你可以用它来做这件事。我假设在认证链的某个地方有一个交叉认证的证书。另外，在您的机器上，您可能已经手动导入了不同的链。最好在新安装的windows上测试导入此p12。我打赌证书链将是相同的。