針對安裝 TWCA CYBER 新憑證鏈 IIS 站台不受信任之解決方式
簡要說明
- 若憑證為 2026/5/4 (含) 之後申請,且 web 主機是 IIS,適用本文件。
- 由於微軟 IIS 最短憑證鏈路徑政策,可能會導致 Apple 裝置用戶連線至 IIS 站台會出現不受信任之告警。
- 若您的 IIS 站台前方還有其他網路設備,而憑證是安裝於網路設備上,則可能不受影響。
用戶連線至站台會出現的症狀
- 用戶反映連線到站台會顯示不受信任警告。
- 用戶反映用 PC 連線正常,但是 iPhone 連線跳警告。
- 用戶反映 Android 裝置連線正常,iPhone 連線跳警告。
關鍵點在於 Apple 裝置連線會告警。
技術輔助判斷
-
首先確認您的憑證於 2026/5/4 (含) 之後申請。
-
接著確認您的 IIS 站台確實已經安裝完整憑證鏈。務必確認憑證鏈中包含 TWCA CYBER Root CA 交互認證憑證。
-
執行以下 OpenSSL 指令檢查 (請自行更換目標網域):
openssl s_client -connect www.twca.com.tw:443 -showcerts -
確認回傳憑證有包含以下憑證 (注意
s已及i內容要完全一致):
若『沒有包含』此張憑證,則 Apple 裝置將告警,即本文件所描述之問題,請繼續參考下方解決方式。
反之若『有包含』此張憑證,代表您的站台應未受影響,建議您使用 Apple 裝置連線確認正常。
解決方式
參考 IIS 手冊 5.4.10 停用憑證鏈最短路徑優先機制以強制指定憑證鏈 之說明:
-
透過 mmc 進入確認受信任的根憑證授權單位 是否有
發給及簽發者均為 TWCA CYBER ROOT CA 之憑證 (到期日為 2047/11/22)
如果沒有此張憑證無須理會,如果有的話 請按照下列步驟執行:
-
選取 TWCA CYBER ROOT CA 點選右鍵 >選取內容
-
點選對這個憑證停用所有目的 >點選套用 >點選確定
-
由於 Windows 憑證鏈快取機制,設定 2~3小時後才會生效。若要立即生效,請安排重啟主機以套用最新設定。
什麼時候需要移除設定 ?
- 2030/12/31 前必須要將設定復原。
微軟官方說明
- 您也可以參考官方說明之解決方案。
- https://learn.microsoft.com/en-us/troubleshoot/windows-server/certificates-and-public-key-infrastructure-pki/secured-website-certificate-validation-fails