針對安裝 TWCA CYBER 新憑證鏈 IIS 站台不受信任之解決方式
簡要說明
- 若憑證為 2026/5/4 (含) 之後申請,且 web 主機是 IIS,適用本文件。
- 由於微軟 IIS 最短憑證鏈路徑政策,可能會導致 Apple 裝置用戶連線至 IIS 站台會出現不受信任之告警。
- 若您的 IIS 站台前方還有其他網路設備,而憑證是安裝於網路設備上,則可能不受影響。
用戶連線至站台會出現的症狀
- 用戶反映連線到站台會顯示不受信任警告。
- 用戶反映用 PC 連線正常,但是 iPhone 連線跳警告。
- 用戶反映 Android 裝置連線正常,iPhone 連線跳警告。
關鍵點在於 Apple 裝置連線會告警。
技術輔助判斷
-
首先確認您的憑證於 2026/5/4 (含) 之後申請。
-
接著確認您的 IIS 站台確實已經安裝完整憑證鏈。務必確認憑證鏈中包含 TWCA CYBER Root CA 交互認證憑證。
-
執行以下 OpenSSL 指令檢查 (請自行更換目標網域):
openssl s_client -connect www.twca.com.tw:443 -showcerts -
確認回傳憑證有包含以下憑證 (注意
s已及i內容要完全一致):
若『沒有包含』此張憑證,代筆您的站台疑似受影響,Apple 裝置可能告警,請繼續參考下方解決方式。
反之若『有包含』此張憑證,代表您的站台應未受影響,建議您仍使用 Apple 裝置連線確認正常。
解決方式
-
務必 先安裝兩張中繼 CA 憑證 (對檔案滑鼠右鍵
安裝憑證) -
參考 IIS 手冊 5.4.10 停用憑證鏈最短路徑優先機制以強制指定憑證鏈 之說明,透過 mmc 進入 受信任的根憑證授權單位。
-
檢查是否有
發給及簽發者均為 TWCA CYBER Root CA 之憑證 (到期日為 2047/11/22)
如果沒有此張憑證無須理會,如果有的話 請按照下列步驟執行:
-
選取 TWCA CYBER Root CA 點選右鍵 >選取內容
-
點選對這個憑證停用所有目的 >點選套用 >點選確定
-
執行
gpedit.msc進入本機群組原則編輯器,展開「電腦設定」>「系統管理範本」>「系統」>「網際網路通訊管理」,然後按一下「網際網路通訊設定」。
-
點選「關閉自動根憑證更新」按下「原則設定」,點選 「已啟用」 > 「套用」>「確定」。
-
注意: 除了
發給及簽發者均為 TWCA CYBER Root CA 之憑證 (到期日為 2047/11/22) 進行停用,其餘憑證切勿調整設定,避免失效。 -
注意: 務必 重啟 IIS 服務 設定方可生效,若依然無效,請 重啟主機。。
什麼時候需要移除設定 ?
- 2030/12/31 前必須要將設定復原。
微軟官方說明
- 您也可以參考官方說明之解決方案。
- https://learn.microsoft.com/en-us/troubleshoot/windows-server/certificates-and-public-key-infrastructure-pki/secured-website-certificate-validation-fails