适用于受管理的 Chrome 浏览器和 ChromeOS 设备。
从 Chrome 第 66 版开始(适用于 Chrome 浏览器和 Chrome 操作系统),我们将陆续停止支持 2017 年 12 月之前签发的 Symantec® 证书。在运行 Chrome 70 及以上版本的设备中,Chrome 浏览器和 Chrome 操作系统将不再支持 Symantec 证书。所有以 Symantec 品牌(例如 GeoTrust®、Equifax®、Thawte®、RapidSSL® 和 VeriSign®)签发的证书和 Symantec 转销商签发的证书都将受到此次变动影响。
如果访问者访问的网站使用不再受信任的 Symantec 证书,则可能会看到错误消息。此外,如果网站使用的资源(例如 JavaScript 或 CSS 样式表)由使用 Symantec 证书的托管商提供,则相应网站可能无法正常运行。
哪些证书会遭到阻止取决于 Chrome 的版本和证书的创建日期。
| Chrome 版本 | 默认操作(阻止) |
|---|---|
| Chrome 66 至 Chrome 69 | Symantec 在 2017 年 12 月 1 日之后和 2016 年 6 月 1 日之前签发的证书将不再受信任,不过在这两个日期之间签发的证书仍然受信任。 |
| Chrome 70 至 Chrome 73 | Symantec 签发的所有证书都不再受信任。 |
制定更换计划
评估部署情况,确定最适合您单位的解决方案。根据您使用证书的方式和位置,点击下方标题,查看相关步骤。
我的企业使用 Symantec 证书部分旧版设备(例如销售终端、电话系统或其他形式的集成式硬件)只能信任 Symantec 证书。如果是这种情况,请与设备供应商联系,请求他们支持其他证书授权机构。
如果您的设备无法立即更新,并与您的 Chrome 用户使用相同的网络服务器,那么在您更换或升级设备之前,可以启用对 Symantec 证书的临时支持。如果是这种情况,请与您 Symantec 账号的专属 DigiCert 代表联系,制定转换到新证书授权机构的计划。
如果您的企业依赖于使用 Symantec 证书的合作伙伴网站,请与网站管理员联系,了解合作伙伴更换证书的时间表。为避免您的企业受到任何影响,这类网站应立即更换证书。
如果您的合作伙伴无法立即更新网站,建议您在其更新网站前,先启用对 Symantec 证书的临时支持。
启用对 Symantec 证书的临时支持
您可以通过设置一项用户政策来暂时支持旧版 Symantec 证书,这样就可以有更多时间来转换 Symantec 证书。此政策仅适用于 Chrome 73 之前的版本。对于第 73 版之后的版本,此政策将不再起作用,所有 Symantec 证书都会遭到 Chrome 浏览器和 Chrome 操作系统阻止。
开始前须知- 第 73 版以前的 Chrome 操作系统都支持此政策。不过,Windows、Linux 或 macOS 等其他操作系统可能在 Chrome 73 发布前就已停止支持 Symantec 证书。如果您的用户运行 Chrome 浏览器的操作系统已不再支持 Symantec 证书,那么启用此政策不会有任何作用,Symantec 证书将仍然不受信任。
- 启用此政策只是一种临时解决方案,让您有更多时间来转换到永久性的解决方案。请制定证书更换计划,以便您的用户可以在转换期间访问关键网页。
- 在整个单位中全面推行此政策前,请先进行测试,以确保用户在此政策启用后也可以访问所需网站。
- 启用此政策后,网站可以继续使用旧版证书,而用户在访问使用这些证书的网站时将不会看到任何提醒或消息。如果启用此政策,您将很难找出哪些服务器和网站使用的是旧版证书。因此在转换期间,请定期停用此政策以进行测试,从而确定有哪些网站或服务需要更新。
当用户在运行 Chrome 操作系统的设备上使用 Chrome 浏览器时适用。
-
-
在管理控制台中,依次点击“菜单”图标
设备
Chrome
如果您已注册 Chrome 浏览器云管理,请依次点击“菜单”图标
Chrome 浏览器
- (可选)要为单位应用设置,请执行以下操作:
- 在左侧,选择相应单位。
- 请确保已为此单位启用受管理的 Chrome 浏览器。
详细了解组织结构。
- 前往安全性。
- 点击本地信任锚证书。
- 从 Symantec Corporation 的旧版 PKI 基础架构中选择下列其中一项:
- 允许 - 允许信任 Symantec 签发的旧版证书。
- 屏蔽 - 阻止 Symantec 签发的旧版证书。此设置会强制执行 Chrome 操作系统的默认操作。哪些证书会遭到阻止取决于 Chrome 操作系统的版本和证书的创建日期。请参阅此表格了解详情。
- 点击保存。
设置通常会在几分钟内生效,但最长可能需要 1 个小时才能应用到所有用户。
当用户在 Windows 上使用 Chrome 浏览器时适用。
使用组策略
在您的 Windows 计算机上- 打开组策略管理控制台。
- 转到用户配置
策略
- 点击信任 Symantec Corporation 的旧版 PKI 基础架构。
- 选择已启用。
- 点击确定。
策略 当用户在 macOS 上使用 Chrome 浏览器时适用。
准备工作:设置 Chrome 政策 (macOS)
在 Chrome 配置文件中,添加或更新以下密钥,然后为您的用户部署更改。
-
将 EnableSymantecLegacyInfrastructure 密钥设为 true:
<key>EnableSymantecLegacyInfrastructure</key>
<true/>
当用户在 Linux 上使用 Chrome 浏览器时适用。
使用您的首选 JSON 文件编辑器:
- 转到 /etc/opt/chrome/policies/managed 文件夹。
- 创建新的 JSON 文件,或打开现有 JSON 文件。
- 按照下列代码更新文件:
{
"EnableSymantecLegacyInfrastructure": "true"
} - 为用户部署更新。
相关链接
- 要详细了解 Google 为何停止支持部分 Symantec 证书,请参阅 Chrome 停止信任 Symantec 证书的计划。
- 要详细了解政策,请参阅 EnableSymantecLegacyInfrastructure(启用 Symantec 旧版基础设施)。
- 要详细了解 Chrome 政策模板,请参阅为设备设置 Chrome 政策。