更换 Symantec 证书

适用于受管理的 Chrome 浏览器和 Chrome 设备。

从 Chrome 第 66 版开始(适用于 Chrome 浏览器和 Chrome 操作系统),我们将陆续停止支持 2017 年 12 月之前签发的 Symantec® 证书。在运行 Chrome 70 及以上版本的设备中,Chrome 浏览器和 Chrome 操作系统将不再支持 Symantec 证书。所有以 Symantec 品牌(例如 GeoTrust®、Equifax®、Thawte®、RapidSSL® 和 VeriSign®)签发的证书和 Symantec 转销商签发的证书都将受到此次变动影响。

如果访问者访问的网站使用不再受信任的 Symantec 证书,则可能会看到错误消息。此外,如果网站使用的资源(例如 JavaScript 或 CSS 样式表)由使用 Symantec 证书的托管商提供,则相应网站可能无法正常运行。

哪些证书会遭到阻止取决于 Chrome 的版本和证书的创建日期。

Chrome 版本 默认操作(阻止)
Chrome 66 至 Chrome 69 Symantec 在 2017 年 12 月 1 日之后和 2016 年 6 月 1 日之前签发的证书将不再受信任,不过在这两个日期之间签发的证书仍然受信任。
Chrome 70 至 Chrome 73 Symantec 签发的所有证书都不再受信任。

制定更换计划

评估部署情况,确定最适合您单位的解决方案。根据您使用证书的方式和位置,点击下方标题,查看相关步骤。

我的企业使用 Symantec 证书
与网站站长一同确定您的网域是在何处使用 Symantec 证书,然后尽快更换证书。您可以使用 Chrome 信任的任何证书授权机构签发的证书,其中包括收购了 Symantec 业务的 DigiCert 签发的证书。
我们的旧版设备仅信任 Symantec 证书

部分旧版设备(例如销售终端、电话系统或其他形式的集成式硬件)只能信任 Symantec 证书。如果是这种情况,请与设备供应商联系,请求他们支持其他证书授权机构。

如果您的设备无法立即更新,并与您的 Chrome 用户使用相同的网络服务器,那么在您更换或升级设备之前,可以启用对 Symantec 证书的临时支持。如果是这种情况,请与您 Symantec 帐号的专属 DigiCert 代表联系,制定转换到新证书授权机构的计划。

我们的合作伙伴使用 Symantec 证书

如果您的企业依赖于使用 Symantec 证书的合作伙伴网站,请与网站站长联系,了解合作伙伴更换证书的时间表。为避免您的企业受到任何影响,这类网站应立即转换证书。

如果您的合作伙伴无法立即更新网站,建议您在其更新网站前,先启用对 Symantec 证书的临时支持

启用对 Symantec 证书的临时支持

您可以通过设置一项用户政策来暂时支持旧版 Symantec 证书,这样就可以有更多时间来转换 Symantec 证书。此政策仅适用于 Chrome 73 之前的版本。对于第 73 版之后的版本,此政策将不再起作用,所有 Symantec 证书都会遭到 Chrome 浏览器和 Chrome 操作系统阻止。

准备工作
  • 只有第 73 版以前的 Chrome 操作系统支持此政策。不过,Windows、Linux 或 macOS 等其他操作系统可能在 Chrome 73 发布前就已停止支持 Symantec 证书。如果您的用户运行 Chrome 浏览器的操作系统已不再支持 Symantec 证书,那么启用此政策不会有任何作用,Symantec 证书将仍然不受信任。
  • 启用此政策只是一种临时解决方案,让您有更多时间来转换到永久性的解决方案。请制定证书更换计划,以便您的用户可以在转换期间访问关键网页。
  • 在整个单位中全面推行此政策前,请先进行测试,以确保用户在此政策启用后也可以访问所需网站。
  • 启用此政策后,网站可以继续使用旧版证书,而用户在访问使用这些证书的网站时将不会看到任何提醒或消息。如果启用此政策,您将很难找出哪些服务器和网站使用的是旧版证书。因此在转换期间,请定期停用此政策以进行测试,从而确定有哪些网站或服务需要更新。
管理控制台

当用户在运行 Chrome 操作系统的设备上使用 Chrome 浏览器时适用。

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到设备管理 然后 Chrome 管理

    如果您在首页未看到设备管理,请点击底部的更多空间

  3. 点击左侧的 Chrome 管理
  4. 点击用户和浏览器设置
  5. (可选)要为单位应用设置,请执行以下操作:
    1. 在左侧,选择相应单位。
    2. 请确保已为此单位启用受管理的 Chrome 浏览器
      详细了解组织结构
  6. 转到安全 然后 本地信任锚证书 然后 Symantec 公司的旧版公钥基础设施 (PKI) 部分。
  7. 从下列选项中选择一项:
    1. 允许 - 允许信任 Symantec 签发的旧版证书。
    2. 阻止 - 阻止 Symantec 签发的旧版证书。此设置会强制执行 Chrome 操作系统的默认操作。哪些证书会遭到阻止取决于 Chrome 操作系统的版本和证书的创建日期。请参阅此表格了解详情。
  8. 点击底部的保存
    设置通常会在几分钟内生效,但是最长可能需要一个小时才会应用到所有用户。
Windows

当用户在 Windows 上使用 Chrome 浏览器时适用。

使用组策略

准备工作:设置 Chrome 政策 (Windows)

在 Windows 计算机上
  1. 打开组策略管理控制台。
  2. 转到用户配置 然后 策略 然后 管理模板 然后 Google 然后 Google Chrome
  3. 点击是否信任 Symantec 公司的旧版公钥基础设施 (PKI)
  4. 选择已启用
  5. 点击确定
macOS

当用户在 macOS 上使用 Chrome 浏览器时适用。

准备工作:设置 Chrome 政策 (macOS)

在 Chrome 配置文件中,添加或更新以下密钥,然后为您的用户部署更改。

  • 将 EnableSymantecLegacyInfrastructure 密钥设为 true
    <key>EnableSymantecLegacyInfrastructure</key>
         <true/>

Linux

当用户在 Linux 上使用 Chrome 浏览器时适用。

使用您的首选 JSON 文件编辑器:

  1. 转到 /etc/opt/chrome/policies/managed 文件夹。
  2. 创建新的 JSON 文件,或打开现有 JSON 文件。
  3. 按照下列代码更新文件:
    {
    "EnableSymantecLegacyInfrastructure": "true"
    }
  4. 为用户部署更新。

相关链接

该内容对您有帮助吗?
您有什么改进建议?