SSL-certifikaternes maksimale levetid reduceres til 200 dage fra marts 2026. Læs mere →

SSL-certifikater

Billig SSL DV SSL Wildcard SSL Multi-Domain (SAN) OV & EV SSL

Specialcertifikater

Code Signing Document Signing E-mail / S/MIME VMC / BIMI
Sker nu Certifikat Levetid

Automatisering

Oversigt Auto DNS FairSSL vs Let's Encrypt

Platforme

Windows Opsætning Linux & Kubernetes Appliances ACME Klienter

Værktøjer

SSL Scanner Certifikat Decoder CAA Generator

Vejledninger

Windows Server Linux & Open Source Alle vejledninger

Virksomhed

Om os Kontakt Installationsservice
Nyheder

Sprog

Dansk Svenska English

Valuta

Log ind Opret Konto
Windows Server Easy ~3 min. læsetid

Intermediate Certifikat Installation

Sådan installerer du intermediate (CA bundle) certifikater på Windows Server og Linux for korrekt certifikatkæde.

Intermediate Certifikat Installation

Oversigt

Et intermediate-certifikat (også kaldet CA bundle) er et kritisk led i certifikatkæden mellem din servers SSL-certifikat og den betroede rod-CA (Certificate Authority). Uden det korrekte intermediate-certifikat installeret vil browsere vise advarsler som "Forbindelsen er ikke sikker" -- selv om dit certifikat teknisk set er gyldigt.

Hvorfor er intermediate-certifikater nødvendige?

Certifikatudstedere (CA'er) bruger en hierarkisk struktur:

  1. Rod-CA (Root CA) -- den øverste level, forudinstalleret i browsere og operativsystemer
  2. Intermediate CA -- signeret af Rod-CA'en, signerer dit certifikat
  3. Dit SSL-certifikat -- signeret af Intermediate CA'en

Browsere stoler på Rod-CA'en, men din server skal levere intermediate-certifikatet for at kæden er komplet. Rod-CA'en udsteder sjældent certifikater direkte -- det ville være for risikabelt, da kompromittering af rod-nøglen ville ødelægge al tillid.

Sådan tjekker du om intermediate mangler

Du kan hurtigt identificere problemet:

  • Symptom i browser: "Forbindelsen er ikke privat" / "Not Secure" / "NET::ERR_CERT_AUTHORITY_INVALID" trods gyldigt certifikat
  • Fungerer i Chrome men ikke Firefox: Chrome cacher intermediate-certifikater fra andre sider, Firefox gør ikke. Hvis det fungerer i Chrome men fejler i Firefox, mangler intermediate-certifikatet næsten altid på serveren.
  • Online test: Brug FairSSLs SSL-scanner, Qualys SSL Labs, eller SSLshopper til at verificere kæden

Trin 1: Download det korrekte intermediate-certifikat

FairSSL vedlægger altid intermediate-certifikatet med det udstedte certifikat. Du kan også downloade det fra:

  • FairSSL kontrolpanel: Under dit certifikat, klik "Download" og vælg formatet med CA Bundle inkluderet
  • CA'ens repository: Sectigo, DigiCert og GlobalSign har alle public repositories med aktuelle intermediate-certifikater

Trin 2: Installation på Windows Server (MMC)

  1. Tryk Win+R, skriv mmc.exe og tryk Enter.
  2. Vælg Fil → Tilføj/fjern snap-in (Ctrl+M).
  3. Vælg Certifikater → klik Tilføj → vælg ComputerkontoLokal computerUdfør.
  4. Naviger til Intermediate Certification Authorities → Certifikater.
  5. Højreklik på CertifikaterAlle opgaver → Importer.
  6. Vælg intermediate-certifikatfilen (.crt, .cer eller .p7b) og følg guiden.
  7. Kontroller at certifikatet nu vises i listen. Bekræft at udstederen er den rigtige Rod-CA.

Vigtigt: Importer intermediate-certifikatet i "Intermediate Certification Authorities", ikke i "Trusted Root Certification Authorities".

Trin 3: Installation på Linux (Apache/Nginx)

På Linux placeres intermediate-certifikatet som en del af konfigurationen:

Apache:

# Placer intermediate-filen
sudo cp ca-bundle.crt /etc/ssl/certs/intermediate.crt

# I Apache VirtualHost:
SSLCertificateChainFile /etc/ssl/certs/intermediate.crt

Nginx:

# Nginx kræver at certifikat og intermediate kombineres i en fil:
cat dit-certifikat.crt intermediate.crt > /etc/ssl/certs/fullchain.crt

# I Nginx-konfiguration:
ssl_certificate     /etc/ssl/certs/fullchain.crt;
ssl_certificate_key /etc/ssl/private/privkey.key;

Systemets certifikatlager (valgfrit):

# Debian/Ubuntu
sudo cp intermediate.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

# RHEL/CentOS
sudo cp intermediate.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust

Trin 4: Verificer certifikatkæden

# Vis kaeden med OpenSSL
openssl s_client -connect www.eksempel.dk:443 -servername www.eksempel.dk < /dev/null 2>/dev/null

# Du bor se en kaede med 3 niveauer:
# Certificate chain
#  0 s:CN = www.eksempel.dk
#    i:CN = Intermediate CA
#  1 s:CN = Intermediate CA
#    i:CN = Root CA

# Verificer lokalt
openssl verify -CAfile root-ca.crt -untrusted intermediate.crt dit-certifikat.crt
# Output bor vaere: dit-certifikat.crt: OK

Fejlsøgning

  • "unable to get local issuer certificate": Intermediate-certifikatet mangler på serveren. Installer det som beskrevet ovenfor.
  • Forkert intermediate: CA'er opdaterer regelmæssigt deres intermediate-certifikater. Tjek at du bruger det rigtige for dit certifikats udsteder -- det står i certifikatdetaljerne under "Issuer".
  • Kæderækkefølge: I Nginx (og andre steder der bruger fullchain-filer) skal rækkefølgen være: dit certifikat først, derefter intermediate(s), ikke rod-certifikatet.
  • Stadig fejl efter installation: Genstart webserveren (sudo systemctl restart apache2 / nginx / iisreset) og ryd browserens cache.

Styrk din TLS-sikkerhed

Brug IIS Crypto til nemt at konfigurere sikre TLS-protokoller og cipher suites på din Windows Server.

IIS Crypto TLS konfigurationsguide
Tilbage til vejledninger

Klar til at oprette en gratis konto?

Opret en gratis konto og udsted dit første certifikat på under 10 minutter.

Opret gratis konto Sammenlign certifikater