你有没有遇到过这种情况：在Chrome里打开一个HTTPS网站，锁形图标是绿油油的，但心里还是犯嘀咕——这证书到底是谁签的？是不是真的可信？

我敢说很多人都碰到过类似的场景，尤其是需要排查证书链问题或者验证私有CA配置的时候。

那么，怎么才能准确找到证书的颁发者，特别是最顶层的那个根CA？方法其实有好几种，但需要注意一些细节，不然很容易被中间证书“误导”。

通过地址栏锁形图标快速定位颁发机构

这个方法日常验证最方便，不用打开开发者工具，操作路径很直观。不过要注意，不同版本的Chrome界面有差异，有时候“证书”这个文字的链接不一定会直接显示出来。

先确认页面是HTTPS协议，地址栏左侧有锁形图标，然后点它。

在弹出的面板里，找到并点击【连接是安全的】——如果显示的是“连接不安全”或者有警告提示，那这条路就走不通了。

接下来，在新打开的详情页里，点击【证书有效】。注意，这里点的是那四个字，不是旁边的“证书”图标，也不是“更多信息”。

证书窗口弹出后，切换到“详细信息”选项卡，往下滚动找到“颁发者”字段。这里显示的就是直接签发这张证书的CA名称。

但有个关键点：这个颁发者未必是根CA，它很可能是一个中间证书颁发机构。如果只是日常快速看一眼，到这里就够了；但如果要深究证书链是否完整，还得往下看。

用开发者工具逐级展开证书链确认根CA

这个方法能清晰地看到从服务器证书到中间证书再到根证书的完整路径，特别适合排查证书链断裂、私有CA误配这类深层问题。

方法一：快捷键直达

在目标HTTPS页面按F12（Windows/Linux）或Command+Option+I（Mac）打开开发者工具。切换到顶部的【Security】标签（要是没看到，点右箭头展开隐藏标签）。

等页面加载完成，状态栏显示“Valid, trustworthy certificate”之后，往下滚动到“Certificate”区块，点击【View certificate】。

证书窗口弹出后，切换到“证书路径”选项卡。你会看到多层证书节点，从下往上依次是：服务器证书 → 中间证书 → 根证书。

双击最顶层的那个节点，在“详细信息”里查看“颁发者”字段。这里显示的就是最终被系统信任的根证书颁发机构。这才是你想要的那个答案。

方法二：右键菜单辅助定位

页面空白处右键，选择“检查”打开开发者工具，效果跟按F12一样。如果Security面板加载完成后【View certificate】按钮是灰色的、点不动，说明页面还没完成TLS握手，刷新一下页面再试。

核对本地系统是否信任该根CA

证书链显示完整了，但系统如果不认，Chrome照样会报错。这时候就需要进入系统级的证书管理器来比对确认。

第一步：打开证书管理器

点击Chrome右上角三点菜单 → “设置” → 左侧选“隐私和安全” → 右侧点“安全” → 点击“管理证书”。

第二步：定位根证书条目

证书管理器弹出来后，选择“受信任的根证书颁发机构”选项卡。在右侧列表里按字母顺序查找上一步确认的根CA全名，比如“DigiCert Trusted G5 Root Certificate Authority”。

如果找不到，说明这个CA没有被系统信任。如果找到了，可以双击已有条目查看它的指纹和有效期，然后跟网页证书里的根证书SHA-256指纹做比对，一致才算真正可信。

第三步：导出网页根证书用于比对

回到网页证书窗口，在“证书路径”里选中顶层根证书节点，切换到“详细信息”选项卡，点击“复制到文件”，选择“Base-64 encoded X.509 (.CER)”格式，保存为local_root.cer。

然后在证书管理器里右键“受信任的根证书颁发机构” → “所有任务” → “导入”，选中刚才保存的文件完成导入。导入后，这个CA就会被Chrome临时信任。

总的来说，搞清楚证书的根CA并不复杂，关键是不要被中间层晃了眼。记住一条：地址栏里直接看到的信息不等于根CA，最稳妥的做法还是顺着开发者工具的【Security】面板一层一层翻到最顶层。这样无论遇到什么奇怪的证书配置，都能一眼看穿它的底细。

《夸克》非常好用的免费AI浏览器

下载APP查看