行业资讯

一、先搞懂：SSL 证书安全校验失败是什么意思？

二、6 步解决 SSL 证书安全校验失败问题

步骤 1：优先检查证书有效期 —— 避免 “过期导致的基础失效”

• 如何检查：

1. 访问问题网站，点击浏览器地址栏的 “警告图标”（红色叉号 / 黄色感叹号）；

2. 选择 “证书信息”（不同浏览器名称略有差异，如 Chrome 显示 “证书无效”→“查看证书”）；

3. 查看 “有效期（Not Before/Not After）”，确认当前日期是否在 “Not After”（过期日期）之前。

• 如何解决：

• 若已过期：立即向原证书颁发机构（CA）申请 “续期”（如 Let’s Encrypt 用 Certbot 工具自动续期，商业 CA 在官网提交续期申请），下载新证书后替换服务器上的旧证书；

• 若即将过期：提前 30 天启动续期流程，避免到期后影响访问；

• 关键提醒：务必选择受信任的 CA（如 Let’s Encrypt、DigiCert、GlobalSign），非信任 CA 颁发的证书即使在有效期内，也可能校验失败。

步骤 2：检查证书链完整性 —— 填补 “信任链断裂” 漏洞

• 如何检查：

1. 使用在线工具（如SSL Labs Server Test、SSL Checker），输入域名后查看 “证书链（Certificate Chain）” 板块；

2. 若显示 “Chain Issues: Incomplete”（链不完整）或 “Missing Intermediate Certificate”（缺少中间证书），则确认为该问题。

• 如何解决：

• Nginx：确保ssl_certificate指向完整证书链文件（如ssl_certificate /etc/nginx/ssl/fullchain.pem;），而非仅服务器证书；

• Apache：需同时配置SSLCertificateFile（服务器证书）和SSLCertificateChainFile（中间证书）；

1. 从 CA 官网获取完整证书链：登录 CA 账户，找到对应域名的证书下载页，获取 “中间证书” 或 “完整证书链文件”（通常命名为intermediate.crt或fullchain.pem，后者已包含服务器证书 + 中间证书）；

2. 重新配置服务器：

3. 配置后重启服务器（如systemctl restart nginx），再次用在线工具检测，确认 “Chain Issues” 显示 “None”。

步骤 3：检查证书配置与域名匹配性 —— 避免 “配置错位” 导致失效

• 证书绑定www.example.com，但用户访问example.com（无 www 前缀）；
• 证书未包含子域名（如证书仅含example.com，用户访问blog.example.com）；
• 服务器配置的证书文件路径错误、私钥与证书不匹配。
• 如何检查：

1. 查看证书域名：在证书信息中找到 “SAN（Subject Alternative Name）” 或 “使用者（Subject）”，确认证书包含的所有域名，对比用户实际访问的域名（如地址栏中的example.com）；

2. 检查配置正确性：使用在线工具（如 SSL Labs）查看 “Configuration” 板块，是否有 “Domain Mismatch”（域名不匹配）、“Private Key Mismatch”（私钥不匹配）等提示。

• 如何解决：

• 域名不匹配：重新申请包含 “目标域名” 的证书（如需要同时支持www和非www，申请双域名证书；需要支持多个子域名，申请通配符证书*.example.com）；

• 配置错误：核对服务器配置文件中的证书路径（确保指向正确的证书 / 私钥文件），若私钥与证书不匹配，重新生成私钥并申请新证书；

• 更换域名 / 证书后：及时更新服务器配置，避免旧配置残留。

步骤 4：检查证书状态 —— 排除 “吊销或过期” 风险

• 如何检查：

1. CA 官网查询：登录原 CA 账户，找到对应证书，查看 “状态” 是否为 “Revoked”（已吊销）；

2. 命令行查询（适合技术人员）：使用 OpenSSL 工具查询 OCSP 状态，如：

   bash

   openssl ocsp -issuer intermediate.crt -cert server.crt -url http://ocsp.example.com -CAfile fullchain.crt

   
   若返回 “revoked”，则证书已被吊销。

• 如何解决：

• 若已吊销 / 过期：立即向 CA 申请新证书（需重新完成域名验证，私钥泄露时需生成新私钥，避免复用旧私钥）；

• 安装新证书后：确认旧证书已从服务器中删除，避免配置冲突。

步骤 5：检查服务器 SSL 配置与网络规则 —— 确保 “兼容且通畅”

• 如何检查：

1. 检查 SSL 协议与加密套件：用 SSL Labs 工具查看 “Protocol Support” 板块，是否有 “Protocol deprecated”（协议已废弃）提示，或 “Weak Ciphers”（弱加密套件）；

2. 检查防火墙 / 安全组：确认服务器防火墙（如 iptables、ufw）、云服务商安全组（如阿里云安全组、AWS Security Group）已开放 443 端口（HTTPS 默认端口），未阻止 OCSP 查询（用于验证证书状态）的出站流量。

• 如何解决：

• Nginx 示例配置：

  nginx

  ssl_protocols TLSv1.2 TLSv1.3;ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256;

  
  

1. 更新服务器 SSL 配置：禁用 TLS 1.0/1.1，仅保留 TLS 1.2/1.3（安全性更高），配置强加密套件（如 ECDHE-RSA-AES256-GCM-SHA384）；

2. 调整防火墙规则：开放 443 端口，允许 OCSP 查询（通常为 HTTP 80 端口出站，因 OCSP 请求多通过 HTTP 发送）。

步骤 6：重新安装证书 —— 修复 “安装错误” 遗留问题

• 如何操作：

• 证书文件（服务器证书、中间证书）完整且路径正确；

• 私钥文件权限设置合理（如 Nginx 私钥权限设为 600，避免其他用户读取）；

1. 备份旧配置：先备份服务器上的旧证书文件和 SSL 配置（避免误删导致无法恢复）；

2. 按 CA 指南重新安装：严格遵循 CA 提供的安装教程（不同服务器类型、CA 的步骤略有差异，如 Let’s Encrypt 有针对 Nginx、Apache 的专属指南），确保：

3. 安装后验证：重启服务器，用浏览器访问网站，确认无校验失败警告，同时用 SSL Labs 工具检测配置是否正常。

三、总结：快速定位问题的核心逻辑

1. 先查 “基础项”：有效期→证书状态（是否吊销）；

2. 再查 “信任项”：证书链完整性→CA 是否受信任；

3. 最后查 “配置项”：域名匹配性→服务器 SSL 配置→防火墙规则。