问题：HTTPS证书配置错误如何排查与解决？

一、HTTPS证书配置常见问题概述

在部署HTTPS网站时，常见的证书错误包括：

• 证书过期
• 域名不匹配（如www与非www版本）
• 中间证书缺失或未正确安装
• 私钥与证书不匹配
• 使用自签名证书

这些问题会导致浏览器提示“连接不安全”、“证书无效”等警告，影响用户体验和SEO排名。

二、从浅入深排查HTTPS证书问题

1. 浏览器提示分析

浏览器通常会给出明确的错误信息，例如：

2. 检查证书有效期

使用以下命令查看证书是否过期：

openssl x509 -in certificate.crt -text -noout | grep "Not After"

若显示的时间早于当前时间，则证书已过期，需重新申请并替换。

3. 验证域名匹配性

证书颁发时绑定的域名必须与访问的URL完全一致。可通过以下命令检查：

openssl x509 -in certificate.crt -text -noout | grep DNS

确保输出中包含当前访问的域名，如DNS:example.com, DNS:www.example.com。

4. 检查证书链完整性

完整的证书链应包括服务器证书、中间证书（Intermediate CA）和根证书（Root CA）。可通过以下方式验证：

openssl verify -CAfile /path/to/root-ca.crt -untrusted intermediate.crt certificate.crt

如果返回OK则表示证书链完整；否则需要补全中间证书。

5. 服务器配置检查

以Nginx为例，SSL配置应包含：

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/example.com/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/example.com/privkey.pem;
}

其中fullchain.pem应包含服务器证书和中间证书，顺序为：服务器证书 → 中间证书 → 根证书（可选）。

三、流程图展示排查路径

四、进阶建议与自动化工具

推荐使用以下工具辅助排查：

• SSL Labs SSL Test：全面检测SSL/TLS配置安全性
• openssl s_client -connect example.com:443 -showcerts：实时查看服务器发送的证书链
• curl -vI https://example.com：检查请求过程中的SSL握手状态

此外，建议设置自动监控机制，如使用Let’s Encrypt配合Certbot实现自动续签，避免因证书过期导致中断。