SSL证书异常快速排查指南

在运维工作中，HTTPS服务中断往往源于证书配置不当。本文提供一套可直接执行的排查方法，无需依赖第三方平台，仅通过服务器端命令与标准工具即可快速定位问题。

1. 检查证书基本状态

使用 openssl s_client 命令直接测试目标端口。执行：

openssl s_client -connect example.com:443 -servername example.com

关注返回信息中的以下几项：压缩证书有效期，确认当前时间在 notBefore 与 notAfter 之间；核对 subject 和 issuer 字段，确认证书链完整且未被自签名证书阻断；观察返回的 SSL 握手详情，若出现 “Verify return code: 0 (ok)” 则表示信任链校验通过。对于非零返回码，应记录错误编号并查阅 OpenSSL 文档，常见错误包括 9（证书过期）、18（自签名证书）、20（无法获取本地颁发者证书）等。

2. 验证域名匹配与 SAN 扩展

证书颁发给特定域名，客户端会校验访问域名是否在证书的 CN 或 SAN 列表内。通过命令获取证书详情：

openssl s_client -connect example.com:443 -servername example.com 2>/dev/null | openssl x509 -noout -text | grep -A1 'Subject Alternative Name'

若输出中没有列出当前访问的域名，浏览器将报告“NET::ERR_CERT_COMMON_NAME_INVALID”。除通配符证书外，必须保证每个服务域名都在 SAN 中有明确记录。

3. 排查证书链与中间证书

很多配置错误源于缺少中间证书。可以下载完整的证书链文件，再用 openssl verify 命令离线验证：

openssl verify -CAfile /path/to/ca-bundle.crt /path/to/certificate.crt

若提示 “unable to get local issuer certificate”，说明中间证书缺失或顺序错误。正确做法是将服务器证书与中间证书拼接后配置，部分 Web 服务器（如 Nginx）要求证书链文件按从服务器到根的次序排列。

4. 检查服务器配置与 TLS 版本

部分老旧的 TLS 版本可能被客户端拒绝。可测试服务器支持的协议：

openssl s_client -connect example.com:443 -tls1_2 或 -tls1_3，若握手失败而支持更低版本，则需要评估是否升级。同时检查私钥是否与证书匹配，执行：

openssl rsa -noout -modulus -in private.key | openssl md5 与 openssl x509 -noout -modulus -in certificate.crt | openssl md5，两者输出应当一致，否则为私钥不匹配。

5. 利用自动化监控预防故障

上述手工排查适用于临时故障处理，日常运维应加入证书到期监控。可以编写 cron 脚本，通过 openssl s_client 提取 notAfter 时间，提前预警续期。同时使用 curl -vI https://... 快速判断证书路径和响应码，用于集成到健康检查流程中。