SSL证书异常快速排查指南：从报错到定位的实操流程

线上遇到HTTPS证书报错，先别急着直接换证书。打开浏览器F12的安全面板，根据错误码能省掉很多弯路。NET::ERR_CERT_DATE_INVALID多半是过期或服务器时间跑偏；ERR_CERT_COMMON_NAME_INVALID通常是域名对不上；ERR_CERT_AUTHORITY_INVALID则往往是证书链没配全。先把现象归好类，再上服务器查配置。

确认证书本身是否有效

到了服务器上，先用 openssl x509 -in /path/to/cert.pem -noout -dates 看有效期。这里有个坑：服务器时间如果和实际时间差得远，浏览器也会报过期，所以看完日期记得顺手对一下时区。接着查证书链，很多中间证书缺失都是部署时只上传了域名证书。用 openssl verify -CAfile chain.pem cert.pem 验证，如果看到 unable to get local issuer certificate，基本就是漏了中间证书，需要把中间证书和域名证书拼成完整链再上传。

域名匹配与反向代理场景

再核对一下SAN字段，确保访问的域名在证书里，可以用 openssl x509 -in cert.pem -noout -ext subjectAltName 查看。反向代理和CDN场景特别容易踩坑：证书要装在入口层，回源如果走HTTPS，源站证书也得保持有效。有些情况更新了源站证书却忘了同步CDN节点证书，导致两边指纹对不上，排查起来很费时间，建议运维团队维护一份证书到期和部署位置的台账。

协议版本与加密套件

如果只有部分客户端报错，大概率是TLS版本或加密套件不兼容。用 nmap --script ssl-enum-ciphers -p 443 目标IP 扫一下服务器支持的协议，看是不是只开了TLS 1.3导致老客户端连不上。Nginx里调整 ssl_protocols 和 ssl_ciphers 时，建议保留一个相对安全的兼容区间，别为了兼容把不安全的套件也打开。另外OCSP Stapling建议顺手验证一下，openssl s_client -connect 域名:443 -status 能看装订状态，开启后能提升握手效率。

更新后的验证步骤

证书换完一定要重载服务配置，例如执行 nginx -s reload 实现平滑生效，避免直接restart造成连接中断。验证时别只看配置文件路径，用 openssl s_client -connect 域名:443 /dev/null | openssl x509 -noout -fingerprint -sha256 把返回的指纹和本地新证书对比，确认内存里跑的是新证书。最后可以用SSL Labs这类在线工具跑个综合扫描，看证书链、协议、加密强度有没有短板，作为上线前的最后一道检查。