常见问题排查
常见问题
10分钟阅读
1654次浏览
浏览器显示不安全?
问题1:NET::ERR_CERT_AUTHORITY_INVALID
原因:使用了自签名证书或证书链不完整
解决:
- 购买受信任的CA签发证书(如TrustySSL提供)
- 确保安装了完整的证书链(证书+中间CA)
- 检查是否遗漏了中间证书
问题2:NET::ERR_CERT_COMMON_NAME_INVALID
原因:证书域名与访问域名不匹配
解决:
# 错误示例
证书绑定:www.example.com
实际访问:example.com ❌ 不匹配!
# 解决方案
方案A:访问正确的域名 www.example.com
方案B:申请包含两个域名的SAN证书
方案C:使用通配符证书 *.example.com
问题3:混合内容警告
原因:HTTPS页面中引用了HTTP资源
解决:检查页面中的图片、脚本、样式表链接
安装失败排查
Nginx启动失败
# 报错:nginx: [emerg] cannot load certificate
# 排查步骤:
1. 检查文件路径是否正确
ls -la /etc/nginx/ssl/
2. 检查文件权限
chmod 600 yourdomain.key
chmod 644 yourdomain.crt
3. 验证证书格式
openssl x509 -in yourdomain.crt -text -noout
4. 测试Nginx配置
nginx -t
Apache无法启动
# 报错:Invalid command 'SSLEngine'
# 解决:启用SSL模块
a2enmod ssl
systemctl restart apache2
域名验证失败?
HTTP验证方法
CA机构会访问:http://yourdomain.com/.well-known/pki-validation/file.txt
确保:
- 该URL可以正常访问(返回200状态码)
- 防火墙允许80端口入站
- 文件内容与CA提供的完全一致
DNS验证方法
添加TXT记录:
主机记录:_acme-challenge
记录类型:TXT
记录值:CA提供的验证字符串
TTL:300(或更短)
# 验证DNS生效
dig TXT _acme-challenge.yourdomain.com
性能优化建议
启用HSTS
# Nginx配置
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
OCSP Stapling
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/ssl/ca_bundle.crt;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
还有其他问题?
联系技术支持:QQ 1270668859
工作时间:9:00 - 22:00
联系技术支持:QQ 1270668859
工作时间:9:00 - 22:00
最后更新:2026-05-25