安装SSL证书后的查看方法
证书部署完成后，需从多个维度确认其是否正确生效。以下按使用场景分类说明。

一、命令行查看（最可靠）
查看证书文件本身
bash
openssl x509 -in server.crt -text -noout
重点关注以下字段：

字段 含义 验证要点
Subject: CN 证书绑定的域名 与实际访问域名一致
Issuer 签发机构 确认是受信任的CA
Validity 有效期 检查起止时间
X509v3 SAN 备用域名列表 多域名证书必查此项
X509v3 Key Usage 密钥用途 应含 Digital Signature、Key Encipherment
查看证书链是否完整
bash
openssl s_client -connect example.com:443 -showcerts
输出中 Certificate chain 应包含 2～3张证书（服务器证书 + 中间证书 + 根证书）。若只有一张，说明中间证书未配置，部分旧客户端会报错。

验证私钥与证书是否配对
bash
openssl x509 -noout -modulus -in server.crt | openssl md5
openssl rsa -noout -modulus -in server.key | openssl md5
两个MD5值必须完全一致，否则证书无法正常工作。

二、浏览器端查看
地址栏点击锁图标 → 点击"证书"（或"连接是安全的"→"证书有效"），可看到：

颁发给：确认域名无误
颁发者：确认CA机构
有效期：注意是否临近过期
证书路径：查看信任链是否完整
Chrome可直接访问 chrome://certificate-manager/，Firefox访问 about:certificates，适合批量管理。

三、在线工具辅助
工具 用途
SSL Labs（ssllabs.com/ssltest） 全面检测，含协议、密钥强度、兼容性评分
crt.sh 查询同一域名下所有已签发的公开证书
四、常见问题对照
现象 可能原因
浏览器提示"证书不可信" 中间证书缺失
openssl s_client 显示 Verify return code: 21 证书链不完整
域名正确但仍报错 SAN字段未包含该域名，仅CN匹配不够
证书安装不是上传完就结束，必须跑一遍 s_client 和配对校验，才算真正落地。