SSL证书失效了怎么办？

SSL证书失效了怎么办？失效原因与解决办法来了

数字化服务深度依赖TLS加密，证书一旦失效，浏览器毫不留情地将站点标记为“不安全”，直接动摇用户信任与业务连续性。梳理典型失效诱因，掌握从诊断到修复的闭环手段，已是运维与安全团队的基本功。

证书过期
公开信任证书的有效期已缩短至398天，稍有疏忽便会过期。浏览器报错NET::ERR_CERT_DATE_INVALID，服务应声中断。
处置时，先向CA紧急申请新证，替换Nginx、Apache或IIS中的证书文件并重载服务。更要补齐机制短板：部署Certbot等ACME客户端实现自动续期，在Zabbix、Prometheus中增设证书有效期监控，设置“到期前30天、7天”分级告警，告别被动救火。

域名不匹配
证书SAN扩展里没有包含用户实际访问的域名，是另一高发故障。典型如只签发了example.com却未覆盖www.example.com，或CDN边缘证书与源站自定义域名不对齐。
解决思路是重签证书，确保SAN中列全所有对外服务的域名，裸域名不可遗漏。CDN场景下，需在控制台上传匹配回源与边缘域名的有效证书，并关闭可能导致校验矛盾的“强制HTTPS回源”选项。

证书链不完整
服务器只部署了终端实体证书，遗漏中间证书，导致部分客户端无法构建至根证书的信任链。移动端与部分API客户端对这种错误极为敏感，桌面浏览器则可能因AIA抓取而表现不一致，增加排查迷惑。
从CA官网下载正确的中间证书，按“服务器证书在前、中间证书在后”的顺序拼接为一个文件，重启Web服务。检查可执行openssl s_client -connect yourdomain:443 -showcerts，再用openssl verify -CAfile chain.crt server.crt验证链完整性。Nginx用户切记将中间证书内容直接追加到ssl_certificate指定的文件中。

证书被吊销
私钥泄露、主体信息变更会触发CA吊销证书。此时客户端通过OCSP或CRL查询到吊销状态，即报风险。若网络防火墙拦截OCSP服务且未启用OCSP装订，也会造成误判。
立刻生成新密钥对，申请重新签发证书并完成部署。同时务必在服务器开启OCSP Stapling，由服务端主动获取吊销状态并随TLS握手发给客户端，消除外部查询依赖。内部私有CA环境需检查CDP及OCSP应答程序的网络可达性。

客户端系统时间偏差
证书有效性严格依赖notBefore与notAfter之间的时间判断。用户终端若因虚拟机休眠、IoT未同步NTP等导致时钟漂移，会看到“证书尚未生效”或“证书已过期”的误报。
排查时可对比服务器日志中的握手时间与证书窗口，如仅少量用户反馈，基本可定位为客户端时间异常。引导用户同步网络时间并打开自动设置。服务器自身务必启用NTP，以免服务器时间不准反噬日志分析和OCSP装订功能。

混合内容警告与证书无关
HTTPS页面加载HTTP资源，浏览器屏蔽并标记“不安全”，虽非证书本身失效，用户感知却几乎等同。
全站引用需统一为HTTPS，借助响应头Content-Security-Policy: upgrade-insecure-requests可让浏览器自动升级。排查时在浏览器网络面板过滤“mixed-content”，即可快速锁定需修正的资源链接。

自签名与不受信任CA
面向互联网的服务使用自签名证书或未被主流根证书库信任的CA，浏览器一律按不可信处理。
公网服务务必更换为全球信任的CA（如Let’s Encrypt、DigiCert等）签发的证书。内部系统若确需使用私有CA，则必须通过GPO或MDM将内部根证书推送至全部受控客户端，确保信任关系完整。

证书失效看似技术故障，症结往往在管理流程的疏漏。建立覆盖申请、部署、监控、续期、吊销的全生命周期闭环，用自动化把守护前置，才能将红锁警告真正挡在用户视线之外。