常见问题排查

常见问题 10分钟阅读 1654次浏览

浏览器显示不安全?

问题1:NET::ERR_CERT_AUTHORITY_INVALID

原因:使用了自签名证书或证书链不完整

解决

  • 购买受信任的CA签发证书(如TrustySSL提供)
  • 确保安装了完整的证书链(证书+中间CA)
  • 检查是否遗漏了中间证书

问题2:NET::ERR_CERT_COMMON_NAME_INVALID

原因:证书域名与访问域名不匹配

解决

# 错误示例
证书绑定:www.example.com
实际访问:example.com  ❌ 不匹配!

# 解决方案
方案A:访问正确的域名 www.example.com
方案B:申请包含两个域名的SAN证书
方案C:使用通配符证书 *.example.com

问题3:混合内容警告

原因:HTTPS页面中引用了HTTP资源

解决:检查页面中的图片、脚本、样式表链接








安装失败排查

Nginx启动失败

# 报错:nginx: [emerg] cannot load certificate

# 排查步骤:
1. 检查文件路径是否正确
   ls -la /etc/nginx/ssl/

2. 检查文件权限
   chmod 600 yourdomain.key
   chmod 644 yourdomain.crt

3. 验证证书格式
   openssl x509 -in yourdomain.crt -text -noout

4. 测试Nginx配置
   nginx -t

Apache无法启动

# 报错:Invalid command 'SSLEngine'

# 解决:启用SSL模块
a2enmod ssl
systemctl restart apache2

域名验证失败?

HTTP验证方法

CA机构会访问:http://yourdomain.com/.well-known/pki-validation/file.txt

确保:

  1. 该URL可以正常访问(返回200状态码)
  2. 防火墙允许80端口入站
  3. 文件内容与CA提供的完全一致

DNS验证方法

添加TXT记录:

主机记录:_acme-challenge
记录类型:TXT
记录值:CA提供的验证字符串
TTL:300(或更短)

# 验证DNS生效
dig TXT _acme-challenge.yourdomain.com

性能优化建议

启用HSTS

# Nginx配置
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

OCSP Stapling

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/ssl/ca_bundle.crt;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
还有其他问题?
联系技术支持:QQ 1270668859
工作时间:9:00 - 22:00

最后更新:2026-05-25
文档反馈

这篇文档对您有帮助吗?您的反馈将帮助我们改进内容质量

需要更多帮助?

我们的技术团队随时为您提供支持