当你用浏览器访问一个网站时，突然看到"您的连接不是私密连接"或"证书无效"的红色警告，是不是立刻想关掉页面？作为网站管理员，如果用户在你的Nginx服务器上遇到SSL证书无效的问题，可能会直接导致流量流失。今天我们就用"修车师傅找故障"的方式，带你看懂SSL证书失效的5个常见原因和对应的维修工具。

一、证书过期：就像过期的身份证

案例重现：

2025年某电商大促当天，客服突然接到大量用户投诉无法支付。检查发现SSL证书已于前一天23:59过期，就像超市收银员不认过期的会员卡。

排查方法：

```bash

openssl x509 -in /etc/nginx/ssl/your_domain.crt -noout -dates

```

输出会显示`notBefore`和`notAfter`日期，就像看食品保质期。

解决方案：

1. 联系CA机构重新签发（通常需要验证域名所有权）

2. 紧急情况下可先用Let's Encrypt免费证书临时救急：

certbot --nginx -d yourdomain.com

二、证书链不完整：就像缺页的说明书

典型症状：

手机访问正常但Windows电脑报错，就像安卓手机能读PDF但iPhone显示缺字体。

原理图解：

完整链条应该是：

你的证书 → 中间CA → 根CA

但常见错误是只安装了最底层的叶子证书。

修复步骤：

1. 用SSL检测工具（如[SSL Labs](https://www.ssllabs.com/)）诊断

2. 将CA提供的中间证书合并到现有证书：

cat your_domain.crt intermediate.crt > chained.crt

3. Nginx配置中指定完整路径：

```nginx

ssl_certificate /path/to/chained.crt;

三、域名不匹配：像写错地址的快递

情景模拟：

你为www.example.com买了证书，但用户访问example.com（无www）就会触发警告。就像快递员发现收件人门牌号对不上。

检测命令：

openssl x509 -in certificate.crt -noout -text | grep DNS

最佳实践：

1. 购买通配符证书（*.example.com）

2. 或者使用SAN证书覆盖多个域名

3. Nginx配置301跳转统一域名：

server {

listen 80;

server_name example.com;

return 301 https://www.example.com$request_uri;

}

四、系统时间错误：像永远慢一小时的挂钟

真实案例：

某公司内网系统突然全员报证书错误，最后发现是服务器BIOS电池没电，系统时间回到了2000年——相当于用2025年的驾照去2000年开车。

快速检查：

date && openssl s_client -connect yourdomain.com:443 | openssl x509 -noout -dates

解决方法：

1. Linux时间同步：

timedatectl set-ntp true

2. Docker容器需挂载主机时间：

```dockerfile

-v /etc/localtime:/etc/localtime:ro

五、密码套件不兼容：像只说方言的导游

当服务器配置了过于严格的加密算法时：

- Windows XP用户可能无法连接

- 旧版Android手机会握手失败

查看支持的协议：

nmap --script ssl-enum-ciphers -p 443 yourdomain.com

推荐配置（nginx.conf）：

ssl_protocols TLSv1.2 TLSv1.3;

ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';

ssl_prefer_server_ciphers on;

【终极排错工具箱】

1. OpenSSL诊断命令：

openssl s_client -connect yourdomain.com:443 -servername yourdomain.com | openssl x509 -noout -text

2. 在线检测三剑客：

- [SSL Labs](https://www.ssllabs.com/)（全面体检）

- [Why No Padlock](https://www.whynopadlock.com/)（混合内容检测）

- [Cipherli.st](https://cipherli.st/)（安全配置生成器）

记住处理SSL问题就像医生问诊——先看错误提示这个"症状"，再用工具做"体检"，最后对症下药。定期检查证书健康状态，才能让用户始终看到那个代表安全的小绿锁。

TAG:nginx ssl 无效证书,nginx ssl pem,nginx ssl证书申请,nginx的ssl证书,nginx ssl证书生成