SSL证书是网站安全的"身份证"，而Nginx作为最流行的Web服务器之一，正确解析和管理SSL证书至关重要。本文将用大量实例带你掌握查看Nginx证书有效期、颁发机构等关键信息的全套方法，并分享5个运维必知的故障排查技巧。

一、为什么需要关注SSL证书信息？

想象一下：你经营一家电商网站，某天顾客反馈浏览器出现"不安全"警告。经查发现是SSL证书过期导致——这直接造成当天订单量下降30%。这就是定期检查证书信息的必要性：

1. 防止服务中断：证书过期会导致网站被浏览器拦截

2. 避免安全风险：如证书被吊销或签发机构不受信任

3. 合规要求：PCI DSS等标准要求有效证书配置

二、4种方法解析Nginx SSL证书信息

方法1：OpenSSL命令行（基础版）

```bash

openssl s_client -connect example.com:443 -servername example.com | openssl x509 -noout -dates

```

执行后会显示：

notBefore=May 20 00:00:00 2025 GMT

notAfter=May 19 23:59:59 2025 GMT

适用场景：快速检查有效期，适合批量脚本调用

方法2：Nginx内置变量（高级技巧）

在Nginx配置中添加：

```nginx

server {

listen 443 ssl;

server_name example.com;

关键配置开始

add_header X-SSL-Issuer $ssl_client_i_dn;

add_header X-SSL-Expire $ssl_server_not_after;

关键配置结束

ssl_certificate /path/to/cert.pem;

...

}

通过curl测试：

curl -I https://example.com | grep -i 'x-ssl'

输出示例：

X-SSL-Issuer: CN=Let's Encrypt, O=Let's Encrypt...

X-SSL-Expire: May 19 23:59:59 2025 GMT

优势：无需服务器权限，前端即可获取信息

方法3：Certbot工具（Let's Encrypt专属）

sudo certbot certificates

典型输出：

Found the following certs:

Certificate Name: example.com

Domains: example.com www.example.com

Expiry Date: 2025-05-19 (VALID)

Certificate Path: /etc/letsencrypt/live/example.com/fullchain.pem

方法4：Python脚本解析（适合批量管理）

```python

import OpenSSL.crypto, datetime

with open("/etc/nginx/ssl/cert.pem", "rb") as f:

cert = OpenSSL.crypto.load_certificate(OpenSSL.crypto.FILETYPE_PEM, f.read())

print("颁发者:", cert.get_issuer().CN)

print("有效期至:", datetime.datetime.strptime(cert.get_notAfter().decode(), '%Y%m%d%H%M%SZ'))

三、实战中的5个经典问题解决方案

Case1：证书链不完整导致警告

现象：浏览器显示"此网站出具的安全证书并非来自受信任的机构"

解决方法：

ssl_certificate /path/to/fullchain.pem;

←必须包含中间证书

ssl_certificate_key /path/to/privkey.pem;

Case2：多域名证书配置错误

错误配置：

server_name api.example.com;

←实际访问shop.example.com

ssl_certificate /path/to/wrong_cert.pem;

正确做法：

listen 443 ssl default_server;

SNI识别不同域名

server_name shop.example.com;

ssl_certificate /path/to/shop_cert.pem;

server_name api.example.com;

ssl_certificate /path/to/api_cert.pem;

Case3：OCSP装订失效排查

检查命令：

openssl s_client -connect example.com:443 -status < /dev/null | grep -A17 'OCSP'

正常应返回OCSP响应数据，若无响应需检查：

ssl_stapling on;

ssl_stapling_verify on;

resolver 8.8.8.8 valid=300s;

←必须配置DNS解析器

四、自动化监控方案推荐

推荐使用Prometheus+Blackbox Exporter组合：

1. Blackbox配置：

```yaml

modules:

http_2xx:

prober: http

http:

preferred_ip_protocol: "ipv4"

tls_config:

insecure_skip_verify: false

fail_if_ssl_expires_in_less_than: "720h"

←30天预警阈值

2. Grafana仪表盘公式：

probe_ssl_earliest_cert_expiry{job="blackbox"} - time()

五、进阶知识扩展

当使用ECC椭圆曲线证书时，需特别注意：

1. Nginx编译时需要支持TLSv1.3：

```bash

nginx -V | grep TLSv1.3

```

2. ECDSA密钥对生成命令差异：

```bash

openssl ecparam -genkey -name prime256v1 | openssl ec -out ecc.key

通过以上方法和案例，你已经可以专业地管理Nginx SSL证书。建议将检查流程纳入日常运维清单，毕竟在网络安全领域，"预防永远比补救更经济"。

TAG:nginx ssl证书信息解析,linux nginx ssl证书,nginxssl证书配置,nginx的ssl,nginx ssl_preread,nginx ssl证书申请