本文由【云老大】 TG@yunlaoda360 撰写
针对谷歌托管证书
- 查看证书状态 :通过 Google Cloud Console 查看证书的管理状态和域名状态。若证书状态为
PROVISIONING,可能需等待一段时间让 DNS 和负载均衡配置变更传播,如果一直停留在该状态,需检查是否正确关联了证书与目标代理。若状态为PROVISIONING_FAILED或PROVISIONING_FAILED_PERMANENTLY,可能是 DNS 或负载均衡配置问题,需按要求重新创建证书并关联到负载均衡器的目标代理。 - 检查域名配置 :确保域名的 DNS A 记录和 AAAA 记录仅指向负载均衡器的 IP 地址,且 DNS 变更已完全传播。如果使用了 GeoDNS 或基于位置的 DNS 策略,可能导致验证失败,需禁用或确保所有区域返回相同的负载均衡器 IP 地址。
- 检查 CAA 记录 :如果证书预置失败是因 CAA 记录配置问题,需确保按照正确流程设置 CAA 记录,使其允许 Google Cloud 使用相应的证书颁发机构。
针对自托管 SSL 证书
- 检查证书格式和内容 :使用 OpenSSL 命令验证证书格式是否为 PEM,以及是否包含通用名称或主题备用名称等必要属性。若证书无法解析,需联系证书颁发机构或重新创建新的私钥和证书。
- 验证私钥 :使用 OpenSSL 命令检查私钥是否符合要求,若私钥存在问题,必须重新创建新的私钥和证书。如果私钥带有密码短语,需先将其移除。
- 检查证书链 :确保安装了完整的证书链,包括中间证书和根证书。如果缺少中间证书,需从证书颁发机构下载中间证书包,并将其与服务器证书合并后上传至服务器。
其他常规检查
- 检查证书有效期 :如果 SSL 证书已过期,需要及时更新或重新颁发证书。
- 检查域名匹配 :确认域名是否与证书匹配,证书仅保护申请时指定的域名,不兼容其他子域名或不同域名,除非使用多域名证书或通配符证书。
- 检查服务器配置 :查看服务器配置文件,如 Apache 的 httpd.conf 或 Nginx 的 nginx.conf,确保正确配置了 SSL 证书路径及相关参数。
- 检查网络设备和中间件 :确保防火墙、CDN、代理服务器等网络设备配置正确,未拦截加密流量,允许 443 端口通行,并且 SSL/TLS 协议版本与加密套件兼容。
