关于HTTPS配置证书异样的问题排查

最近遇到屡次HTTPS域名走访异样的情况，针对此类问题汇总一下CDN侧排查思路：常见HTTPS证书配置异样的分类：

1 证书过期2 用户自有证书未生效（已经走京东证书）3 证书缺失文章源自微观生活（93wg.com）微观生活-https://93wg.com/10162.html

具体分析办法：

一 、当通过阅读器走访https域名时候，呈现证书过去报错：文章源自微观生活（93wg.com）微观生活-https://93wg.com/10162.html

缘由：文章源自微观生活（93wg.com）微观生活-https://93wg.com/10162.html

1、当前电脑系统时间过错，所有的http安全证书都有颁发日期以及截止日期，电脑系统时间在证书有效时间区间以外有可能致使阅读器提醒网站https安全证书已过期或还未生效。文章源自微观生活（93wg.com）微观生活-https://93wg.com/10162.html

2、网站的https安全证书确切已经由期，依据https安全证书签发国际标准，https安全证书颁发不能超过39个月。文章源自微观生活（93wg.com）微观生活-https://93wg.com/10162.html

3、站点引用其它部署了https安全证书的外链，如果这个外链的证书过期了也会提醒相应的过错。 能检测出外链有证书过错的终端装备有：手机阅读器、PC端IE6 。解决：文章源自微观生活（93wg.com）微观生活-https://93wg.com/10162.html

1、 电脑系统时间不对：将电脑系统的时间调剂至https安全证书有效期以内。文章源自微观生活（93wg.com）微观生活-https://93wg.com/10162.html

2、 https安全证书过期：需要网站所有者到https安全证书签发机构CA续签证书。文章源自微观生活（93wg.com）微观生活-https://93wg.com/10162.html

3、 当前站点外链网站的https证书过期：需要网站所有者撤销外链或者外链网站所有者到CA机构替代或续费证书。文章源自微观生活（93wg.com）微观生活-https://93wg.com/10162.html

二、用户自有证书未生效（已经走京东证书）

测试办法：文章源自微观生活（93wg.com）微观生活-https://93wg.com/10162.html

openssl s_client -connect 183.214.145.195:443 -servername cdnimg.liehu.ijinshan.com可以看到如果用户有自有证书，装备生效后，不应当呈现CN=*.jdcloud.com，而应当是用户提供的证书，如：CN=*

解决：

此类问题需要运维看一下咱们装备是不是配置未生效或是证书未同步。

三、证书部份缺失

首先，咱们要了解完全的证书链=，阅读器自带根证书，因为其他https网站也会是这个结果，所以中间证书也基本是那几个，阅读器走访时会保留中间证书，所以当创世云只有域名证书时，阅读器已经自带了https走访需要的根证书以及中间证书。（参考https://www.v2ex.com/t/314604），所以当用户通过阅读器走访，因为节点配置的证书链不完全，大多数阅读器因为此前走访过其他https，因而都保存了根证书以及中间证书，不一定会出问题。但部份客户端走访会存在问题。

1、测试办法：openssl s_client -connect 59.63.167.5:443 -servername f6.market.xiaomi.com

报错信息：

正确返回值：

此办法可以即验证装备证书是不是正常，同事可以未来装备证书配置是不是正确的一个办法。

2、测试办法：

同时咱们也能够通过curl命令针对故障的节点抓取验证curl -v -o /dev/null &39; --resolve &39;3、故障现象：

这个命令会验证完全证书链，如果加-k，只会验证域名证书。您给到我方的只有域名证书，因而，如果用这个命令，会提醒证书有问题，-k则不会提醒

3 本地hosts固定节点，通过阅读器走访

敲黑板，注意了：

（1）关于证书校验，客户端或者阅读器会校验整个证书链（比如，从域名证书，到中间证书，到根证书，逐个验证），只有整个证书链完全，且完整可托，阅读器或者客户端才会认可。所以 《证书校验，实际上是证书链校验》

（2） 根证书，中间证书有一定的通用性。由同一个中间证书签发的所有域名证书均可以被该中间证书进行验签。

（3）一般来讲，阅读器 会预装根证书，而中间证书我个人感觉不会预装。 在咱们使用阅读器阅读各种各样的网站时，阅读器《有可能》会保留一些 中间证书，留着给一些没提供中间证书的 http服务器使用。 对于本案例阅读器走访200正常，有可能阅读器协助补全的证书链。解决：

1 用户提供完全的证书，从新配置

2 咱们提供其他用户提供的正常服务器，自己补全--需要研发提供补全日志。办法：openssl s_client -connect 180.149.158.172:443 -servername f6.market.xiaomi.com -showcerts

以上就是微观生活（93wg.com）关于“关于HTTPS配置证书异样的问题排查”的详细内容，希望对大家有所帮助！