哎呀， 网站突然弹invalid ssl certificate，用户都跑了急死个人！

搞网站运维的兄弟们肯定都遇到过这种情况， 用户打开网站，浏览器突然弹个红红的警告，说什么“无效的SSL证书”，然后用户吓得赶紧关网页，再也不来了这流量哗哗地流失，老板知道了肯定得骂人。所以这个invalid ssl certificate问题必须赶紧解决，不然网站就没法用了。今天我就瞎聊聊怎么搞这个问题，反正我也是半吊子，说得不对别打我啊，太水了。。

1、先看看证书是不是过期了这个最常见！

很多时候invalid ssl certificate就是主要原因是证书过期了 就像你家里的牛奶，过期了就不能喝了SSL证书也有个保质期，过期了浏览器就不认了。怎么知道是不是过期了呢？你用浏览器打开你的网站， 点地址栏旁边那个小锁图标，然后点“证书”或者“详细信息”， PUA。 就能看到证书的“有效期”，里面有“生效日期”和“过期日期”，你看看现在日期是不是已经过了过期日期，要是过了那就是证书过期了赶紧换新的。我上次就遇到一个网站，忘了续费证书，过期了一个星期，用户都打不开，后来才发现是这个事，真是笑死人了。

掉链子。 有时候证书没过期，但被吊销了也会出这个问题。什么是吊销呢？就是颁发证书的机构觉得你这证书有问题， 比如你违规操作了或者你的私钥泄露了他们就把它作废了这时候浏览器也会弹invalid ssl certificate。怎么知道是不是被吊销了呢？证书详情里会有“证书状态”， 要是显示“已吊销”或者“不可信”，那就是被吊销了得赶紧联系证书机构问问怎么回事，或者重新申请一个。反正证书过期和吊销是最常见的原因，先检查这个，准没错。

2、证书和域名对不上，浏览器就不认！

对吧？ 还有一种情况，就是你申请证书的时候填的域名和用户实际访问的域名不一样。比如你申请证书的时候写的是www.abc.com， 后来啊用户直接访问abc.com，或者访问子域名如shop.abc.com，而证书里没包含这个子域名，浏览器一看“哎？证书里没有这个域名啊，不对劲”，就弹invalid ssl certificate。这时候你得看看证书里都包含了哪些域名，是不是把用户可能访问的域名都加进去了。要是子域名多，建议申请个通配符证书，比如*.abc.com，这样所有子域名都能用，省得麻烦。

还有可能是证书文件没放对地方，或者配置文件里的路径写错了。比如你把证书文件放在服务器的/opt/ssl目录下 但配置文件里写的是/etc/ssl/cert.pem，那服务器就找不到证书了浏览器自然就报invalid ssl certificate。 不是我唱反调... 这时候你得去服务器上找找证书文件到底在哪儿， 然后看看配置文件里的证书路径是不是和实际文件路径一致，错一个字母都不行，我上次就是主要原因是把“cert.pem”写成“cert.pam”，搞了半天才发现，真是晕死了。

3、服务器时间不对，浏览器就以为证书过期了！

这个情况也挺常见的，就是服务器的时间和实际时间差太多。比如现在是2024年7月， 服务器时间显示2023年1月，那证书明明是2024年12月才过期，服务器一看“哟，这证书还没到生效时间呢”，或者“早过期了”，就判断证书无效，弹invalid ssl certificate。这时候你得把服务器时间调对， 说真的... 怎么调呢？Linux系统可以用ntpdate命令同步时间， 比如ntpdate pool.ntp.org，Windows系统可以在日期和时间设置里选择“自动与Internet时间同步”。反正时间一定要准， 差个几分钟可能没事，差几个小时肯定不行，我以前用虚拟机，时间总是跑偏，每次都得手动调，烦死了。

4、证书信任链不完整，浏览器就不信任！

我比较认同... 有时候你申请的证书是某个小机构颁发的， 浏览器不认识它，就像你路上碰到个陌生人，他不给你看身份证，你肯定不敢跟他走对吧？这时候你就需要“中级证书”或者“根证书”， 让浏览器知道这个小机构是“被大机构信任的”，这样证书就合法了。服务器上部署证书的时候， 除了服务器证书，还得把中级证书也一起部署上，有些证书机构会把中级证书和服务器证书一起发给你，有些则需要你自己下载。

比如Let's Encrypt的证书， 有时候就需要手动添加中级证书，不然浏览器就会报invalid ssl certificate。用户端的话， 如果是内部网站，可以指导用户手动信任证书，但公网网站不建议这么做，用户不会搞的，还是换个主流机构的证书吧。

1、重新申请证书，这个最直接！

要是检查下来就是证书过期或者被吊销了那就得重新申请证书。申请证书的地方很多， 比如免费的Let's Encrypt，或者收费的DigiCert、Globalsign什么的。 我持保留意见... 申请的时候一定要把域名填对了 别像上次我同事，申请的时候把“www.abc.com”写成“wwe.abc.com”，后来啊证书下来了网站还是打不开，气死人了。

对了私钥一定要保管好，别泄露了不然别人冒充你的网站就麻烦了。

我整个人都不好了。 申请下来之后 把证书文件上传到服务器，按照服务器的要求配置，比如Nginx的话，在server块里加ssl_certificate和ssl_certificate_key，指定证书路径和私钥路径，然后重启Nginx服务，重启很重要，不重启配置不生效，还是弹invalid ssl certificate。

2、改配置文件，这个得细心！

要是配置文件写错了导致证书加载失败，就得改配置文件。比如Nginx的配置文件， 可能ssl_certificate写错了路径，或者ssl_certificate_key对应的私钥不对，或者没开ssl模块，这些都会导致invalid ssl certificate。改配置文件的时候一定要小心，别改错了其他地方，最好先备份一下原配置文件，改错了还能恢复，精辟。。

瞎扯。 改完之后记得重启服务， 我上次改Nginx配置，改完忘了重启，以为搞定了后来啊还是报错，搞了半天才发现，真是笨死了。Apache的话， 配置文件里也是类似的，SSLCertificateFile和SSLCertificateKeyKey，指定对路径就行。

3、清浏览器缓存，有时候是浏览器捣乱！

有时候你明明已经修复了证书问题， 但浏览器还是弹invalid ssl certificate，这可能是浏览器缓存了旧的证书信息。这时候你可以清一下浏览器的缓存和Cookie，或者用无痕模式访问网站。Chrome的话， 可以按Ctrl+Shift+Delete，选择清除缓存数据；Firefox的话，也是类似的操作，心情复杂。。

我遇到过一次 修复证书后Chrome还是报错，后来清了缓存就好了真是气人，还以为是服务器没搞好呢。还有可能是浏览器版本太旧， 不支持新的证书算法，比如TLS 1.3，这时候可以升级一下浏览器，或者试试用别的浏览器访问，比如Chrome不行用Firefox，Firefox不行用Edge，总有一个行吧。

4、检查防火墙和代理，别拦住了！

有时候防火墙或者代理服务器会拦截SSL证书的验证请求， 导致浏览器无法验证证书有效性，从而报invalid ssl certificate。比如公司的防火墙可能会阻止某些端口，或者代理服务器配置有问题，导致证书信息传不到浏览器。这时候可以检查一下防火墙规则，看看是不是把443端口封了或者把防火墙暂时关了试试。代理服务器的话，可以看看代理的SSL设置是不是正确，是不是需要信任中间证书。我以前用公司网络访问网站， 老是报invalid ssl certificate，后来发现是公司代理的问题，关了代理就好了真是麻烦，这事儿我可太有发言权了。。

invalid ssl certificate问题就是这些原因！

总的 invalid ssl certificate问题无非就是那么几个原因：证书过期、被吊销，域名不匹配，服务器时间不对，信任链不完整，配置文件写错，浏览器缓存，防火墙拦截。你就一个个排查， 先看证书有没有过期，再看域名对不对，然后调服务器时间，再检查配置文件，清浏览器缓存，再说说看看防火墙和代理。

捡漏。 反正细心点，别马虎，我上次搞这个问题，搞了两天再说说发现是证书过期了真是笑死人了。搞运维就是这样，天天跟这些乱七八糟的问题打交道，不细心真不行。希望我说的这些对你有用，反正我是瞎说的，别全信，自己动手试试最重要。对了 记得定期检查证书，别等过期了才想起来像我一样，老是忘，设置个提醒吧，手机日历里加个闹钟，提前一个月提醒自己续证书，不然又得被老板骂，哈哈！