SSL證書七大常見錯誤及解決方法
解決辦法:請確認(rèn)使用了正確的域名驗證方法,并正確的完成了驗證。
使用郵箱驗證,首先確保您使用的是網(wǎng)站管理員郵箱,即任選以下前綴的郵箱:admin@域名,administrator@域名,webmaster@域名,hostmaster@域名,postmaster@域名。請不要使用申請者的個人電子郵箱,否則訂單無法提交,也無法完成域名驗證。
使用DNS驗證,請到域名解析中添加指定的內(nèi)容,確保DNS記錄值與訂單信息中提供的內(nèi)容相匹配,并確保這條記錄可以公開訪問。
使用文件驗證,請到域名的根路徑上新建指定的路徑并放置驗證內(nèi)容,請確認(rèn)添加的路徑和放置的內(nèi)容與訂單信息中提供的內(nèi)容相匹配,并確保該路徑鏈接可以公開訪問。
注意:根據(jù)最新CA/B Forum對SSL證書域名驗證的策略變更通知,從2021年12月1日1起,通配符證書不再支持文件驗證。
錯誤二:私鑰丟失
解決辦法:重新簽發(fā)證書。如果您發(fā)現(xiàn)私鑰丟失,并確定電腦存儲器上已找不到的情況下,請在第一時間重簽證書,避免私鑰丟失帶來的數(shù)據(jù)泄露風(fēng)險。
錯誤三:CSR無效
解決辦法:重新生成CSR。重簽證書生成CSR時,請確保域名與原CSR中的域名保持一致。一個CSR只匹配一個私鑰,請不要重復(fù)使用同一個CSR。
此外,證書申請的前/后如果有多余的空格和破折號,也會使CSR證書失效。
錯誤四:通用名稱不匹配
解決辦法:當(dāng)提交通配符證書訂單時,請確認(rèn)域名是*.domain.com這種格式,*號不可省略,否則會收到錯誤提示:無效的域名格式。當(dāng)申請非通配符證書時,如果填寫了*.domain.com這種格式,同樣也會收到報錯:無效的域名格式;非通配符域名請直接填寫為domain.com。
如前所述,* 代表您可以使用此類證書保護(hù)的所有子域名。例如,如果要保護(hù) www.racent.com、ssltrus.racent.com 和 portal.racent.com,在 CSR 中輸入 *.racent.com 作為通用名稱即可。
注意:不能在帶有星號的通配符前創(chuàng)建子域,例如mail.*.domain.com,或雙通配符,例如*.*.domain.com。
錯誤五:公鑰和私鑰不匹配
解決辦法:重新生成CSR文件和私鑰,并安全保存。在申請證書時您可能多次生成了私鑰和CSR文件,或提供的CSR和私鑰并不是同時生成的,這將導(dǎo)致公鑰私鑰不匹配。這種情況下,需要重新生成CSR文件和私鑰,然后提交服務(wù)商申請重新簽發(fā)SSL證書,替換之前的證書方能使用。
錯誤六:SAN選項不匹配
解決辦法:確認(rèn)輸入的SAN與證書包含的SAN是否一致。出現(xiàn)此報錯的原因有多種,您可能:
在 SAN 之前或之后多拼了一個空格。
SAN有拼寫錯誤。
將證書的通用名稱填寫為SAN。
錯誤地將SAN填寫為子域名、多域名、內(nèi)部SAN或IP地址。
錯誤七:證書不受瀏覽器信任
在證書安裝完成后,可能還會出現(xiàn)證書不受信任的警告。
解決辦法:
首先,確認(rèn)安裝的SSL證書是全球可信SSL證書,可兼容您正在使用的瀏覽器。再檢查您是否未安裝中間證書或根證書丟失。若中間證書遺失,您可以與您的證書代理服務(wù)商聯(lián)系,檢查并確定您需要哪種中間證書。
其次,請檢查您的網(wǎng)站素材中是否包含HTTP資源,如有,請?zhí)鎿Q為HTTPS資源。
除此之外,您還需注意記錄您SSL證書的到期時間,為防止SSL證書過期導(dǎo)致的業(yè)務(wù)中斷,請確保在證書過期之前進(jìn)行更新替換。
當(dāng)然如果您看了本文還是不懂也沒關(guān)系,在耐思購買SSL,協(xié)助購買,保證最后能配置成功。