問題描述
您在DDoS高防控制台、WAF控制台上傳網站HTTPS認證後,收到了認證和密鑰不匹配的提示。
解決方案
可能原因 | 排查及修複建議 |
您上傳的認證與私密金鑰內容不匹配 | 驗證認證和私密金鑰檔案的MD5值是否一致。如果不一致,表示認證檔案和私密金鑰檔案關聯了不同的網域名稱,認證和私密金鑰內容不匹配。 您可以執行以下命令,分別查看認證和私密金鑰檔案的MD5值:
如果確認認證和私密金鑰檔案內容不匹配,建議您重新上傳正確的認證和私密金鑰檔案。 |
RSA私密金鑰格式錯誤 | 產生新的私密金鑰並重新上傳。 您可以執行以下命令,產生一個新的私密金鑰:
|
其他:修複憑證鏈結
購買SSL認證後,認證服務商一般會為您提供中間認證和網域名稱認證。如果您只有網域名稱認證,而沒有中間認證,建議您使用認證修複工具進行修複。
您可以在伺服器上執行以下命令,檢查憑證鏈結的完整性:
openssl s_client -connect <server ip>:443 -servername <domain name>
變數說明:<server ip>
:需要替換成伺服器IP地址。<domain name>
:需要替換成網站網域名稱。
說明 該操作可以直接在伺服器上執行,無需等待網站接入完成。
返回結果中,如果Certificate chain地區同時包含網域名稱認證(圖示①)和CA中間認證(圖示②),表示憑證鏈結完整。如果只有網域名稱認證,沒有CA中間認證,表示憑證鏈結不完整。這種情況下,建議您使用憑證鏈結修複工具修複憑證鏈結。例如,您可以使用憑證鏈結修複工具,下載網域名稱的完整憑證鏈結,並使用下載的憑證鏈結替換您的認證檔案。
一般認證檔案的內容格式如下圖所示,其中前半部分(圖示①)是網域名稱認證,後半部分(圖示②)是中間認證。
重要 內容中不能包含空格或斷行符號字元。