全部產品
Search
文件中心

:認證與密鑰不匹配問題排查

更新時間:Sep 30, 2024

問題描述

您在DDoS高防控制台、WAF控制台上傳網站HTTPS認證後,收到了認證和密鑰不匹配的提示。

解決方案

可能原因排查及修複建議
您上傳的認證與私密金鑰內容不匹配驗證認證和私密金鑰檔案的MD5值是否一致。如果不一致,表示認證檔案和私密金鑰檔案關聯了不同的網域名稱,認證和私密金鑰內容不匹配。
您可以執行以下命令,分別查看認證和私密金鑰檔案的MD5值:
openssl x509 -noout -modulus -in <認證檔案>|openssl md5 
openssl rsa -noout -modulus -in <私密金鑰檔案>|openssl md5

如果確認認證和私密金鑰檔案內容不匹配,建議您重新上傳正確的認證和私密金鑰檔案。

RSA私密金鑰格式錯誤產生新的私密金鑰並重新上傳。
您可以執行以下命令,產生一個新的私密金鑰:
openssl rsa -in <私密金鑰檔案> -out <新私密金鑰檔案>

其他:修複憑證鏈結

購買SSL認證後,認證服務商一般會為您提供中間認證和網域名稱認證。如果您只有網域名稱認證,而沒有中間認證,建議您使用認證修複工具進行修複。

您可以在伺服器上執行以下命令,檢查憑證鏈結的完整性:
openssl s_client -connect <server ip>:443 -servername <domain name>
變數說明:
  • <server ip>:需要替換成伺服器IP地址。
  • <domain name>:需要替換成網站網域名稱。
說明 該操作可以直接在伺服器上執行,無需等待網站接入完成。
返回結果中,如果Certificate chain地區同時包含網域名稱認證(圖示①)和CA中間認證(圖示②),表示憑證鏈結完整。憑證鏈結如果只有網域名稱認證,沒有CA中間認證,表示憑證鏈結不完整。這種情況下,建議您使用憑證鏈結修複工具修複憑證鏈結。例如,您可以使用憑證鏈結修複工具,下載網域名稱的完整憑證鏈結,並使用下載的憑證鏈結替換您的認證檔案。
一般認證檔案的內容格式如下圖所示,其中前半部分(圖示①)是網域名稱認證,後半部分(圖示②)是中間認證。
重要 內容中不能包含空格或斷行符號字元。
認證檔案格式