问题描述
您在DDoS高防控制台、WAF控制台上传网站HTTPS证书后,收到了证书和密钥不匹配的提示。
解决方案
可能原因 | 排查及修复建议 |
---|---|
您上传的证书与私钥内容不匹配 | 验证证书和私钥文件的MD5值是否一致。如果不一致,表示证书文件和私钥文件关联了不同的域名,证书和私钥内容不匹配。
您可以执行以下命令,分别查看证书和私钥文件的MD5值:
如果确认证书和私钥文件内容不匹配,建议您重新上传正确的证书和私钥文件。 |
RSA私钥格式错误 | 生成新的私钥并重新上传。
您可以执行以下命令,生成一个新的私钥:
|
其他:修复证书链
购买SSL证书后,证书服务商一般会为您提供中间证书和域名证书。如果您只有域名证书,而没有中间证书,建议您使用证书修复工具进行修复。
您可以在服务器上执行以下命令,检查证书链的完整性:
openssl s_client -connect <server ip>:443 -servername <domain name>
变量说明:<server ip>
:需要替换成服务器IP地址。<domain name>
:需要替换成网站域名。
说明 该操作可以直接在服务器上执行,无需等待网站接入完成。
返回结果中,如果Certificate chain区域同时包含域名证书(图示①)和CA中间证书(图示②),表示证书链完整。如果只有域名证书,没有CA中间证书,表示证书链不完整。这种情况下,建议您使用证书链修复工具修复证书链。例如,您可以使用证书链修复工具,下载域名的完整证书链,并使用下载的证书链替换您的证书文件。
一般证书文件的内容格式如下图所示,其中前半部分(图示①)是域名证书,后半部分(图示②)是中间证书。
注意 内容中不能包含空格或回车字符。