SSL证书服务开启域名监控后域名状态为危险

问题描述

阿里云SSL证书服务开启域名监控后,SSL证书服务会检测该域名的HTTPS业务状态,检测大约需要1~5分钟,完成域名HTTPS业务状态检测后,域名的状态为危险

说明:SSL证书服务每隔10分钟会重新检测域名的HTTPS业务状态。

问题原因

域名的HTTPS检测状态为危险的原因如下:

  • 服务器网络异常,网络连接超时。
  • 域名未配置SSL证书,不支持HTTPS服务,存在通信不安全的问题。
  • 域名的SSL证书链存在问题,例如证书链不完整、不可信。
  • 域名使用的证书即将过期(剩余有效期不足30个自然日)。
  • 域名使用的证书已经过期。

解决方案

SSL证书服务完成域名HTTPS业务状态检测后,状态为危险的处理方法如下:

  1. 检查服务器的网络是否有异常。如果有异常,请联系相关负责人进行修复。
  2. 检查证书配置是否完成。不同Web服务器安装SSL证书的具体操作不同,您可先在阿里云官网申请证书,然后参见SSL证书安装指南,安装SSL证书。
  3. 您可以在服务器上执行以下命令,检查证书链的完整性。
    openssl s_client -connect [$Server_IP]:443 -servername [$Domain_Name]
    说明
    • [$Server_IP]:需要替换成服务器IP地址。
    • [$Domain_Name]:需要替换成网站域名。
    • 该操作可以直接在服务器上执行,无需等待网站接入完成。
    系统显示类似如下。
    证书链
    如果只有域名证书,没有CA中间证书,表示证书链不完整。一般证书文件的内容格式如下图所示,其中前半部分(图示①)是域名证书,后半部分(图示②)是中间证书。
    注意:内容中不能包含空格或回车字符。
    证书文件格式
  4. 请检查证书是否过期。
    • 如果证书已经过期,请参见选择购买方式提交证书申请,重新为域名购买和配置SSL证书。
    • 如果证书即将到期,避免影响业务,请根据业务需要选择以下方案:
      • 请参见手动续费证书,手动进行续费,待证书签发后,将已签发的续费证书安装到您的Web服务器,替换即将过期的旧证书。
        说明续费购买入口仅在证书即将过期时(即到期前30个自然日内)开放,其余时间不支持操作。
      • 您可以通过为旧证书开启到期自动部署功能实现新证书的自动部署。关于开启到期自动部署的具体操作,请参见开启到期自动部署

适用于

  • SSL证书服务
阿里云首页 数字证书管理服务(原SSL证书) 相关技术圈