SSL证书服务开启域名监控后域名状态为危险

问题描述

阿里云SSL证书服务开启域名监控后，SSL证书服务会检测该域名的HTTPS业务状态，检测大约需要1~5分钟，完成域名HTTPS业务状态检测后，域名的状态为危险。

说明：SSL证书服务每隔10分钟会重新检测域名的HTTPS业务状态。

问题原因

域名的HTTPS检测状态为危险的原因如下：

• 服务器网络异常，网络连接超时。
• 域名未配置SSL证书，不支持HTTPS服务，存在通信不安全的问题。
• 域名的SSL证书链存在问题，例如证书链不完整、不可信。
• 域名使用的证书即将过期（剩余有效期不足30个自然日）。
• 域名使用的证书已经过期。

解决方案

SSL证书服务完成域名HTTPS业务状态检测后，状态为危险的处理方法如下：

1. 检查服务器的网络是否有异常。如果有异常，请联系相关负责人进行修复。
2. 检查证书配置是否完成。不同Web服务器安装SSL证书的具体操作不同，您可先在阿里云官网申请证书，然后参见SSL证书安装指南，安装SSL证书。
3. 您可以在服务器上执行以下命令，检查证书链的完整性。

   openssl s_client -connect [$Server_IP]:443 -servername [$Domain_Name]

   说明：
   

   • [$Server_IP]：需要替换成服务器IP地址。
   • [$Domain_Name]：需要替换成网站域名。
   • 该操作可以直接在服务器上执行，无需等待网站接入完成。

   系统显示类似如下。
   
   如果只有域名证书，没有CA中间证书，表示证书链不完整。一般证书文件的内容格式如下图所示，其中前半部分（图示①）是域名证书，后半部分（图示②）是中间证书。
   

   注意：内容中不能包含空格或回车字符。

   
4. 请检查证书是否过期。
   • 如果证书已经过期，请参见选择购买方式和提交证书申请，重新为域名购买和配置SSL证书。
   • 如果证书即将到期，避免影响业务，请根据业务需要选择以下方案：
     • 请参见手动续费证书，手动进行续费，待证书签发后，将已签发的续费证书安装到您的Web服务器，替换即将过期的旧证书。

       说明：续费购买入口仅在证书即将过期时（即到期前30个自然日内）开放，其余时间不支持操作。

     • 您可以通过为旧证书开启到期自动部署功能实现新证书的自动部署。关于开启到期自动部署的具体操作，请参见开启到期自动部署。

适用于

• SSL证书服务