1. 验证证书域名匹配性
当浏览器提示“NET::ERR_CERT_COMMON_NAME_INVALID”错误时,通常表示SSL证书绑定的域名与用户实际访问的域名不一致。此时应通过以下步骤排查:
- 在浏览器中点击锁形图标查看证书详情,确认证书中“使用者可选名称(SAN)”是否包含当前访问的域名
- 检查通配符证书是否覆盖子域名(如*.example.com不匹配主域名example.com)
- 多域名证书需检查是否已添加所有需保护的域名
2. 检查证书链完整性
证书链缺失会导致浏览器无法验证证书合法性,可通过以下方法检测:
- 使用OpenSSL命令行工具验证证书链:
openssl s_client -connect yourdomain.com:443 -showcerts - 在服务器配置中确保证书链包含中间证书和根证书
- 通过在线检测工具(如SSL Labs)查看证书链验证状态
3. 核对服务器配置参数
服务器配置文件错误是常见原因之一,需重点检查:
- Apache服务器检查
SSLCertificateFile和SSLCertificateKeyFile路径 - Nginx服务器确认
ssl_certificate包含完整证书链 - 验证虚拟主机配置是否指向正确的域名证书
4. 利用在线工具快速诊断
推荐使用以下工具进行自动化检测:
- Qualys SSL Labs:全面分析证书状态和配置参数
- Why No Padlock:快速定位域名匹配问题
- DigiCert SSL Checker:验证证书链完整性和域名覆盖范围
SSL证书域名错误排查需遵循系统性方法:从浏览器错误提示定位问题类型→验证证书详细信息→检查服务器配置→使用专业工具二次验证。建议运维团队建立标准化检测流程,并定期通过自动化工具监控证书状态。
