技术支持中心

常见原因及解决方案：

• 文件路径错误：确保证书文件路径正确，检查文件权限（建议644）
• 证书格式问题：确认使用正确的证书格式（.crt, .pem, .key）
• 服务器配置错误：检查服务器配置文件语法，重启服务验证
• 防火墙阻拦：确保443端口开放，检查安全组设置

排查步骤：

1. 使用 openssl x509 -in cert.pem -text -noout 验证证书有效性
2. 检查服务器错误日志
3. 使用在线SSL检测工具验证配置

HTTP验证失败：

• 确保域名正确解析到服务器IP
• 检查80端口是否开放且可访问
• 验证 /.well-known/acme-challenge/ 目录可访问
• 关闭CDN或代理服务（验证期间）

DNS验证失败：

• 确认DNS记录已正确添加
• 等待DNS传播完成（最多48小时）
• 使用 nslookup 或 dig 验证DNS记录

检查项目：

• Cron任务：确认续期任务已正确配置
• 权限问题：确保续期脚本有足够权限
• 域名变更：检查域名是否仍然有效
• 服务器时间：确保服务器时间准确

排查步骤：

# 检查证书到期时间
openssl x509 -in /path/to/certificate.crt -noout -dates

# 测试域名解析
nslookup your-domain.com

# 检查端口连通性
telnet your-domain.com 80

常见错误代码：

• ERR_CERT_AUTHORITY_INVALID：证书颁发机构不受信任
• ERR_CERT_COMMON_NAME_INVALID：域名不匹配
• ERR_CERT_DATE_INVALID：证书已过期或未生效
• ERR_SSL_PROTOCOL_ERROR：SSL协议配置错误

解决方法：

• 重新申请证书并正确安装
• 检查服务器SSL/TLS配置
• 更新浏览器或操作系统

申请要求：

• 必须使用DNS验证方式
• 需要域名管理权限
• 支持 *.example.com 格式

申请步骤：

# 1. 准备DNS TXT记录验证
# 2. 在DNS管理面板添加验证记录
# 3. 通过我们的控制台申请通配符证书
# 4. 下载并部署证书文件

注意事项：

• 通配符证书不包含根域名，需要同时申请
• DNS记录添加后需等待传播
• 续期时需要重新验证DNS