怎样检查我的 SSL 证书是否安装正确？-TopSSL

如何验证 SSL 证书安装是否正确？

SSL 证书安装正确性不能仅凭浏览器地址栏显示“锁形图标”判断。真实生产环境中，常见错误包括证书链不完整、私钥不匹配、域名不覆盖、OCSP Stapling 失败或 TLS 协议/密码套件配置不当。验证需分层进行：客户端可观察现象 → 服务端可采集指标 → 第三方工具交叉验证。

使用 OpenSSL 命令行直接提取服务器返回的证书链并校验签名路径，是最权威的本地诊断方式。例如执行：openssl s_client -connect example.com:443 -servername example.com -showcerts，应返回完整的 PEM 格式证书链（含叶证书、中间证书），且末尾无“Verify return code: 0 (ok)”以外的错误码。若返回 code 21（unable to verify the first certificate）或 20（unable to get local issuer certificate），即表明中间证书缺失或根证书未被信任库识别。

SSL 证书安装有效性取决于终端信任锚是否能通过证书链回溯至已预置的根证书。

关键验证维度与工程建议

维度	参考标准	工程师建议
证书链完整性	CA/B Forum BR §7.1.2：必须发送完整链（不含根证书）	用 `openssl s_client -showcerts` 检查输出中是否包含全部中间证书；Nginx 需在 `ssl_certificate` 文件中拼接叶证书 + 中间证书（顺序不可颠倒）
域名覆盖范围	RFC 6125 §6.4.1：Subject Alternative Name 必须精确匹配请求 Host	检查 SAN 字段是否包含当前访问域名（含 www 变体）；多域名SSL证书需确认所有目标域名均已列入 SAN
私钥一致性	PKIX RFC 5280 §4.1.1.2：公钥必须与私钥数学匹配	运行 `openssl x509 -noout -modulus -in cert.pem \| openssl md5` 与 `openssl rsa -noout -modulus -in key.pem \| openssl md5` 对比哈希值
OCSP Stapling 状态	BR §7.1.2.2e：推荐启用以提升吊销检查性能	Nginx 启用 `ssl_stapling on` 并配置 `ssl_trusted_certificate`；用 `openssl s_client -status` 查看响应中是否含 OCSP Response

浏览器兼容性陷阱

部分老旧系统（如 Android 4.4.2、Java 6u45、Windows XP SP3）仅信任有限根证书池，若证书链依赖较新根（如 ISRG Root X1），可能触发 NET::ERR_CERT_AUTHORITY_INVALID。此时需确认 CA 是否提供传统交叉签名链（如 Let's Encrypt 的 DST Root CA X3 回退链），并在服务器配置中显式提供。

自动化验证工具推荐

提供免费在线检测，可解析证书链拓扑、检查 OCSP/CRL 分发点可达性、验证 TLS 1.2/1.3 握手能力及 SNI 支持状态。其结果与 Qualys SSL Labs 测试一致，但无需排队且支持内网域名（需公网可访问）。

常见问题

Q：为什么 Chrome 显示“安全”，但 curl 提示“SSL certificate problem: unable to get local issuer certificate”？ A：curl 默认使用操作系统证书存储（如 /etc/ssl/certs/ca-certificates.crt），而 Chrome 使用自有根证书库（Chromium Trust Store）。若服务器未发送中间证书，Chrome 可自动补全，但 curl 不会，需手动补全证书链或更新系统 CA 包。

Q：使用通配符证书时，*.example.com 能否覆盖 example.com？
A：不能。根据 BR §7.1.4.2.1，通配符仅匹配单标签子域（如 a.example.com、b.example.com），不匹配裸域。需在 SAN 中显式添加 example.com。

Q：DV SSL证书和OV SSL证书在安装验证流程上有区别吗？
A：无区别。验证焦点始终是证书链、密钥匹配、域名覆盖与协议配置，与证书验证等级（DV/OV/EV）无关。验证逻辑统一适用 DV SSL证书与 OV SSL证书。