哪个原因让服务器拒绝证书？怎么排查

证书过期是导致服务器拒绝证书的最常见原因之一。每个SSL证书均设有明确的有效期限，若服务器时间超出该范围，将直接触发验证失败。部分浏览器会显示ERR_CERT_DATE_INVALID错误代码。

• 检测方法：通过PowerShell执行Get-ChildItem -Path cert:\\localmachine\\my | Where-Object {$_.NotAfter -lt (Get-Date)}可快速筛选过期证书
• 解决方案：联系证书颁发机构更新证书。自签名证书需重新生成并部署

二、证书链完整性缺失

服务器未正确配置中间证书时，浏览器无法构建完整的信任链。例如缺失中间证书可能导致错误提示“证书链不完整”或NET::ERR_CERT_AUTHORITY_INVALID。

• 验证工具：使用openssl命令s_client -connect yourdomain.com:443可查看证书链层级结构
• 修复步骤：将服务器证书与中间证书合并为完整链文件，在IIS等服务器中重新导入

三、证书颁发机构信任问题

当证书由自签名CA或未被操作系统信任的机构签发时，服务器可能拒绝建立连接。例如CFCA证书在iOS 10.1以下版本因未预置根证书而报错。

通过命令行工具certutil -addstore root “C:\\path\
o\\rootca.cer”可将根证书导入系统信任库

四、域名匹配性验证失败

SSL证书绑定的域名与实际访问地址不符时，将触发“Certificate does not match the domain name”错误。浏览器会判定为身份冒用风险并终止连接。

五、系统时间同步异常

服务器或客户端系统时间偏差过大，会导致证书有效期验证逻辑错误。即使证书本身有效，时间不同步仍会使验证失败。

• 校准方案：通过NTP协议同步网络时间，确保系统时间误差在分钟级以内

六、混合内容加载冲突

若HTTPS页面中通过HTTP协议加载资源（如图片、脚本），会触发Mixed Content错误，间接导致证书验证中断。

七、服务器配置错误排查

证书文件权限设置不当、虚拟主机未绑定正确证书、密码套件配置过时等均可能引发问题。

八、客户端环境兼容性

老旧浏览器或操作系统可能不支持新的加密算法（如SHA-256），导致证书被拒绝。例如Android 6.0以下系统未预置CFCA根证书即属此类问题。