引言:证书过期不只是“警告”,可能影响业务
SSL 证书过期后,浏览器可能直接提示“不安全/不受信任”,用户访问受阻;同时 HTTPS 链路也可能导致登录、支付、回调、API 等关键请求异常。最重要的是:先止血恢复可信,再续签/更换完成部署,最后建立监控避免再次发生。
一、先止血:让网站尽快恢复可访问
1. 立即确认影响范围
- 到期的域名/子域名是否覆盖了所有业务入口(含 SAN、多域名、通配符证书)。
- 证书是否部署在反向代理/网关/负载均衡层,避免“应用已换证但入口仍旧用旧证书”。
2. 快速恢复可信(按可行性选择)
- 若有“上一张未过期”的可用证书:尽快回滚并重启服务。
- 确认是否为“链不完整/中间证书缺失”导致的异常:部署完整链(server cert + intermediate cert)。
- 必要时启用维护策略或临时证书,降低用户暴露风险,同时并行推进正式续签。
二、正式续签/更换:标准流程一次走通
1. 盘点证书信息与续签策略
- 确认证书覆盖域名清单(SAN 是否包含全部子域)。
- 决定是否保留私钥:如果私钥已丢失/需要更换算法或参数,通常需要重新生成 CSR。
2. 生成 CSR / 提交续签(视 CA 要求)
通过证书颁发机构(CA)控制台提交续签或重新签发申请,完成域名验证(DNS/HTTP/邮件等)。确保 CSR 的主体信息与域名范围完全匹配。
3. 下载证书与完整证书链
务必下载并部署:站点证书(leaf/server cert)以及中间证书(intermediate chain)。很多“换了证书仍不对”的根因就是链未配置完整。
4. 部署与重启生效
- Nginx/Apache/IIS 等需要正确设置证书文件路径与链文件。
- 如果是多层架构,优先在“对外入口层”完成替换与重启。
5. 验证是否真正恢复
- 浏览器查看证书有效期与链完整性。
- 使用 SSL Labs 或命令行握手检查是否仍报错。
- 核对是否存在 mixed content(页面仍引用 http 资源)导致安全体验下降。
三、建立预防机制:让“过期”变成可治理问题
- 到期监控与告警:建议至少提前 30 天开始准备,90/60/30/7 天多级提醒更稳。
- 私钥与变更记录:私钥妥善备份,并记录部署变更、证书位置、服务重启策略。
- 自动化续期(可行时):对适配场景可使用自动续期,降低人为遗漏。
结语:更快恢复、更少事故
SSL 证书过期的正确打开方式是“流程化”:止血恢复、续签部署、全链验证、再用监控防复发。如果你希望更快完成 CSR 准备、续签与安装排障,可以访问我们的 证书管理页面、在线申请与 安装指南,也可以联系 技术支持获得协助。