1、生成加密自簽名（SSL）證書

使用命令：

opensslreq-new-x509-newkeyrsa:2048-keyout/data/server.key-out/data/server.crt

注:執(zhí)行命令后，需要輸入密碼，然后依次輸入國家、地區(qū)、城市、組織、組織單位、Commonname和Email。其中，Commonname，可以寫自己的名字或域名，如果要支持https，Commonname應該與域名保持一致，否則會引起瀏覽器警告。

2、生成不加密的簽名（SSL）證書

1)生成私鑰

使用openssl工具生成RSA私鑰

opensslgenrsa-des3-out/data/server.key2048

注：生成rsa私鑰，des3算法，2048位強度，server.key是一個密鑰文件名，生成一個私鑰，要求您輸入這個key文件的密碼至少提供四個密碼，因為您必須在生成時輸入密碼。您可以在輸入后刪除它（因為它將來會被nginx使用。每次reloadnginx配置，您都需要驗證此PAM密碼）。

2)刪除密碼

mv/data/server.key/data/server.key.org（或cp/data/server.key/data/server.key.org）

opensslrsa-in/data/server.key.org-out/data/server.key

3)生成CSR(證書簽名請求)

生成私鑰后，根據(jù)這個key文件生成證書請求csr文件

使用OpenSSL實現(xiàn)自簽名，具體操作如下：

opensslreq-new-key/data/server.key-out/data/server.csr

注:執(zhí)行命令后，需要輸入密碼，然后依次輸入國家、地區(qū)、城市、組織、組織單位、Commonname和Email。其中，Commonname，可以寫自己的名字或域名，如果要支持https，Commonname應該與域名保持一致，否則會引起瀏覽器警告。

4)生成自簽名crt證書

最后，根據(jù)key和csr生成crt證書文件

openslx509-req-days3650-in/data/server.csr-signkey/data/server.key-out/data/server.crt

申請證書審核失敗可能提示的信息如下。

一.Fileauth.txt內(nèi)容配置錯誤

在提交證書審核時，使用文件驗證方法進行域名授權(quán)驗證，如提示，F(xiàn)ileauth.txt內(nèi)容配置錯誤的可能原因如下。

1.部分網(wǎng)站頁面已啟用HTTPS訪問，驗證文件fileauth.txt僅部署在HTTP服務路徑下，未部署HTTPS服務路徑，導致報錯。

驗證文件可以使用fileauth.txt同時部署在HTTP和HTTP中HTTPS在服務路徑下，需要確認HTTPS協(xié)議的正常訪問或臨時關(guān)閉相應網(wǎng)站的HTTPS服務。

2.訪問驗證文件時，網(wǎng)站返回錯誤代碼。

確認通過CA中心指定的驗證文件URL可以直接訪問正確的驗證文件內(nèi)容，并確認最終驗證文件不會通過重定向顯示在Web瀏覽器中。(瀏覽器地址是否發(fā)生變化可以檢測到是否有重定向。)

3.啟用CDN服務，但CDN服務節(jié)點未完成海外數(shù)據(jù)同步。

將驗證文件同步到海外CDN服務節(jié)點，或暫時關(guān)閉CDN海外加速服務。(如果您不能更改CDN節(jié)點服務器，建議您使用DNS驗證方法進行域名授權(quán)驗證。)

4.驗證文件時間戳超時。

重新下載最新的驗證文件，并上傳到您網(wǎng)站的指定目錄。

二.DNS配置錯誤

提交SSL證書審核時，如果選擇DNS驗證方法，需要先配置分析記錄，分析生效后再在數(shù)字證書管理服務控制臺進行驗證。

您可以通過以下方式在不同系統(tǒng)中查詢您的域名分析狀態(tài)，并分析您的域名驗證字符串的輸出信息，以檢查域名分析是否有效。更多信息，請參見域名所有權(quán)驗證。

Windows：使用nslookup命令查詢您的域名分析。

Linux：使用dig命令查詢您的域名分析。

dig@8.8.8.8txt[$Domain]

[$Domain]：域名分析配置的主機記錄。

使用DNS驗證方法進行域名授權(quán)驗證時，SSL證書審核失敗的可能原因如下。

1.DNS分析記錄值配置錯誤。

請配置正確的DNS主機記錄值和TXT分析記錄值。

2.使用DNSPod或其他域名分析服務提供商來分析域名。由于其他域名分析服務提供商查詢不存在的主機記錄的返回值與預期返回值不同，導致DNS配置錯誤。

您可以暫時忽略域名分析中提示的相關(guān)錯誤，在按要求配置DNS分析記錄后，進行域名授權(quán)驗證。

3.DigiCert品牌DV證書的記錄值僅在24小時內(nèi)有效，如果超過24小時，記錄值將發(fā)生變化。如果最新的TXT記錄值與DNS設置不一致，則會出現(xiàn)DNS配置錯誤。（GeoTrust品牌DV證書時間戳始終有效。)

刪除原TXT分析記錄值，訪問數(shù)字證書管理服務控制臺，重新申請目標證書，獲取最新TXT分析記錄值，重新添加新的TXT分析記錄值。（刪除原TXT分析記錄值，訪問數(shù)字證書管理服務控制臺，重新申請目標證書，獲得最新TXT分析記錄值，重新添加新的TXT分析記錄值。）

4.動態(tài)域名解析服務已經(jīng)啟用，相應的TXT解析記錄值未能及時同步到海外權(quán)威DNS服務器。

請確認正常的動態(tài)分析服務，并確保海外分析服務能正常分析您的新TXT分析記錄。

三.域名審核失敗

域名可能包含敏感詞。當您的二級域名或主域名中包含特定的關(guān)鍵字時，訂單請求將被CA中心直接拒絕。以下關(guān)鍵字供您參考：

包含live.bank.fund.wallet.pay.lv.nuclear..pw域名等。

您的域名是世界知名公司注冊商標.例如，域名等Google.Microsoft等。

請更換或刪除域名中的關(guān)鍵字并重新提交申請。經(jīng)過多次嘗試，如果審計仍然失敗，建議您選擇其他付費證書或更換主域名。

四.單位電話號碼不能為空或不正確

申請OV或EVSSL證書的類型，單位的電話號碼是必填的，要正確，如果單位的電話號碼是空的，.或者當輸入不符合規(guī)則時，就會出現(xiàn)錯誤。請?zhí)顚懻_的服務單位電話號碼，以確保電話號碼能與您聯(lián)系。

五.CSR該文件已用于其他訂單

為了確保證書密鑰的安全，請求新訂單時不允許使用以前使用過的CSR信息。如果以前使用的CSR文件已成功提交訂單，請在后續(xù)新訂單中重新生成新的CSR文件，以確保每個SSL證書都有唯一的密鑰。

六.證書綁定的域名格式不正確

如果之前使用的CSR文件已經(jīng)成功提交了訂單，請在后續(xù)的新訂單中重新生成新的CSR文件，以確保每個SSL證書都有唯一的關(guān)鍵。請檢查CSR請求文件和訂單中填寫的域名信息，以確保您使用正確的域名提交訂單。

七.主域名不能為空

請檢查CSR請求文件和訂單中填寫的域名信息，以確保您使用正確的域名提交訂單。（CommonName字段必須是綁定域名之一。)建議您使用系統(tǒng)自帶的生成CSR文件的功能。更多信息，請參見主域名不能為空。

1、站點證書不是由信任證書頒發(fā)機構(gòu)頒發(fā)的。

“SSL證書錯誤”的另一種情況是，證書不在瀏覽器制造商信任的列表中。您可以通過手動添加證書來安裝瀏覽器“信任列表”。信任根證書需要嵌入流行的瀏覽器，例如IE。、Firefox、Chrome、如果瀏覽器沒有遇到Apple等簽名證書中的一個，說明它不受信任，訪問者會看到網(wǎng)頁證書錯誤的消息。推薦使用權(quán)威CA機構(gòu)頒發(fā)的SSL證書。

2、證書名稱“不匹配”

當服務器提供的SSL證書上列出的域名與瀏覽器連接的域名不匹配時，就會出現(xiàn)“證書名稱不匹配”，導致網(wǎng)頁證書錯誤。

為了開始HTTPS連接，證書上的域名必須與瀏覽器地址欄中的域名完全匹配。建議在安裝和部署SSL證書時正確填寫域名。

此外，瀏覽網(wǎng)頁時，檢查輸入地址是否正確。

3、SSL證書已過期或尚未生效。

當出現(xiàn)“SSL證書錯誤”時，首先要確認證書是否有效，或者計算機系統(tǒng)的日期是否錯誤。你可以通過查看這個證書的有效起止日期，以確定證書是否在有效期內(nèi)。如果是，你需要檢查計算機日期是否正確。

如果沒有有效期，需要盡快聯(lián)系證書頒發(fā)CA，以便續(xù)費。

4、服務器啟用SNI所致。

這種情況更多的是設備之間的內(nèi)部問題，但是有時候客戶端和服務器名稱指示服務器之間的通信可能是SSL/TLS協(xié)會討論錯誤的原因。你需要做的第一件事就是確定有問題的服務器的主機名稱和端口號，并確保它已經(jīng)啟用了SNI并正在傳達它所有需要的內(nèi)容。

以上是SSL證書錯誤最常見的四種類型。如果沒有解決或者其他原因，可以聯(lián)系安信SSL證書在線客服，為您提供一對一技術(shù)指導服務。