【導讀】
Nginx SSL證書部署后仍顯示HTTP或報錯SEC_ERROR_UNKNOWN_ISSUER，本質不是證書無效，而是服務器層未正確加載或鏈路中斷。
依托新網為超20萬家客戶提供SSL集成服務的經驗，我們提煉出無需重啟即可快速復核的關鍵動作清單。
SSL證書不生效的本質歸因
- Nginx未重載配置：修改conf文件后僅保存但未執(zhí)行 nginx -s reload；
- 證書路徑錯誤：server塊中ssl_certificate指向.pem文件缺失或權限不足（非root用戶無法讀取）；
- 中間證書遺漏：多數商業(yè)證書需拼接CA Bundle，單獨只放站點證書會導致信任鏈斷裂；
- 監(jiān)聽端口沖突：default_server占用443端口，導致真實站點配置被忽略；
- 瀏覽器緩存殘留：HSTS策略強制跳轉HTTP，本地測試前應清除歷史記錄或換隱私窗口。
新網推薦的企業(yè)級驗證流程
- 第一步：確認證書有效性——運行 openssl x509 -in /path/to/cert.crt -text -noout，核查Not Before/After時間及Subject CN值是否匹配域名；
- 第二步：校驗Nginx解析結果——執(zhí)行 nginx -t 并觀察輸出是否有warning 'the "ssl" parameter requires ngx_http_ssl_module'；
- 第三步：實測握手過程——使用 curl -Iv https://yourdomain.com ，重點查看 * Server certificate 和 > GET 請求頭響應狀態(tài)；
- 新網客戶專屬支持：登錄新網SSL管理中心可一鍵下載已簽發(fā)證書+完整中間包，并同步獲取適配Nginx各版本的.conf模板片段。
長效規(guī)避機制建議
- 啟用自動化檢測腳本：每日凌晨調用curl命令探測443端口TLS協商成功率，異常即時郵件告警；
- 將證書更新納入CI/CD流水線，在發(fā)布鏡像前預檢openssl verify結果；
- 對于混合架構環(huán)境（如前端SLB+Nginx集群），確保負載均衡器開啟透傳X-Forwarded-Proto頭，避免協議識別失準；
- 新網SSL Pro服務支持API對接，實現到期前30天自動觸發(fā)工單并推送替換指引。
在此處添加配圖
延伸問答
Q1：為什么同一份證書在Apache上正常，但在Nginx下提示ERR_SSL_VERSION_OR_CIPHER_MISMATCH？
Q2：自簽名證書能否用于生產環(huán)境？新網是否提供私有PKI托管服務？