無論經驗多麼豐富，在購買或是安裝SSL證書的過程中我們總會遇到這樣或那樣的錯誤。那麼SSL證書安裝有哪些常見錯誤呢？出現這些錯誤的原因以及解決方法是什麼呢？小編為您總結了SSL證書七大常見錯誤及解決方法，一起來看看吧!

錯誤一：域名驗證失敗

解決辦法：請確認使用了正確的域名驗證方法，並正確的完成了驗證。

（選擇正確的域名驗證方式）

• 使用郵箱驗證，首先確保您使用的是網站管理員郵箱，即任選以下字首的郵箱：admin@域名，administrator@域名，webmaster@域名，hostmaster@域名，postmaster@域名。請不要使用申請者的個人電子郵箱，否則訂單無法提交，也無法成域名驗證。

• 使用DNS驗證，請到域名解析中新增指定的內容，確保DNS記錄值與訂單資訊中提供的內容相匹配，並確保這條記錄可以公開訪問。

• 使用檔案驗證，請到域名的根路徑上新建指定的路徑並放置驗證內容，請確認新增的路徑和放置的內容與訂單資訊中提供的內容相匹配，並確保該路徑連結可以公開訪問。

注意：根據最新CA/B Forum對SSL證書域名驗證的策略變更通知，從2021年12月1日1起，萬用字元證書不再支援檔案驗證。

錯誤二：私鑰丟失

解決辦法：重新簽發證書。如果您發現私鑰丟失，並確定電腦儲存器上已找不到的情況下，請在第一時間重簽證書，避免私鑰丟失帶來的資料洩露風險。

如果是在銳成資訊平臺申請的SSL證書，凡在證書有效期內重籤SSL證書均不收取任何費用。

注意：重籤時請務必生成新的.csr檔案和.key檔案，並妥善保管好。

錯誤三：CSR無效

解決辦法：重新生成CSR。重簽證書生成CSR時，請確保域名與原CSR中的域名保持一致。一個CSR只匹配一個私鑰，請不要重複使用同一個CSR。

CSR中的資訊可以使用工具解碼出來，您可以使用免費解碼工具，如CSR檔案線上驗證工具來檢查CSR中填寫的資訊是否正確。

此外，證書申請的前/後如果有多餘的空格和破折號，也會使CSR證書失效。

錯誤四：通用名稱不匹配

解決辦法：當提交萬用字元證書訂單時，請確認域名是*.domain.com這種格式，*號不可省略，否則會收到錯誤提示：無效的域名格式。當申請非萬用字元證書時，如果填寫了*.domain.com這種格式，同樣也會收到報錯：無效的域名格式；非萬用字元域名請直接填寫為domain.com。

（域名無效格式提示）

如前所述，* 代表您可以使用此類證書保護的所有子域名。例如，如果要保護 www.domain.com、ssltrus.domain.com 和 portal.domain.com，在 CSR 中輸入 *.domain.com 作為通用名稱即可。

注意：不能在帶有星號的萬用字元前建立子域，例如mail.*.domain.com，或雙萬用字元，例如*.*.domain.com。

錯誤五：公鑰和私鑰不匹配

解決辦法：重新生成CSR檔案和私鑰，並安全儲存。在申請證書時您可能多次生成了私鑰和CSR檔案，或提供的CSR和私鑰並不是同時生成的，這將導致公鑰私鑰不匹配。這種情況下，需要重新生成CSR檔案和私鑰，然後提交服務商申請重新簽發SSL證書，替換之前的證書方能使用。

錯誤六：SAN選項不匹配

解決辦法：確認輸入的SAN與證書包含的SAN是否一致。出現此報錯的原因有多種，您可能：

ü 在 SAN 之前或之後多拼了一個空格。

ü SAN有拼寫錯誤。

ü 將證書的通用名稱填寫為SAN。

ü 錯誤地將SAN填寫為子域名、多域名、內部SAN或IP地址。

錯誤七：證書不受瀏覽器信任

在證書安裝完成後，可能還會出現證書不受信任的警告。

解決辦法：

首先，確認安裝的SSL證書是全球可信SSL證書，可相容您正在使用的瀏覽器。再檢查您是否未安裝中間證書或根證書丟失。若中間證書遺失，您可以與您的證書代理服務商聯絡，檢查並確定您需要哪種中間證書。

其次，請檢查您的網站素材中是否包含HTTP資源，如有，請替換為HTTPS資源。

結論

除此之外，您還需注意記錄您SSL證書的到期時間，為防止SSL證書過期導致的業務中斷，請確保在證書過期之前進行更新替換。