nginx Troubleshooting
Nginx HTTPS 证书过期与链不完整排查
浏览器提示 NET::ERR_CERT_DATE_INVALID、curl 返回 SSL certificate problem: certificate has expired 时,用 openssl s_client -connect 查线上实际证书 dates,再对比服务器文件、确认 ssl_certificate 指向 fullchain.pem 且 certbot 续期后 reload 了 Nginx。
先用 openssl s_client 看线上实际返回的证书,再对比服务器文件和 certbot 续期状态。很多问题是 Nginx 没 reload 或配置到了 cert.pem 而不是 fullchain.pem。
Scenario
这篇文章解决什么问题
适用于浏览器提示 NET::ERR_CERT_DATE_INVALID、curl 返回 SSL certificate problem: certificate has expired 的场景。排查核心是用 openssl 查线上实际返回的证书,而不是只看服务器上的文件时间戳。
Symptoms
典型现象
- 浏览器访问 HTTPS 站点提示证书过期或不受信任。
- curl 报 SSL certificate problem: certificate has expired。
- certbot 证书文件已经续期,但浏览器仍提示过期(Nginx 没 reload)。
- 证书链不完整导致部分客户端报错(只配置了 cert.pem 而非 fullchain.pem)。
Before Debugging
排查前先确认
- 确认请求是否真正到达当前 Nginx,而不是 CDN、负载均衡或另一台机器。
- 保留一次失败请求的时间、域名、路径、状态码和客户端 IP,方便和 access/error log 对齐。
- 修改配置前先导出 nginx -T 的最终合并配置,避免只看了未生效的片段。
Root Causes
常见根因分层
入口层未命中或命中了旧配置
server_name、location 优先级、SNI、默认站点和 include 顺序都会让请求落到意外配置。症状通常是本机看起来配置正确,但线上响应头、证书或错误页与预期不一致。
- 用 nginx -T 看最终配置
- 用 curl -H Host 或 openssl -servername 精确复现
- 确认 reload 成功且没有旧进程残留
反向代理到后端链路异常
502、超时、上传失败和跨域问题经常发生在 Nginx 到 upstream 的这一跳,包括端口、DNS、协议、body size、header 和超时设置。
- 从 Nginx 机器 curl upstream
- 区分 connect refused、timeout、reset、invalid header
- 检查 upstream keepalive 与后端连接限制
前置网关和应用限制不一致
CDN、Ingress、API Gateway、Nginx、应用框架可能都有独立限制。只改其中一层会造成看似随机的失败。
- 逐层确认响应来源
- 统一上传大小、超时和 CORS 策略
- 修复后从外网重新验证
Diagnosis Path
分步诊断流程
1. 固定现场,避免追着变化状态跑
先记录故障时间、影响入口、完整错误和最近一次变更。Nginx HTTPS 证书过期与链不完整排查 这类问题经常在重启、重试或缓存刷新后短暂消失,没有现场信息会很难复盘。
- 截图或保存完整错误文本
- 记录请求域名/IP/端口/namespace/服务名
- 标出最近发布、配置、证书、镜像或依赖变更
echo | openssl s_client -connect example.com:443 -servername example.com 2>/dev/null | openssl x509 -noout -dates -issuer -subject
sudo nginx -T | grep -n "ssl_certificate"2. 在故障发生的同一位置复现
很多误判来自测试位置不同:本机通不代表服务器通,容器内通不代表宿主机通,集群外通也不代表 Pod 内通。复现命令要尽量贴近真实流量路径。
- 从报错服务所在机器执行测试
- 必要时加 Host、SNI、namespace 或代理参数
- 把成功路径和失败路径的输出并排比较
sudo nginx -T | grep -n "ssl_certificate"
sudo certbot certificates
sudo certbot renew --dry-run3. 读取服务端证据,而不是只看客户端提示
客户端报错通常是结果摘要。真正能区分根因的是服务端日志、内核日志、事件、进程状态或数据库状态。
- 确认用户访问的域名和 SNI 与证书域名一致。
- 用 openssl 查看线上实际证书有效期和签发者。
- 检查 Nginx 是否使用 fullchain.pem,而不是只有站点证书的 cert.pem。
sudo certbot certificates
sudo certbot renew --dry-run
sudo systemctl reload nginx4. 做最小修复并立即回归验证
每次只改一个变量,修复后用同一条复现命令回测,并观察日志是否停止增长。这样可以避免多个临时改动互相掩盖。
- 检查 Nginx 是否使用 fullchain.pem,而不是只有站点证书的 cert.pem。
- 查看 certbot/定时任务是否续期成功,以及续期后是否 reload Nginx。
- 修复后再次从外部网络验证,避免只看到本机缓存或中间代理缓存。
sudo certbot renew --dry-run
sudo systemctl reload nginxCommands
排查命令与使用意图
命令 1
用于检查证书有效期、链路加密和协议版本。重点看 notAfter 日期和 Verify return code。
echo | openssl s_client -connect example.com:443 -servername example.com 2>/dev/null | openssl x509 -noout -dates -issuer -subject命令 2
用于确认 Nginx 最终加载配置和语法状态。排查时应看合并后的配置,而不是只看某个片段文件。
sudo nginx -T | grep -n "ssl_certificate"命令 3
用于重现证书续期过程并查看真实错误。--dry-run 不会真正写证书,适合安全排查。
sudo certbot certificates命令 4
用于重现证书续期过程并查看真实错误。--dry-run 不会真正写证书,适合安全排查。
sudo certbot renew --dry-run命令 5
用于补充“Nginx HTTPS 证书过期与链不完整排查”的排查证据链。sudo 的输出需要结合上下文其他命令交叉验证,不要单独依赖某一条结果下结论。
sudo systemctl reload nginxRisk Notes
容易踩坑的地方
- certbot 续期成功不等于线上证书已更新,必须 systemctl reload nginx 让新证书生效。
- ssl_certificate 必须指向 fullchain.pem(含中间证书),只指向 cert.pem 会导致证书链不完整。
- CDN 或反向代理缓存了旧证书,需要清除 CDN 缓存或等待 TTL 过期。
Verification
修复后怎么确认
- 原始故障现象已经消失,且使用同一入口重新测试 Nginx HTTPS 证书过期与链不完整 能稳定成功。
- 服务端日志不再出现同类错误,监控中的错误率、重启次数、连接数或延迟回到正常区间。
- 如果做过临时绕过,已经记录恢复计划,例如还原宽松策略、补监控、补限制或提交正式配置。
Prevention
后续预防
- 用 certbot renew --deploy-hook "systemctl reload nginx" 让续期后自动 reload。
- 配置证书过期监控告警(如 Prometheus blackbox exporter),在过期前 7 天通知。
- 定期用 openssl s_client 从外部网络验证线上证书,而不是只看服务器文件。
常见问题
证书文件已经更新,为什么浏览器还提示过期?
通常是 Nginx 没有 reload、配置指向旧文件,或前面还有 CDN/负载均衡在返回旧证书。
fullchain.pem 和 cert.pem 有什么区别?
fullchain.pem 包含站点证书和中间证书链,Nginx 对公网 HTTPS 通常应配置 fullchain.pem。
Long-tail SEO
你可能正在搜索这些报错
下面这些错误原文、场景词和中英文搜索词,都是排查同类问题时常见的入口。
- nginx ssl certificate expired
- NET::ERR_CERT_DATE_INVALID nginx
- openssl check certificate expire date
- nginx 证书过期 reload
- certbot renew nginx 不生效
- nginx fullchain privkey 配置
- SSL certificate problem certificate has expired
- nginx https 证书链错误
Need More Help
这个问题还没完全解决?
把你的报错、环境和已经尝试过的步骤发给我,后续会优先补充到排障手册。