问题描述

您在DDoS高防控制台、WAF控制台上传网站HTTPS证书后,收到了证书和密钥不匹配的提示。

解决方案

可能原因 排查及修复建议
您上传的证书与私钥内容不匹配 验证证书和私钥文件的MD5值是否一致。如果不一致,表示证书文件和私钥文件关联了不同的域名,证书和私钥内容不匹配。
您可以执行以下命令,分别查看证书和私钥文件的MD5值:
openssl x509 -noout -modulus -in <证书文件>|openssl md5 
openssl rsa -noout -modulus -in  <私钥文件>|openssl md5

如果确认证书和私钥文件内容不匹配,建议您重新上传正确的证书和私钥文件。

RSA私钥格式错误 生成新的私钥并重新上传。
您可以执行以下命令,生成一个新的私钥:
openssl rsa -in <私钥文件> -out <新私钥文件>

其他:修复证书链

购买SSL证书后,证书服务商一般会为您提供中间证书和域名证书。如果您只有域名证书,而没有中间证书,建议您使用证书修复工具进行修复。

您可以在服务器上执行以下命令,检查证书链的完整性:
openssl s_client -connect <server ip>:443 -servername <domain name>
变量说明:
  • <server ip>:需要替换成服务器IP地址。
  • <domain name>:需要替换成网站域名。
说明 该操作可以直接在服务器上执行,无需等待网站接入完成。
返回结果中,如果Certificate chain区域同时包含域名证书(图示①)和CA中间证书(图示②),表示证书链完整。证书链如果只有域名证书,没有CA中间证书,表示证书链不完整。这种情况下,建议您使用证书链修复工具修复证书链。例如,您可以使用证书链修复工具,下载域名的完整证书链,并使用下载的证书链替换您的证书文件。
一般证书文件的内容格式如下图所示,其中前半部分(图示①)是域名证书,后半部分(图示②)是中间证书。
注意 内容中不能包含空格或回车字符。
证书文件格式