Step 01
先找到真正终止 TLS 的位置
浏览器看到的证书可能来自 CDN、负载均衡器、反向代理或源站。先记录域名解析结果、证书颁发者、序列号和当前到期时间,再确认哪一层负责自动续签和部署。
同一域名可能在 IPv4、IPv6、不同地区或备用入口返回不同证书。只验证本机一次连接,容易遗漏未更新的边缘节点。
Step 02
区分续签成功和部署成功
续签成功表示证书机构已经签发新证书;部署成功才表示线上服务正在返回它。检查证书文件、私钥匹配、完整链和服务重载状态,并确认没有旧容器或旧负载均衡节点继续服务。
自动化任务应记录签发时间、部署目标和重载结果。失败时要有明确告警,而不是只依赖证书机构发送到个人邮箱的通知。
Step 03
验证证书链与协议
使用独立外部扫描检查完整证书链、主机名匹配、协议版本和弱密码套件。内部测试正常但外部失败,常见原因包括中间证书缺失、SNI 配置错误、IPv6 节点遗漏或 CDN 配置尚未发布。
同时访问真实业务页面,确认重定向、HSTS 和证书更新没有破坏旧客户端或接口调用。
Step 04
建立到期前的演练窗口
生产证书应在到期前留出足够修复时间,并定期测试自动续签链路。把证书到期、自动任务失败和线上实际证书时间分别监控,避免只监控文件系统中的证书。
续签完成后保留新旧序列号和验证时间,下一次出现地区性证书异常时可以快速判断是否仍有旧节点。
Action Checklist
执行清单
- 确认 TLS 终止层和全部部署节点
- 核对新证书与私钥、完整证书链
- 重载服务并检查 IPv4、IPv6 与边缘节点
- 运行独立 TLS 扫描和真实页面测试
- 验证自动续签失败告警