SSL握手失败解决方法及排查指南

部署HTTPS网站或开发小程序时，想必大家经常会遇到“SSL握手失败”这个报错，令人摸不着头脑。实际上SSL握手发生在客户端与服务器在正式传输数据时，任何一个细小的环节出了岔子，都会导致连接被拒绝，下午呢将为大家介绍一些SSL握手失败解决方法以及常见原因的排查。

SSL握手失败解决方法

　第一步：使用OpenSSL命令

在安装了OpenSSL的机器上执行以下命令，可以直接查看服务器在握手时返回的证书链和验证结果：

openssl s_client-connect你的域名:443-showcerts

执行后可以关注下面这两个信息：

Certificate chain：检查是否只返回了服务器证书而没有中间证书（若中间证书缺失，证书链会不完整）。

Verify return code：正常情况应为0(ok)。如果返回20(unable to get local issuer certificate)，说明证书链不完整；如果返回10(certificate has expired)，说明证书已过期。

　第二步：针对不同原因进行解决

1、证书过期：续期或重新申请新的证书，正确安装在服务器上；

2、域名不匹配：保证所访问的域名与证书绑定的域名是一致的，如果有多个域名或子域名可以考虑申请多域名证书或通配符证书；

3、证书链不完整：下载完整的证书链文件，在Nginx中通过ssl_certificate指令将服务器证书和中间证书合并到一个文件；在Apache中可使用SSLCertificateChainFile指令单独指定中间证书。

4、协议版本不兼容：检查Nginx配置中的ssl_protocols设置，推荐仅启用TLS 1.2和TLS 1.3，禁用不安全的SSLv3和TLS 1.0/1.1。

5、加密套件不匹配：在Nginx中配置一套兼容性较好的加密套件，例如ssl_ciphers’ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384′;，并设置ssl_prefer_server_ciphers on;让服务器优先选择。

5、系统时间不同步：使用date命令检查系统时间，若偏差较大，可通过NTP服务同步时间。

6、防火墙/中间设备干扰：临时关闭防火墙或VPN进行测试，排除网络干扰。若问题出在负载均衡器，确保其配置为透传TLS流量，或在均衡器上使用与后端服务器一致的协议和加密套件。

7、443端口被阻断：使用telnet你的域名443或nc-vz你的域名443测试端口连通性，确认端口未被防火墙拦截。