本质上是客户端到认证服务器的 TCP 三层/四层连不通,或 SSL/TLS 握手/证书校验失败。先按下面 3 步定位,再按对应方案处理即可。
一、定位错误
1.1、ping / curl 测试三层
ping 不通 == 网络 / DNS / 防火墙问题
curl 能通但 4**/5** == 服务活着,配置错误
ping xxx.com curl -I https://xxx.com1.2、查看端口是否监听
telnet ***.com 8443 (或 8080、9090等自定义端口)通 = 四层 OK;不通 = 端口未监听
1.3、看证书 / TLS 协商
openssl s_client -connect ***.com:9090 -servername **.com出现 Verify return code:0 表示证书链 OK;非 0 就是证书过期、CN 不匹配、根证书缺失。
二、最常见 5 类原因与一键修复
| 现 象 | 根 因 | 快 速 修 复 |
| ping 不通 | DNS 污染 / 本地解析错 | 改 DNS 8.8.8.8 或 把正确 IP 写进 hosts |
| telnet 不通 | 安全组 / 防火墙未放行端口 | 云控制台开 443/9090;本地 firewall-cmd --add-port=443/tcp --permanent && reload |
| openssl 报错 | 证书过期 / 缺中间证书 / 时间错 | 1、续签证书; 2、把完整链(含中间证书)合并 .crt; 3、timedatectl set-up true 同步时间 |
| 浏览器 ERR_SSL_ VERSION_*** | 只启了 TLS1.3, 老客户端不支持 | 临时放宽 sslEnabledProtocols= " TLSv1.3" |
| 日志报 “not enough valid certificates” | 根证书被误删 / 过期 | 按照微软文档把 过期证书从 local computer --> Personal 里删除,再导入新根证书。 |
三、专用场景补充
3.1、Minecraft / 游戏私服,国内常因 DNS 污染连不上 Mojang,启动脚本加
-Dminecraft.api.auth.host=https://auth.msp.fallenbreath.me3.2、SSH / 堡垒机"authenticate server" 连不上
先 display ssh server status 看是否 Enable;
再 display ssh server-info 把旧公钥 undo ssh client authentication server 清掉,重新 first-time enable 即可。
3.3、Windows AD/LDAP 认证
确认 636/3269 端口通,域控证书模板 “Kerberos” 身份验证有效;客户端导入根 CA 到受信任的根证书颁发机构。
四、一分钟自检清单
- 域名能解析到正确 IP
- 端口在服务器监听 netstat -tnlp | grep 443
- 安全组 / 防火墙已放行
- 证书未过期、链完整
- 系统时间准确
- 日志不再报“ certificate verify failed /connection timeout”
)
)