系统域名证书更换笔记(差点翻车)

简述一下过程：

1、域名证书已经过期了，按计划变更
2、但我的系统是一个服务中台，应用端属于其他技术团队，更换证书后，需要跟应用端的技术团队同事核实调用是否正常（原先应用端做了代码特殊处理，证书过期也能正常调用）

3、如期更换证书，我用curl语句检测已经更换成功

4、运维同事让我核实证书是否正确更新，我通过curl语句认为正常更新了

5、当应用端核查系统正常后，我本以为任务完成了

6、然而，我随手豆包查了一下证书检测的脚本，发现证书还是显示过期

7、我随机联系运维的同事排查

8、而后正常了，然后又在折腾应用端的技术团队同事重新核实。

9、折腾

总结：

1、没有实操过，经验和环节思考不足

2、关键就是没有准备好证书检测的脚本

证书检测的脚本

openssl s_client -showcerts -connect api.lookdaima.com:443

#这个是清空缓存的
openssl s_client -showcerts -connect api.lookdaima.com:443 -no_ticket -no_ssl3 -no_tls1 -no_tls1_1

上相关截图：

没有更新证书 前，我用curl语句，返回结果

#curl的样例
curl -H'Content-Type:application/json' -H'ip:127.0.0.1' -X POST --data '{"action":"server-now"}' http://【接口地址】

当运维更新证书后，我用curl语句，返回结果是正常：

证书更换后，需要立马测试，避免线上系统异常，我就通知各个应用端去测试。

然后，我关注点也是测试

当测试一轮后，我才去豆包问询检测证书的方案

查到这个命令：

要查看远程 HTTPS 网站的证书信息，可以使用命令openssl s_client -showcerts -connect example.com:443，将example.com替换为实际的域名。

然后检查结果，扔给豆包去给答案，说证书过期

我担心是缓存的问题，用了

openssl s_client -showcerts -connect api.lookdaima.com:443 -no_ticket -no_ssl3 -no_tls1 -no_tls1_1

再去检查，一样提示证书过期

然后联系运维再去处理，处理后检查

这下正常了，然后有折腾应用端重新测试

关键：

1、证书更换后，要curl语句检测是否生效

2、用openssl检测证书是否更新

至于运维后面咋处理，我没细问...