一、证书会不会过期?
会,分两类证书,全部存在有效期:
设备自签名本地证书(出厂 / 自行生成)
默认有效期 1~10 年不等,创建时可自定义时长,到期失效;
第三方 CA 商用证书(阿里云、沃通、iMC 签发等)
按购买年限 1/2/3 年,固定到期时间;
SSL 策略引用的根证书、中间证书同样有有效期,到期一并失效。
二、证书过期直接影响(重点 HTTPS 访问)
1. 对设备自身 Web/HTTPS 管理页面
浏览器访问 L5030 管理 HTTPS 页面,直接弹出证书不安全、已过期告警;
部分新版 Chrome、Edge、Firefox 会直接拦截页面,禁止进入管理界面;
API、第三方运维工具通过 HTTPS 对接设备,握手失败、连接断开。
2. SSL 卸载 / SSL 加密业务(L5030 核心场景,影响最大)
L5030 作为负载均衡做 HTTPS 解密、SSL 卸载、SSL 中继:
客户端访问后端 HTTPS 业务时,SSL 握手中断,网页打不开、提示证书过期;
移动端小程序、APP、API 接口校验证书,直接拒绝建立连接,业务全断;
客户端开启证书强校验(内网办公终端、财务系统、政务终端),完全无法访问;
不会直接断 TCP 网络,但 SSL 层协商失败,上层业务无流量。
3. 其他关联功能影响
设备与 iMC、堡垒机、日志服务器 HTTPS 对接通信异常;
SSL VPN 功能(如有):用户无法登录 SSL VPN,客户端证书校验失败;
证书校验策略、深度安全检测因证书失效产生大量日志告警。
三、短期 / 长期表现区分
刚过期几天:浏览器仅弹出风险警告,手动允许可临时进入;
过期超 1~2 个月:主流浏览器强制拦截,无法绕过;
长期过期:负载均衡业务大面积访问失败,终端批量报错,运维无法 Web 登录设备。
四、提前规避操作
查看证书有效期命令
plaintext
display pki certificate list
display pki certificate domain 域名名称
证书快到期前导入新证书,修改 SSL 策略替换引用,无需重启整机;
商用证书建议设置到期前 30 天更换,避免业务中断;
若临时应急:更换自签名证书仅管理界面告警,业务 SSL 卸载必须使用有效 CA 证书。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论