인증서 장애는 만료일보다 먼저 이름, 체인, 키, 갱신 경로에서 난다
브라우저 경고를 만료 문제로만 보지 말고, TLS가 신뢰를 만드는 네 단계를 순서대로 점검한다.
1 NameSAN과 요청 hostwildcard, apex 범위 일치
2 Chainleaf → intermediate → rootfull chain 제공 여부
3 Key인증서 공개키와 개인키서버 key pair 매칭
4 RenewACME → reload → monitor만료 전 자동 갱신
장애 신호
주된 원인
확인 방법
수정 방향
SAN mismatch
요청 이름이 인증서 SAN에 없음
브라우저 경고, openssl s_client
도메인 범위를 포함해 재발급
chain error
중간 인증서 누락
일부 클라이언트에서만 실패
fullchain 배포
key mismatch
인증서와 서버 개인키 불일치
서버 시작 실패, handshake 실패
올바른 key pair 배치
renew fail
ACME 권한, DNS, API, reload 실패
갱신 로그와 만료 알림
자동 갱신과 재시작 검증
발급SAN 범위와 체인을 함께 확인한다.
배포인증서와 개인키 매칭을 배포 전 검사한다.
갱신ACME 성공 뒤 서비스 reload까지 감시한다.