1) CN/SAN errado (mismatch)
Sintoma: alerta de que o certificado não é válido para o domínio. Solução: emitir com SANs corretos (ex.: raiz e www) ou usar wildcard se fizer sentido.
2) Cadeia incompleta (falta CA Bundle)
Sintoma: alguns navegadores avisam “cadeia não confiável”. Solução: instalar o CA Bundle da Comodo junto com o CRT (Apache: SSLCertificateChainFile ou fullchain; Nginx: ssl_certificate com fullchain).
3) Chave privada não corresponde ao certificado
Sintoma: erro “private key mismatch”. Teste:
# MD5 do módulo da chave e do certificado devem bater openssl rsa -noout -modulus -in exemplo.key | openssl md5 openssl x509 -noout -modulus -in exemplo.crt | openssl md5
Solução: usar a KEY correta com o CRT emitido a partir daquele CSR.
4) Certificado expirado
Sintoma: aviso de expiração. Solução: iniciar renovação com antecedência (recomenda-se 30 dias antes).
5) Falha em TLS/versões antigas
Sintoma: clientes muito antigos não conectam. Solução: manter protocolos modernos (TLS 1.2+) e cifras compatíveis. Atualize aplicações legadas.
6) Mixed Content
Sintoma: cadeado cinza/risco no navegador. Solução: corrigir recursos carregados por HTTP (imagens, scripts, CSS) para HTTPS.
Comandos úteis
# Ver dados do certificado openssl x509 -in exemplo.crt -noout -subject -issuer -dates -ext subjectAltName # Testar conexão e cadeia openssl s_client -connect exemplo.com.br:443 -servername exemplo.com.br -showcerts </dev/null # Conferir CSR openssl req -in exemplo.csr -noout -text
Ajuda
Se ainda tiver problemas, abra um ticket no SAC NetHorizontes e informe o domínio, servidor e o erro exibido.