1. 查看日志定位问题：检查catalina.out或localhost.log，明确是证书过期、域名不匹配、信任库问题等。
2. 验证证书有效性：
   • 用openssl x509 -in certificate.crt -noout -dates检查有效期。
   • 确保证书链完整，包含中间证书（可通过cat cert.pem intermediate.pem > fullchain.pem合并）。
   • 确保证书域名与访问域名一致。
3. 检查Tomcat配置：
   • 确认server.xml中Connector配置正确，如keystoreFile路径、密码、协议（推荐TLSv1.2+）及密码套件。
   • 若使用自签名证书，需将其导入Java信任库：
     keytool -import -alias mycert -file cert.crt -keystore $JAVA_HOME/lib/security/cacerts。
4. 检查权限与端口：
   • 确保证书文件可被Tomcat访问（权限设为644）。
   • 确保443端口未被占用，防火墙开放该端口。
5. 重启服务与验证：
   • 重启Tomcat：sudo systemctl restart tomcat。
   • 用openssl s_client -connect localhost:443或在线工具测试SSL连接。

参考来源：