Contact
Line : comsiam
Certificate Error เป็นปัญหาที่พบได้บ่อยใน Windows Server 2025 โดยเฉพาะในระบบที่ใช้ HTTPS, RDP, LDAPS, VPN, IIS, Exchange Server หรือระบบ Authentication ต่าง ๆ
แม้ Certificate จะเป็นเพียงไฟล์ขนาดเล็ก แต่หากมีปัญหาเพียงจุดเดียว อาจทำให้ผู้ใช้งานเข้าเว็บไซต์ไม่ได้, VPN เชื่อมต่อไม่สำเร็จ, LDAPS ล้มเหลว หรือระบบภายในองค์กรหยุดทำงานได้ทันที
บทความนี้จะช่วยให้คุณวิเคราะห์และแก้ไข Certificate Error อย่างเป็นระบบแบบช่าง IT
① Certificate Error คืออะไร
Certificate Error คือสถานการณ์ที่ระบบไม่สามารถตรวจสอบความถูกต้องของ Digital Certificate ได้
สาเหตุอาจเกิดจาก
- Certificate หมดอายุ
- Certificate ไม่ถูก Trusted
- Hostname ไม่ตรงกัน
- Certificate Chain ผิดพลาด
- Certificate ถูกเพิกถอน
เมื่อเกิดปัญหาเหล่านี้ ระบบจะปฏิเสธการเชื่อมต่อเพื่อความปลอดภัย
② อาการที่พบบ่อย
อาการที่พบได้ เช่น
- เปิดเว็บไซต์ HTTPS ไม่ได้
- Browser แจ้ง Security Warning
- LDAPS ใช้งานไม่ได้
- VPN Login ไม่สำเร็จ
- RDP แจ้ง Certificate Error
- Exchange Certificate Error
- Application เชื่อมต่อ Server ไม่ได้
ข้อความ Error ที่พบได้บ่อย
Certificate has expired
Certificate is not trusted
The certificate chain was issued by an authority that is not trusted
③ ตรวจสอบวันหมดอายุของ Certificate
เปิด
certlm.msc
หรือ
certmgr.msc
ตรวจสอบ
- Valid From
- Valid To
Certificate ที่หมดอายุเป็นสาเหตุอันดับต้น ๆ ของปัญหานี้
④ ตรวจสอบ Hostname
Certificate ต้องตรงกับชื่อที่ผู้ใช้งานเรียก
ตัวอย่าง
Certificate ออกให้
server.company.com
แต่ผู้ใช้เปิด
192.168.1.10
หรือ
fileserver
จะเกิด Certificate Warning ทันที
⑤ ตรวจสอบ Certificate Chain
เปิด Certificate
ดูแท็บ
Certification Path
ตรวจสอบว่า
- Root CA
- Intermediate CA
- Server Certificate
สมบูรณ์หรือไม่
หาก Chain ขาด
Client จะไม่สามารถ Trust Certificate ได้
⑥ ตรวจสอบ Trusted Root CA
เปิด
certlm.msc
ไปที่
Trusted Root Certification Authorities
ตรวจสอบว่า Root CA อยู่ในรายการหรือไม่
โดยเฉพาะในองค์กรที่ใช้ Private CA
⑦ ตรวจสอบเวลาของเครื่อง
Certificate Validation พึ่งพาเวลา
ตรวจสอบ
w32tm /query /status
หากเวลาเครื่องผิด
Certificate ที่ยังไม่หมดอายุ
อาจถูกมองว่าหมดอายุได้
⑧ ตรวจสอบ LDAPS Certificate
ในกรณี LDAP over SSL
ตรวจสอบว่า
- Certificate อยู่ใน Personal Store
- Subject Name ถูกต้อง
- มี Private Key
- Domain Controller ใช้งานได้
LDAPS มักล้มเหลวเพราะ Certificate ไม่ถูกต้อง
⑨ ตรวจสอบ IIS Binding
สำหรับ IIS
เปิด
Internet Information Services (IIS) Manager
ตรวจสอบ
- HTTPS Binding
- SSL Certificate
- Port 443
หลายครั้ง Certificate ถูกต่ออายุแล้ว
แต่ IIS ยังชี้ไปยัง Certificate เก่า
⑩ ตรวจสอบ RDP Certificate
ตรวจสอบ
Remote Desktop Certificates
หาก Certificate เสียหาย
Remote Desktop อาจแจ้งเตือนทุกครั้งที่เชื่อมต่อ
⑪ ตรวจสอบ Revocation Status
บางองค์กรเปิดใช้งาน
CRL
หรือ
OCSP
หากระบบไม่สามารถตรวจสอบ Revocation ได้
Certificate อาจถูกปฏิเสธ
แม้จะยังไม่หมดอายุ
⑫ ตรวจสอบ Event Viewer
เปิด
Event Viewer
ตรวจสอบ
- System
- Application
- Schannel
ค้นหา
- SSL Error
- TLS Error
- Certificate Error
ข้อมูลเหล่านี้ช่วยระบุสาเหตุได้ละเอียดมาก
⑬ ตรวจสอบด้วย PowerShell
ใช้คำสั่ง
Get-ChildItem Cert:\LocalMachine\My
เพื่อตรวจสอบ Certificate ที่ติดตั้งอยู่
หรือ
Get-ChildItem Cert:\LocalMachine\Root
เพื่อตรวจสอบ Trusted Root CA
⑭ วิธีป้องกัน Certificate Error
แนวทางที่แนะนำ
- ติดตามวันหมดอายุของ Certificate
- ต่ออายุล่วงหน้าอย่างน้อย 30 วัน
- ตรวจสอบ Certificate Chain
- ใช้ Monitoring System
- ตรวจสอบเวลา NTP อย่างสม่ำเสมอ
- สำรอง Certificate และ Private Key
ทีมงาน comsiam มักแนะนำให้องค์กรจัดทำระบบแจ้งเตือนก่อน Certificate หมดอายุอย่างน้อย 30–60 วัน เพราะปัญหาส่วนใหญ่สามารถป้องกันได้ล่วงหน้า
⑮ สรุป
Certificate Error บน Windows Server 2025 มักเกิดจาก Certificate หมดอายุ, Hostname ไม่ตรง, Chain ไม่สมบูรณ์, Root CA ไม่ถูก Trusted หรือปัญหาเวลาในระบบ การตรวจสอบอย่างเป็นขั้นตอนจะช่วยให้แก้ไขได้อย่างรวดเร็ว
สำหรับองค์กรที่ใช้ HTTPS, VPN, LDAPS หรือ IIS comsiam แนะนำให้มีระบบบริหารจัดการ Certificate อย่างเป็นทางการ เพราะ Certificate เป็นส่วนสำคัญของความปลอดภัยและความน่าเชื่อถือของระบบทั้งหมด
คำถามชวนคิด
หาก Certificate หลักขององค์กรหมดอายุคืนนี้ คุณมีระบบแจ้งเตือนล่วงหน้าหรือยัง หรือจะรู้ตัวอีกทีเมื่อผู้ใช้งานทั้งบริษัทเริ่มโทรมาแจ้งว่าเข้าใช้งานระบบไม่ได้?
