# TLS 证书到期告警处理指南

TLS 证书到期告警表示 EMQX 专有版部署所使用的 TLS 证书即将或已经过期。

此告警会在证书到期前 **30 天、15 天、7 天、3 天、1 天和到期后**分别触发提醒。

## 更新 TLS 证书

更新 TLS 证书可通过以下两种方式完成：  
- 通过 EMQX Cloud 控制台进行证书更新。  
- 通过部署 API 更新指定部署的 TLS 证书。

### 通过 EMQX Cloud 控制台更新证书

在部署**概览** -> **TLS/SSL 配置**中，通过热更新方式替换即将过期的证书，需要上传新的证书文件或手动填写证书内容完成证书替换和更新。

### 通过部署 API 更新证书

可通过以下接口更新指定部署的 TLS 证书：`PUT /deployments/{deployment_id}/tls`。具体请求参数和示例可参考官方文档：[更新 TLS 证书 API 文档](../../api/tls_certificate.md#为指定部署更新-tls-证书)。

## 监控与统计

1. 在部署**概览** -> **TLS/SSL 配置**中，可查看当前证书的过期时间。

![tls_expired_date](./_assets/tls_expired_date.png)

2. 也可以通过**部署 API** 查询指定部署的 TLS 证书状态，返回结果中的 `expire` 字段将显示证书过期时间。
   URI：`GET /deployments/{deployment_id}/tls`

## 告警影响说明

若不及时更新 TLS 证书，已通过 TLS 加密端口连接的客户端虽然不会受到影响，但证书过期后将导致**新连接** TLS 加密端口的客户端**无法建立安全加密连接**，从而可能导致服务受影响，建议提前更新以确保部署持续安全可用。