nginx更换ssl证书

常见问题

Q:

如何查看SSL证书信息？

1、使用IIS进行查看

对于SSL证书，windows通常是通过IIS构建的。我们找到控制面板-管理工具-internet信息管理器，找到需要查看SSL证书的网站，然后点击查看属性-目录安全-查看证书。对话框可以查看详细的证书内容，包括证书的有效时间、发行人、发行对象等。

2、使用浏览器查看证书

我们以IE浏览器为例，首先在浏览器中访问需要查看SSL证书的网站，然后发现网站输入框后面有一个小锁图标，一个小锁意味着证书加密，然后点击菜单栏安全安全报告，可以调出网站SSL证书加密标志，点击对话框查看证书，证书和第一种方法查看证书内容。

Q:

证书转换方法及常见格式都有什么？

SSL证书格式主要是公钥证书格式标准X.PEM和DER定义在509中、PKCS中定义PKCS#7和PKCS#12、Tomcat专用JKS。SSL证书的常见格式及转化方法如下：

常见的SSL证书格式

DER：DistinguishedencodingRules缩写，二进制编码的证书格式，相当于PEM格式的二进制版本，证书后缀有：.DER.CER.CRT，Java平台主要用于Java平台

PEM:PrivacyEnhancedMail的缩写，Base64编码的证书格式，是将Base64二进制版本编码后，以“—–BEGIN开头，“……”—–END结尾。证书的后缀有：.PEM.CER.CRT，主要用于Apache和Nginx。

PKCS#7:PKCS（Public-KeyCryptographyStandards）PKCS标准中的PKCS#7（CryptographicMessageSyntaxStandard）。它不包含私钥，单独存储证书链和用户证书。证书后缀如下：.P7B.P7C.SPC，主要用于Tomcat和Windowsserver。

PKCS#12：PKCS（Public-KeyCryptographyStandards）PKCS#12标准PKCS#（PersonalInformationExchangeSyntaxStandard）。它包含私钥、证书链、用户证书和密码。证书后缀有：.P12.PFX，主要用于Windowsserver。

JKS:JavaKeyStore缩写，包含私钥、证书链、用户证书，并设置密码。证书后缀为.jks。主要用于Tomcat。

SSL证书格式转换方法

Webtrust认证的CA机构颁发的证书通常只提供PEM格式或PKCS#7格式。如果需要其他证书格式，可以使用以下常用方法进行格式转换。

使用OpenSSL、Keytool转化

1．pem转换pfx

openssl pkcs12 -export -in 'test.pem' -inkey 'test.key' -out 'test.p12' -passout pass:123456

2．pem转换jks

openssl pkcs12 -export -in 'test.pem' -inkey 'test.key' -out 'test.p12' -passout pass:123456

keytool -importkeystore -srckeystore 'test.p12' -srcstoretype PKCS12 -destkeystore 'test.jks' -srcstorepass 123456 -deststorepass 123456

3．pfx转换pem

openssl pkcs12 -in test.p12 -passin pass:123456 -out test3.pem -nodes

4．pfx转换jks

keytool -importkeystore -srckeystore 'test.p12' -srcstoretype PKCS12 -destkeystore 'test.jks' -srcstorepass 123456 -deststorepass 123456

5．jks转换pem

keytool -importkeystore -srckeystore 'test.jks' -srcstoretype jks -destkeystore 'test.p12' -deststoretype PKCS12 -srcstorepass 123456 -deststorepass 123456

openssl pkcs12 -in test.p12 -passin pass:123456 -out test3.pem -nodes

6．jks转化pfx

keytool -importkeystore -srckeystore 'test.jks' -srcstoretype jks -destkeystore 'test.p12' -deststoretype PKCS12 -srcstorepass 123456 -deststorepass 123456SSL

Q:

SSL证书怎么用，如何快速上手？

1.购买SSL证书实例：提交证书申请.证书签发后下载证书等。

2.使用已购买的SSL证书实例，向CA中心提交证书申请：CA中心是颁发SSL证书的机构。您可以通过购买的SSL证书实例向CA中心提交证书申请。只有当CA中心通过您的证书申请时，SSL证书才会签发给您。

3.将已签发的SSL证书安装到您的Web服务器或部署到阿里云产品：SSL只有正确安装到Web服务器，才能实现客户端与服务器之间的HTTPS通信。由于不同类型的Web服务器的配置，您需要在证书签发后根据实际服务器环境安装证书。我们为您提供了在普通Web服务器上安装SSL证书的指导，供您参考。

一些阿里巴巴云产品支持部署证书，即通过SSL证书服务将签发的证书一键安装在云产品上。不同的云产品可能需要部署SSL证书，以实现不同的功能目的。证书部署到云产品并不意味着证书不需要安装到服务器上，具体以云产品的使用说明为准。

4.证书即将过期时，为证书续费，用新签发的证书代替旧证书：CA中心颁发的SSL证书默认有效期为一年。证书过期后，将不受浏览器的信任，影响客户通过HTTPS协议访问您的业务。您可以在证书到期前30个自然日内自动更新证书手续费，或提前打开证书托管服务，SSL证书服务将自动更新证书。

续签证书意味着重新购买并申请与旧证书规格相同的SSL证书。续签证书后，您还必须将续签的新证书重新安装到您的网络服务器（或部署到阿里云产品），以更换即将到期的旧证书。

5.不再需要使用证书时，向CA中心提交吊销证书申请:如果不再需要使用仍然有效的SSL证书，出于安全考虑(如避免盗用证书)，建议您通过SSL证书服务向CA中心提交吊销证书申请。吊销证书意味着从颁发证书的CA中心注销证书信息。取消的证书将无效。