nginx更新ssl证书-互亿无线

nginx更新ssl证书介绍

一、生成新的证书。

在使用Nginx更新SSL证书之前，我们需要先自己生成一份证书。通常，用户会联系证书颁发机构购买证书，但是这种证书价格比较高，对于小型网站运营者来说不太实用。因此，我们可以使用Let’s Encrypt免费证书生成器来获取自己的SSL证书。

二、备份旧证书文件。

在更新证书之前，我们需要先备份旧证书文件。在备份之前，我们需要确认现有证书和私钥的名称以及位置。通常，在Nginx中，证书和私钥的位置设置如下：

```

ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem;

ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key;

```

因此，在备份证书时，我们需要备份以上两个文件。

三、更新证书

1. 使用Certbot工具更新证书

Certbot是一个自动HTTPS证书申请和安装工具。在使用Certbot之前，需要先安装Certbot。安装方法如下：

```

$ sudo apt-get update

$ sudo apt-get install software-properties-common

$ sudo add-apt-repository ppa:certbot/certbot

$ sudo apt-get update

$ sudo apt-get install certbot

```

安装完成之后，我们可以使用以下命令生成证书：

```

$ sudo certbot certonly --standalone -d example.com

```

其中，example.com是我们需要生成证书的域名，可以替换为自己的域名。

生成证书完成之后，我们需要将证书文件复制到Nginx指定路径下：

```

$ sudo cp /etc/letsencrypt/live/example.com/fullchain.pem /etc/ssl/certs/ssl-cert-snakeoil.pem

$ sudo cp /etc/letsencrypt/live/example.com/privkey.pem /etc/ssl/private/ssl-cert-snakeoil.key

```

2. 使用自己生成的证书更新

如果我们使用自己生成的证书更新，则需要将证书和私钥复制到指定位置：

```

$ sudo cp /path/to/new/cert /etc/ssl/certs/ssl-cert-snakeoil.pem

$ sudo cp /path/to/new/key /etc/ssl/private/ssl-cert-snakeoil.key

```

四、重启Nginx

在证书更新完成之后，我们需要重启Nginx才能让新证书生效。可以使用以下命令重启Nginx：

```

$ sudo systemctl restart nginx

```

本文介绍了如何使用Nginx更新SSL证书的方法，使用Let’s Encrypt免费证书生成器可以免费获取证书，Certbot是一个自动SSL证书申请和安装工具，便于操作。备份旧证书文件和重启Nginx也是更新证书的必要步骤。

互亿无线一站式SSL证书服务平台

互亿无线力求为您提供一站式SSL证书解决方案，守护您的网站安全与信誉。我们向您呈现多元化的SSL证书类型，包括DV（域名验证）、OV（组织验证）以及EV（扩展验证）证书，满足您不同的安全需求。我们提供丰富的证书类型，包含单域名、多域名以及通配符证书。以满足您网站架构的需求。我们与全球的证书品牌，如Globalsign、DigiCert、Entrust、Baidu Trust 百度、Wotrus等保持紧密的合作关系，确保您获得高质量的SSL证书。

互亿无线SSL证书平台优势

	一站式SSL证书购买服务包含国内外知名SSL证书品牌，为您提供便利的一站式SSL证书购买服务，提供快速签发的SSL证书
	快速签发的SSL证书高效便捷的SSL证书申请体验，提供全方位的证书安装技术支持
	我们提供高性价比的SSL证书价格方案让您在购买SSL证书时享受性价比的方案，帮助您节省使用成本
	我们提供一站式的SSL证书服务确保您享受周到的SSL证书安装技术支持和完善的证书管理与提醒服务

常见问题

证书转换方法及常见格式都有什么？

SSL证书格式主要是公钥证书格式标准X.PEM和DER定义在509中、PKCS中定义PKCS#7和PKCS#12、Tomcat专用JKS。SSL证书的常见格式及转化方法如下：

常见的SSL证书格式

DER：DistinguishedencodingRules缩写，二进制编码的证书格式，相当于PEM格式的二进制版本，证书后缀有：.DER.CER.CRT，Java平台主要用于Java平台

PEM:PrivacyEnhancedMail的缩写，Base64编码的证书格式，是将Base64二进制版本编码后，以“—–BEGIN开头，“……”—–END结尾。证书的后缀有：.PEM.CER.CRT，主要用于Apache和Nginx。

PKCS#7:PKCS（Public-KeyCryptographyStandards）PKCS标准中的PKCS#7（CryptographicMessageSyntaxStandard）。它不包含私钥，单独存储证书链和用户证书。证书后缀如下：.P7B.P7C.SPC，主要用于Tomcat和Windowsserver。

PKCS#12：PKCS（Public-KeyCryptographyStandards）PKCS#12标准PKCS#（PersonalInformationExchangeSyntaxStandard）。它包含私钥、证书链、用户证书和密码。证书后缀有：.P12.PFX，主要用于Windowsserver。

JKS:JavaKeyStore缩写，包含私钥、证书链、用户证书，并设置密码。证书后缀为.jks。主要用于Tomcat。

SSL证书格式转换方法

Webtrust认证的CA机构颁发的证书通常只提供PEM格式或PKCS#7格式。如果需要其他证书格式，可以使用以下常用方法进行格式转换。

使用OpenSSL、Keytool转化

1．pem转换pfx

openssl pkcs12 -export -in 'test.pem' -inkey 'test.key' -out 'test.p12' -passout pass:123456

2．pem转换jks

openssl pkcs12 -export -in 'test.pem' -inkey 'test.key' -out 'test.p12' -passout pass:123456

keytool -importkeystore -srckeystore 'test.p12' -srcstoretype PKCS12 -destkeystore 'test.jks' -srcstorepass 123456 -deststorepass 123456

3．pfx转换pem

openssl pkcs12 -in test.p12 -passin pass:123456 -out test3.pem -nodes

4．pfx转换jks

keytool -importkeystore -srckeystore 'test.p12' -srcstoretype PKCS12 -destkeystore 'test.jks' -srcstorepass 123456 -deststorepass 123456

5．jks转换pem

keytool -importkeystore -srckeystore 'test.jks' -srcstoretype jks -destkeystore 'test.p12' -deststoretype PKCS12 -srcstorepass 123456 -deststorepass 123456

openssl pkcs12 -in test.p12 -passin pass:123456 -out test3.pem -nodes

6．jks转化pfx

keytool -importkeystore -srckeystore 'test.jks' -srcstoretype jks -destkeystore 'test.p12' -deststoretype PKCS12 -srcstorepass 123456 -deststorepass 123456SSL

SSL证书申请流程都有什么？

1、购买证书。

需要到SSL证书服务商或可信CA机构颁发机构购买。

2、提交域名订单。

然后提交你的域名。其实这个过程也会决定证书的类型。一般DV单域名或者DV通配符都可以。

3、验证域名。

去域名注册商根据系统提示进行操作分析，银行级OV、EV实名认证接听电话核实身份。

4、获取SSL证书。

几分钟后，刷新界面下载证书，包括各种服务器环境类型的SSL证书。

5、安装SSL证书。

SSL证书可以根据教程配置到服务器上，也可以让发行机构辅助安装SSL证书。

SSL证书有何作用？