nginx更新ssl证书-互亿无线

nginx更新ssl证书介绍

一、生成新的证书。

在使用Nginx更新SSL证书之前，我们需要先自己生成一份证书。通常，用户会联系证书颁发机构购买证书，但是这种证书价格比较高，对于小型网站运营者来说不太实用。因此，我们可以使用Let’s Encrypt免费证书生成器来获取自己的SSL证书。

二、备份旧证书文件。

在更新证书之前，我们需要先备份旧证书文件。在备份之前，我们需要确认现有证书和私钥的名称以及位置。通常，在Nginx中，证书和私钥的位置设置如下：

```

ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem;

ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key;

```

因此，在备份证书时，我们需要备份以上两个文件。

三、更新证书

1. 使用Certbot工具更新证书

Certbot是一个自动HTTPS证书申请和安装工具。在使用Certbot之前，需要先安装Certbot。安装方法如下：

```

$ sudo apt-get update

$ sudo apt-get install software-properties-common

$ sudo add-apt-repository ppa:certbot/certbot

$ sudo apt-get update

$ sudo apt-get install certbot

```

安装完成之后，我们可以使用以下命令生成证书：

```

$ sudo certbot certonly --standalone -d example.com

```

其中，example.com是我们需要生成证书的域名，可以替换为自己的域名。

生成证书完成之后，我们需要将证书文件复制到Nginx指定路径下：

```

$ sudo cp /etc/letsencrypt/live/example.com/fullchain.pem /etc/ssl/certs/ssl-cert-snakeoil.pem

$ sudo cp /etc/letsencrypt/live/example.com/privkey.pem /etc/ssl/private/ssl-cert-snakeoil.key

```

2. 使用自己生成的证书更新

如果我们使用自己生成的证书更新，则需要将证书和私钥复制到指定位置：

```

$ sudo cp /path/to/new/cert /etc/ssl/certs/ssl-cert-snakeoil.pem

$ sudo cp /path/to/new/key /etc/ssl/private/ssl-cert-snakeoil.key

```

四、重启Nginx

在证书更新完成之后，我们需要重启Nginx才能让新证书生效。可以使用以下命令重启Nginx：

```

$ sudo systemctl restart nginx

```

本文介绍了如何使用Nginx更新SSL证书的方法，使用Let’s Encrypt免费证书生成器可以免费获取证书，Certbot是一个自动SSL证书申请和安装工具，便于操作。备份旧证书文件和重启Nginx也是更新证书的必要步骤。

互亿无线一站式SSL证书服务平台

互亿无线力求为您提供一站式SSL证书解决方案，守护您的网站安全与信誉。我们向您呈现多元化的SSL证书类型，包括DV（域名验证）、OV（组织验证）以及EV（扩展验证）证书，满足您不同的安全需求。我们提供丰富的证书类型，包含单域名、多域名以及通配符证书。以满足您网站架构的需求。我们与全球的证书品牌，如Globalsign、DigiCert、Entrust、Baidu Trust 百度、Wotrus等保持紧密的合作关系，确保您获得高质量的SSL证书。

互亿无线SSL证书平台优势

	一站式SSL证书购买服务包含国内外知名SSL证书品牌，为您提供便利的一站式SSL证书购买服务，提供快速签发的SSL证书
	快速签发的SSL证书高效便捷的SSL证书申请体验，提供全方位的证书安装技术支持
	我们提供高性价比的SSL证书价格方案让您在购买SSL证书时享受性价比的方案，帮助您节省使用成本
	我们提供一站式的SSL证书服务确保您享受周到的SSL证书安装技术支持和完善的证书管理与提醒服务

常见问题

SSL证书和ca证书区别都有什么？

CA数字证书一般又称为CA证书，它是由CA机构签发的证书。而SSL证书是数字证书，因为配置在Web服务器上，所以也称为SSL服务器证书。SSL证书和CA证书是从属关系，SSL证书只是众多CA证书中的一种。

CA机构是采用公开密钥基础技术，专门提供网络身份认证服务、负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构。SSL证书也是由CA机构签发的，不过CA机构签发的证书有很多种，都叫CA证书，所以SSL证书只是其中一种。

CA中心是颁发SSL证书的机构，您可以通过已购买的SSL证书实例向CA中心提交证书申请。只有当CA中心审核通过您的证书申请后，才会为您签发SSL证书，然后将已签发的SSL证书安装到您的Web服务器，使网站可以实现https加密访问。

SSL证书只有正确安装到Web服务器，才能实现客户端与服务器间的https通信。由于涉及到不同类型Web服务器的配置，您需要在证书签发后，根据实际服务器环境来安装证书。部分知名的SSL证书服务商也会提供免费安装证书服务。例如您选购的是DigiCertSSL证书、SymantecSSL证书、GeoTrustSSL证书等，则可获得免费安装证书服务，不需要自己手动安装。

SSL证书的主要作用是服务器身份认证和数据加密传输，有效地防止了隐私信息被窃取或篡改，防止钓鱼网站假冒、流量被劫持等情况发生。网站部署有效的SSL证书后，在外观上也会发生变化，比如网站网址前缀会变成https，同时浏览器地址栏还会显示绿色安全锁。如果部署的是安全等级高的企业型OV或EVSSL证书，访客还可查看到公司名称，有利于提升品牌形象。

SSL证书无效怎么解决？

1、页面包含不安全的内容

目前，每个页面都提倡使用https，因此网站的所有内容都必须是https。如果遇到图片和JS脚本，FLASH插件通过http调用，SSL证书将无效。

解决方法：将调用元素http改为https，然后刷新测试SSL问题是否已经解决。

2、使用自签名或通用性差的SSL证书

自签名SSL证书是由个人或组织自己颁发的证书。它们有很大的安全风险，更容易受到攻击，不受浏览器的信任。同样，使用小型服务提供商颁发的通用性差的SSL证书也不受浏览器的信任。因为证书信任链的顶层是CA机构，而这些小服务提供商缺乏CA机构的信誉，不受浏览器的信任，会提示SSL证书无效。

解决方案：选择通过国际Webtrust标准认证，具有国际电子认证服务能力的CA机构。

3、SSL证书中包含的域名与网站不匹配

每个SSL证书对应的域名都是唯一的，是全域名FQDN。当网站出具的证书中包含的域名与网站域名不一致时，系统会自动发出报告，提示证书域名不匹配，这也是SSL证书无效的常见原因之一。

解决方案：需要重新申请SSL证书。若需要保护多个域名，则需要申请多域名SSL证书或通配符SSL证书。

4、网站证书已过期或尚未生效

这种情况一般是计算机系统日期错误，另一种是证书及有效期过后，需要续费。

解决方案：检查证书信息的有效起止日期，确定证书是否在有效期内，如果在，检查计算机日期是否正确。否则，第二个原因是SSL证书不在有效期内，需要更换。更换SSL证书，您可以找到原SSL证书申请机构，也可以找到其他SSL证书发行机构重新申请新的SSL证书，使用新的SSL证书不会对您的HTTPS网站产生任何影响。

SSL证书怎么使用？

一、制作CSR文件

CSR是CertificateSecurequest证书请求文件。该文件由申请人制作，系统在制作时会产生两个密钥，一个是公钥，另一个是存储在服务器上的私钥。要制作CSR文件，申请人可以参考WEBSERVER文件，一般APACHE等，使用OPENSL命令行生成KEY+CSR2文件，Tomcat，JBoss，Resin等使用KEYTOOL生成JKS和CSR文件，IIS通过向导建立一个挂起请求和一个CSR文件。此外，还可以通过本站提供的CSR在线生成工具在线生成，或者联系本站工作人员协助生成。

二、CA认证

通常有两种认证方法可以将CSR提交给我们的员工:

1、域名认证，一般通过管理员邮箱认证，这种认证速度快，但签发的证书中没有企业名称；

2、企业文档认证，需要提供企业营业执照。一般需要3-5个工作日。还有两种证书需要同时认证，称为EV证书，可以使IE7以上的浏览器地址栏变绿，所以认证也是最严格的。

三、证书的安装

收到我们发给你的CA证书后，可以在服务器上部署证书。一般APACHE文件直接将KEY+CER复制到文件中，然后修改HTTPD.CONF文件；TOMCAT等，需要将CA签发的CER文件导入JKS文件，复制服务器，然后修改SERVER.XML;IIS需要处理挂起请求，导入CER文件。