温馨提示×

登 录 注册有礼
云服务器 香港服务器 高防服务器
最新更新 网站标签 地图导航
产品

nginx centos上ssl证书更新流程

小樊
43
2025-10-23 23:38:48
栏目: 云计算

Nginx on CentOS SSL证书更新流程

1. 准备工作

  • 确认Certbot安装:确保系统已安装Certbot及Nginx插件(若未安装,执行以下命令):
    sudo yum install epel-release sudo yum install certbot python3-certbot-nginx
  • 备份旧证书(可选但推荐):避免更新失败导致服务中断,备份现有证书和私钥:
    sudo cp /etc/letsencrypt/live/yourdomain.com/fullchain.pem /etc/letsencrypt/live/yourdomain.com/fullchain.pem.bak sudo cp /etc/letsencrypt/live/yourdomain.com/privkey.pem /etc/letsencrypt/live/yourdomain.com/privkey.pem.bak

2. 手动更新证书(适用于Let’s Encrypt证书)

  • 使用Certbot自动更新:Certbot支持自动检测证书有效期(默认3个月),执行以下命令更新指定域名的证书:

    sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

    命令会自动完成以下操作:

    • 验证域名所有权(通过HTTP挑战);
    • 下载新证书(fullchain.pemprivkey.pem);
    • 更新Nginx配置文件中的ssl_certificatessl_certificate_key路径;
    • 重启Nginx服务以应用新证书。

  • 手动替换证书文件(若未使用Certbot自动管理):
    将新证书文件复制到Nginx配置的路径(通常为/etc/letsencrypt/live/yourdomain.com/),并设置正确的权限:

    sudo cp new_certificate.crt /etc/letsencrypt/live/yourdomain.com/fullchain.pem sudo cp new_private_key.key /etc/letsencrypt/live/yourdomain.com/privkey.pem sudo chmod 600 /etc/letsencrypt/live/yourdomain.com/privkey.pem # 私钥权限必须严格

3. 测试Nginx配置

更新证书后,务必测试Nginx配置文件的语法正确性,避免因配置错误导致服务中断:

sudo nginx -t

若输出显示syntax is oktest is successful,则表示配置无误。

4. 重新加载Nginx

配置测试通过后,重新加载Nginx以应用新证书(无需停止服务,不影响现有连接):

sudo systemctl reload nginx

5. 验证证书更新

  • 浏览器验证:访问https://yourdomain.com,点击地址栏的锁图标,查看证书有效期是否更新。
  • 命令行验证:使用openssl命令查看证书详情:
    openssl s_client -connect yourdomain.com:443 -servername yourdomain.com | openssl x509 -noout -dates
    输出中的notAfter字段应显示新证书的过期时间。

6. 设置自动更新(关键步骤)

Let’s Encrypt证书有效期为3个月,需定期更新以避免服务中断。推荐通过定时任务自动执行更新:

  • 测试自动更新(模拟执行,不实际更新):

    sudo certbot renew --dry-run

    若输出显示“Congratulations, all renewals succeeded”,则表示自动更新配置正确。

  • 添加定时任务:使用crontab设置每周日凌晨2点执行更新,并重启Nginx:

    sudo crontab -e

    添加以下内容(每周日凌晨2点更新证书,3点重启Nginx):

    0 2 * * 0 /usr/bin/certbot renew >> /var/log/certbot-renew.log 2>&1 0 3 * * 0 /usr/sbin/systemctl reload nginx >> /var/log/nginx-reload.log 2>&1

    保存后,定时任务会自动生效。

注意事项

  • 证书路径:确保Nginx配置中的ssl_certificatessl_certificate_key路径与Certbot生成的路径一致(通常为/etc/letsencrypt/live/yourdomain.com/)。
  • 权限问题:私钥文件(privkey.pem)的权限必须设置为600,否则Nginx无法读取。
  • 日志排查:若更新失败,查看Certbot日志(/var/log/letsencrypt/letsencrypt.log)和Nginx错误日志(/var/log/nginx/error.log)定位问题。

0

最新问答

相关问答

相关标签

tomcat apache CN2服务器 tracker服务器 css斜体代码 韩国cn2线路vps 香港cn2服务器购买 CDN云空间 海外cn2高防服务器 curl扩展 c++中文乱码 国际cdn phonetic函数 product函数 threadlocal apache log4j replaceall directoryentry setsockopt clearfix
产品服务
地区划分
专题活动
帮助支持
关于我们
售后咨询
7*24小时在线电话:400-100-2938
7*24小时在线 QQ:800811969
关注亿速云

亿速云公众号

手机网站二维码

Copyright © Yisu Cloud Ltd. All Rights Reserved. 2018 版权所有

广州亿速云计算有限公司粤ICP备17096448号-1 粤公网安备 44010402001142号增值电信业务经营许可证编号:B1-20181529