在實(shí)際部署中，我們經(jīng)常會(huì)遇到這樣一個(gè)問(wèn)題：

明明已經(jīng)把新的 SSL 證書(shū)上傳到了服務(wù)器并替換了 Nginx 配置文件中的路徑，為什么瀏覽器訪(fǎng)問(wèn)時(shí)顯示的仍然是舊證書(shū)？

本文將從根本原因入手，詳細(xì)剖析證書(shū)替換后不生效的常見(jiàn)原因，給出完整的排查方案，并附帶實(shí)用命令，助你快速定位并解決問(wèn)題。

一、證書(shū)加載失敗的典型錯(cuò)誤

當(dāng) Nginx 無(wú)法正確加載 SSL 證書(shū)時(shí)，通常會(huì)報(bào)出如下錯(cuò)誤：

nginx: [emerg] SSL_CTX_use_certificate:ee key too small
nginx: [emerg] cannot load certificate "/etc/nginx/ssl/server.crt": PEM lib

或者：

unable to load certificate
140735281173760:error:0906D06C:PEM routines:PEM_read_bio:no start line:...
Expecting: TRUSTED CERTIFICATE

這說(shuō)明：Nginx 或 OpenSSL 無(wú)法識(shí)別你提供的證書(shū)文件，原因可能包括格式錯(cuò)誤、證書(shū)鏈不完整、權(quán)限不正確等。

二、替換證書(shū)后的正確操作流程

? 步驟 1：確認(rèn)證書(shū)文件是 PEM 格式

Nginx 只接受 PEM 格式的證書(shū)：

• 以 -----BEGIN CERTIFICATE----- 開(kāi)頭
• 是 文本文件 而非二進(jìn)制格式

?? 檢查命令：

cat /etc/nginx/ssl/server.crt

若證書(shū)是 .der 或 .pfx 格式，請(qǐng)使用 OpenSSL 轉(zhuǎn)換：

# DER -> PEM
openssl x509 -inform DER -in your_cert.der -out your_cert.pem

# PFX -> PEM
openssl pkcs12 -in your_cert.pfx -clcerts -nokeys -out your_cert.pem

? 步驟 2：確認(rèn)證書(shū)文件已被成功替換

ls -l /etc/nginx/ssl/server.crt
openssl x509 -in /etc/nginx/ssl/server.crt -noout -dates

檢查證書(shū)的生效時(shí)間（notBefore）與過(guò)期時(shí)間（notAfter）是否是你預(yù)期的新證書(shū)信息。

? 步驟 3：驗(yàn)證證書(shū)是否與私鑰匹配

openssl x509 -noout -modulus -in server.crt | openssl md5
openssl rsa  -noout -modulus -in server.key | openssl md5

如果兩者 MD5 值不同，說(shuō)明證書(shū)和私鑰不匹配，必須重新簽發(fā)。

? 步驟 4：確保中間證書(shū)鏈完整（CA Bundle）

很多證書(shū)是由中間 CA 簽發(fā)的，必須將中間證書(shū)追加到主證書(shū)文件：

cat your_domain.crt intermediate.crt > /etc/nginx/ssl/server.crt

?? 驗(yàn)證證書(shū)鏈：

openssl verify -CAfile ca_bundle.crt your_domain.crt

? 步驟 5：檢查 Nginx 配置是否正確引用新證書(shū)

server {
    listen 443 ssl;
    server_name yourdomain.com;

    ssl_certificate     /etc/nginx/ssl/server.crt;
    ssl_certificate_key /etc/nginx/ssl/server.key;

    ...
}

運(yùn)行以下命令測(cè)試語(yǔ)法是否正確：

sudo nginx -t

? 步驟 6：讓 Nginx 生效配置

Nginx 不會(huì)自動(dòng)加載新證書(shū)，必須手動(dòng)觸發(fā)配置重載或重啟：

# 推薦方式：不影響現(xiàn)有連接
sudo nginx -s reload

# 如果無(wú)效，可強(qiáng)制重啟（會(huì)短暫中斷服務(wù)）
sudo systemctl restart nginx

三、證書(shū)更新后仍顯示舊證書(shū)？常見(jiàn)問(wèn)題排查

四、驗(yàn)證證書(shū)是否已真正生效

1. OpenSSL 方式驗(yàn)證：

echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com | openssl x509 -noout -dates

2. 使用curl驗(yàn)證證書(shū)信息：

curl -vI https://yourdomain.com

3. 瀏覽器驗(yàn)證：

在瀏覽器中打開(kāi)網(wǎng)站，點(diǎn)擊證書(shū)圖標(biāo) → 查看證書(shū) → 查看有效期和頒發(fā)者是否更新。

五、自動(dòng)化建議：Let’s Encrypt + 定期 Reload

如果你使用 Certbot 自動(dòng)續(xù)簽，可以加一個(gè) post-hook 來(lái)自動(dòng) reload Nginx：

sudo certbot renew --post-hook "systemctl reload nginx"

六、總結(jié)：替換證書(shū)后生效的關(guān)鍵點(diǎn)

如果你在生產(chǎn)環(huán)境中部署 HTTPS 站點(diǎn)，請(qǐng)務(wù)必對(duì)證書(shū)更新和 reload 流程保持熟悉，避免因證書(shū)錯(cuò)誤導(dǎo)致服務(wù)不可用或用戶(hù)無(wú)法訪(fǎng)問(wèn)。

到此這篇關(guān)于詳解Nginx替換SSL證書(shū)后的正確操作及常見(jiàn)問(wèn)題排查的文章就介紹到這了,更多相關(guān)Nginx替換SSL證書(shū)內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論