一、生成证书签名请求(CSR)
域名变更后需重新生成包含新域名的CSR文件,使用OpenSSL工具执行以下命令:
- 安装OpenSSL工具包
- 运行命令:
openssl req -new -newkey rsa:2048 -nodes -keyout newdomain.key -out newdomain.csr - 按提示输入组织信息和变更后的域名
二、向CA提交证书申请
推荐使用Let’s Encrypt免费证书服务,通过Certbot工具自动化处理:
- 安装Certbot:
sudo apt install certbot python3-certbot-nginx - 执行证书签发命令:
sudo certbot certonly --nginx -d newdomain.com - 完成域名所有权验证(DNS解析或文件验证)
三、安装新SSL证书
在Nginx服务器配置中更新证书路径:
ssl_certificate /etc/letsencrypt/live/newdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/newdomain.com/privkey.pem;完成配置后执行nginx -s reload使新证书生效
四、测试与自动更新配置
验证证书有效性:
- 使用SSL Labs测试工具检查证书链完整性
- 配置crontab自动续期:
0 0 * * * certbot renew --quiet
通过Certbot工具链可实现域名变更后的证书快速签发与部署,结合自动化续期配置可确保证书永不过期。建议定期使用certbot certificates命令检查证书状态,并在DNS变更后及时更新相关验证记录。
