服务器域名证书快速更新操作指南
一、准备工作与证书申请
在更新证书前需确认当前证书有效期,建议提前30天启动更新流程。首先向证书颁发机构(如Let’s Encrypt、DigiCert等)申请新证书,包括选择证书类型(DV/OV/EV)和加密算法。完成申请后下载包含.crt证书文件和.key私钥文件的证书包,同时备份旧证书以便紧急回退。
二、生成并提交CSR文件
通过服务器命令行工具生成新的证书签名请求(CSR),示例命令如下:
openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr提交CSR文件至CA机构后,需完成域名所有权验证(DNS解析验证或文件验证)。部分云服务商支持API自动验证,可大幅缩短签发时间。
三、安装并配置新证书
通过SSH连接服务器后执行以下操作:
- 上传证书文件至指定目录(如/etc/ssl/certs/)
- 修改服务器配置文件(Apache: httpd.conf;Nginx: nginx.conf)
- 更新证书路径参数:
ssl_certificate /path/to/yourdomain.crt;
ssl_certificate_key /path/to/yourdomain.key;
四、重启服务器与验证更新
执行服务器重启命令使配置生效:
- Apache:
systemctl restart httpd - Nginx:
systemctl restart nginx
验证时可通过浏览器检查HTTPS锁标志,或使用SSL检测工具(如SSL Labs)验证证书链完整性。
五、最佳实践与注意事项
建议配置证书到期监控告警,推荐使用自动化工具(如Certbot)实现证书自动续期。多节点服务器需同步更新所有实例,CDN服务需单独更新边缘证书。混合云环境应注意不同平台证书格式的兼容性。
