脚本之家 服务器常用软件
快捷导航
您的位置:首页网站技巧服务器nginx → Nginx替换SSL证书

详解Nginx替换SSL证书后的正确操作及常见问题排查

 更新时间:2025年08月27日 10:24:42   作者:( •̀∀•́ )920  
本文主要介绍了详解Nginx替换SSL证书后的正确操作及常见问题排查,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

在实际部署中,我们经常会遇到这样一个问题:

明明已经把新的 SSL 证书上传到了服务器并替换了 Nginx 配置文件中的路径,为什么浏览器访问时显示的仍然是旧证书?

本文将从根本原因入手,详细剖析证书替换后不生效的常见原因,给出完整的排查方案,并附带实用命令,助你快速定位并解决问题。

一、证书加载失败的典型错误

当 Nginx 无法正确加载 SSL 证书时,通常会报出如下错误:

nginx: [emerg] SSL_CTX_use_certificate:ee key too small
nginx: [emerg] cannot load certificate "/etc/nginx/ssl/server.crt": PEM lib

或者:

unable to load certificate
140735281173760:error:0906D06C:PEM routines:PEM_read_bio:no start line:...
Expecting: TRUSTED CERTIFICATE

这说明:Nginx 或 OpenSSL 无法识别你提供的证书文件,原因可能包括格式错误、证书链不完整、权限不正确等。

二、替换证书后的正确操作流程

✅ 步骤 1:确认证书文件是 PEM 格式

Nginx 只接受 PEM 格式的证书:

  • -----BEGIN CERTIFICATE----- 开头
  • 文本文件 而非二进制格式

🔍 检查命令:

cat /etc/nginx/ssl/server.crt

若证书是 .der.pfx 格式,请使用 OpenSSL 转换:

# DER -> PEM
openssl x509 -inform DER -in your_cert.der -out your_cert.pem

# PFX -> PEM
openssl pkcs12 -in your_cert.pfx -clcerts -nokeys -out your_cert.pem

✅ 步骤 2:确认证书文件已被成功替换

ls -l /etc/nginx/ssl/server.crt
openssl x509 -in /etc/nginx/ssl/server.crt -noout -dates

检查证书的生效时间(notBefore)与过期时间(notAfter)是否是你预期的新证书信息。

✅ 步骤 3:验证证书是否与私钥匹配

openssl x509 -noout -modulus -in server.crt | openssl md5
openssl rsa  -noout -modulus -in server.key | openssl md5

如果两者 MD5 值不同,说明证书和私钥不匹配,必须重新签发。

✅ 步骤 4:确保中间证书链完整(CA Bundle)

很多证书是由中间 CA 签发的,必须将中间证书追加到主证书文件

cat your_domain.crt intermediate.crt > /etc/nginx/ssl/server.crt

🔍 验证证书链:

openssl verify -CAfile ca_bundle.crt your_domain.crt

✅ 步骤 5:检查 Nginx 配置是否正确引用新证书

server {
    listen 443 ssl;
    server_name yourdomain.com;

    ssl_certificate     /etc/nginx/ssl/server.crt;
    ssl_certificate_key /etc/nginx/ssl/server.key;

    ...
}

运行以下命令测试语法是否正确:

sudo nginx -t

✅ 步骤 6:让 Nginx 生效配置

Nginx 不会自动加载新证书,必须手动触发配置重载或重启:

# 推荐方式:不影响现有连接
sudo nginx -s reload

# 如果无效,可强制重启(会短暂中断服务)
sudo systemctl restart nginx

三、证书更新后仍显示旧证书?常见问题排查

问题原因分析解决方法
证书未实际替换上传了新证书但路径指向仍是旧文件或内容未被覆盖ls -l 检查时间戳;使用 openssl x509 -in ... 检查内容
Nginx 未 reload修改证书后未执行 reload 或 restart执行 nginx -s reload 或 systemctl restart nginx
缓存问题(浏览器/CDN)客户端或 CDN 缓存了旧证书使用无痕窗口访问、清除缓存或绕过 CDN 测试
中间证书缺失只部署了主证书,未附带中间证书合并证书链为一个文件后部署
证书权限不正确Nginx 无法读取证书文件或私钥设置正确的读权限和属主
使用了错误的 server 块有多个 server_name,配置未命中使用正确的 server_name 与 listen 块

四、验证证书是否已真正生效

1. OpenSSL 方式验证:

echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com | openssl x509 -noout -dates

2. 使用curl验证证书信息:

curl -vI https://yourdomain.com

3. 浏览器验证:

在浏览器中打开网站,点击证书图标 → 查看证书 → 查看有效期和颁发者是否更新。

五、自动化建议:Let’s Encrypt + 定期 Reload

如果你使用 Certbot 自动续签,可以加一个 post-hook 来自动 reload Nginx:

sudo certbot renew --post-hook "systemctl reload nginx"

六、总结:替换证书后生效的关键点

步骤操作命令/说明
确保新证书为 PEM 格式openssl x509 -in xxx -noout -text
确认证书已正确覆盖ls -l、openssl x509 -in ... -dates
确认证书与私钥匹配`openssl x509rsa -modulus+md5`
合并中间证书(如有)cat domain.crt intermediate.crt > server.crt
测试 Nginx 配置语法nginx -t
重载或重启 Nginx 服务nginx -s reload / systemctl restart nginx
检查是否真正生效openssl s_client / 浏览器证书信息

如果你在生产环境中部署 HTTPS 站点,请务必对证书更新和 reload 流程保持熟悉,避免因证书错误导致服务不可用或用户无法访问

到此这篇关于详解Nginx替换SSL证书后的正确操作及常见问题排查的文章就介绍到这了,更多相关Nginx替换SSL证书内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • Nginx实现TCP端口的侦听及转发操作步骤

    Nginx实现TCP端口的侦听及转发操作步骤

    这篇文章主要介绍了Nginx实现TCP端口的侦听及转发的相关资料,文章介绍了如何使用Nginx进行TCP代理(四层代理)来处理MQTT的集群需求,包括配置Nginx支持stream模块、编写TCP代理配置文件以及重新加载Nginx以应用更改,需要的朋友可以参考下
    2024-11-11
  • 修改Nginx与Apache上传文件大小限制

    修改Nginx与Apache上传文件大小限制

    这篇文章主要介绍了修改Nginx与Apache上传文件大小限制,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2017-10-10
  • nginx配置keepalive长连接的实现方法

    nginx配置keepalive长连接的实现方法

    长连接允许客户端在同一个TCP连接上发送多个请求,以减少连接握手的开销,提高网站性能,本文主要介绍了nginx配置keepalive长连接的实现方法,感兴趣的可以了解一下
    2023-08-08
  • Nginx日志文件按日期分割的实战指南

    Nginx日志文件按日期分割的实战指南

    在Web服务器管理中,日志文件是监控服务器性能、分析用户行为和排查问题的重要工具,随着网站访问量的增长,日志文件的大小也会迅速增加,本文将介绍如何配置Nginx,使其日志文件能够自动按日期进行分割,需要的朋友可以参考下
    2025-10-10
  • 接口服务在Nginx中提示HTTP 499问题的排查步骤

    接口服务在Nginx中提示HTTP 499问题的排查步骤

    本文详细介绍了如何在Nginx中启用请求时间日志以及如何在没有该日志的情况下通过替代方法排查HTTP499问题,重点讨论了前端超时配置差异和请求参数导致的文件大小差异,并提供了具体的排查步骤,需要的朋友可以参考下
    2026-03-03
  • Nginx启动成功浏览器却不能访问的解决办法

    Nginx启动成功浏览器却不能访问的解决办法

    最近安装了nginx,开始配置成功,但是浏览器却访问不了,本文主要介绍了Nginx启动成功浏览器却不能访问的解决办法,具有一定的参考价值,感兴趣的可以了解一下
    2023-10-10
  • 使用Nginx+Tomcat实现负载均衡的全过程

    使用Nginx+Tomcat实现负载均衡的全过程

    很多用到nginx的地方都是作为静态伺服器,这样可以方便缓存那些静态文件,比如CSS,JS,html,htm等文件,下面这篇文章主要给大家介绍了关于使用Nginx+Tomcat实现负载均衡的相关资料,需要的朋友可以参考下
    2022-05-05
  • Nginx 实现灰度发布的三种方法总结

    Nginx 实现灰度发布的三种方法总结

    这篇文章主要介绍了Nginx 实现灰度发布的三种方法总结的相关资料,需要的朋友可以参考下
    2017-05-05
  • Nginx实现高可用集群构建(Keepalived+Haproxy+Nginx)

    Nginx实现高可用集群构建(Keepalived+Haproxy+Nginx)

    为什么需要搭建Nginx集群?为了防止Nginx单点故障造成服务器瘫痪,本文介绍了Nginx实现高可用集群构建(Keepalived+Haproxy+Nginx),感兴趣的可以了解一下
    2021-05-05
  • 详解Nginx服务器中配置Sysguard模块预防高负载的方案

    详解Nginx服务器中配置Sysguard模块预防高负载的方案

    这篇文章主要介绍了详解Nginx服务器中配置Sysguard模块预防高负载的方案,该模块由阿里巴巴的团队开发,能够设置负载阀值,比较强大,需要的朋友可以参考下
    2016-01-01

最新评论