脚本之家 服务器常用软件
快捷导航
您的位置:首页网站技巧服务器nginx → Nginx替换SSL证书

详解Nginx替换SSL证书后的正确操作及常见问题排查

 更新时间:2025年08月27日 10:24:42   作者:( •̀∀•́ )920  
本文主要介绍了详解Nginx替换SSL证书后的正确操作及常见问题排查,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

在实际部署中,我们经常会遇到这样一个问题:

明明已经把新的 SSL 证书上传到了服务器并替换了 Nginx 配置文件中的路径,为什么浏览器访问时显示的仍然是旧证书?

本文将从根本原因入手,详细剖析证书替换后不生效的常见原因,给出完整的排查方案,并附带实用命令,助你快速定位并解决问题。

一、证书加载失败的典型错误

当 Nginx 无法正确加载 SSL 证书时,通常会报出如下错误:

nginx: [emerg] SSL_CTX_use_certificate:ee key too small
nginx: [emerg] cannot load certificate "/etc/nginx/ssl/server.crt": PEM lib

或者:

unable to load certificate
140735281173760:error:0906D06C:PEM routines:PEM_read_bio:no start line:...
Expecting: TRUSTED CERTIFICATE

这说明:Nginx 或 OpenSSL 无法识别你提供的证书文件,原因可能包括格式错误、证书链不完整、权限不正确等。

二、替换证书后的正确操作流程

✅ 步骤 1:确认证书文件是 PEM 格式

Nginx 只接受 PEM 格式的证书:

  • -----BEGIN CERTIFICATE----- 开头
  • 文本文件 而非二进制格式

🔍 检查命令:

cat /etc/nginx/ssl/server.crt

若证书是 .der.pfx 格式,请使用 OpenSSL 转换:

# DER -> PEM
openssl x509 -inform DER -in your_cert.der -out your_cert.pem

# PFX -> PEM
openssl pkcs12 -in your_cert.pfx -clcerts -nokeys -out your_cert.pem

✅ 步骤 2:确认证书文件已被成功替换

ls -l /etc/nginx/ssl/server.crt
openssl x509 -in /etc/nginx/ssl/server.crt -noout -dates

检查证书的生效时间(notBefore)与过期时间(notAfter)是否是你预期的新证书信息。

✅ 步骤 3:验证证书是否与私钥匹配

openssl x509 -noout -modulus -in server.crt | openssl md5
openssl rsa  -noout -modulus -in server.key | openssl md5

如果两者 MD5 值不同,说明证书和私钥不匹配,必须重新签发。

✅ 步骤 4:确保中间证书链完整(CA Bundle)

很多证书是由中间 CA 签发的,必须将中间证书追加到主证书文件

cat your_domain.crt intermediate.crt > /etc/nginx/ssl/server.crt

🔍 验证证书链:

openssl verify -CAfile ca_bundle.crt your_domain.crt

✅ 步骤 5:检查 Nginx 配置是否正确引用新证书

server {
    listen 443 ssl;
    server_name yourdomain.com;

    ssl_certificate     /etc/nginx/ssl/server.crt;
    ssl_certificate_key /etc/nginx/ssl/server.key;

    ...
}

运行以下命令测试语法是否正确:

sudo nginx -t

✅ 步骤 6:让 Nginx 生效配置

Nginx 不会自动加载新证书,必须手动触发配置重载或重启:

# 推荐方式:不影响现有连接
sudo nginx -s reload

# 如果无效,可强制重启(会短暂中断服务)
sudo systemctl restart nginx

三、证书更新后仍显示旧证书?常见问题排查

问题原因分析解决方法
证书未实际替换上传了新证书但路径指向仍是旧文件或内容未被覆盖ls -l 检查时间戳;使用 openssl x509 -in ... 检查内容
Nginx 未 reload修改证书后未执行 reload 或 restart执行 nginx -s reload 或 systemctl restart nginx
缓存问题(浏览器/CDN)客户端或 CDN 缓存了旧证书使用无痕窗口访问、清除缓存或绕过 CDN 测试
中间证书缺失只部署了主证书,未附带中间证书合并证书链为一个文件后部署
证书权限不正确Nginx 无法读取证书文件或私钥设置正确的读权限和属主
使用了错误的 server 块有多个 server_name,配置未命中使用正确的 server_name 与 listen 块

四、验证证书是否已真正生效

1. OpenSSL 方式验证:

echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com | openssl x509 -noout -dates

2. 使用curl验证证书信息:

curl -vI https://yourdomain.com

3. 浏览器验证:

在浏览器中打开网站,点击证书图标 → 查看证书 → 查看有效期和颁发者是否更新。

五、自动化建议:Let’s Encrypt + 定期 Reload

如果你使用 Certbot 自动续签,可以加一个 post-hook 来自动 reload Nginx:

sudo certbot renew --post-hook "systemctl reload nginx"

六、总结:替换证书后生效的关键点

步骤操作命令/说明
确保新证书为 PEM 格式openssl x509 -in xxx -noout -text
确认证书已正确覆盖ls -l、openssl x509 -in ... -dates
确认证书与私钥匹配`openssl x509rsa -modulus+md5`
合并中间证书(如有)cat domain.crt intermediate.crt > server.crt
测试 Nginx 配置语法nginx -t
重载或重启 Nginx 服务nginx -s reload / systemctl restart nginx
检查是否真正生效openssl s_client / 浏览器证书信息

如果你在生产环境中部署 HTTPS 站点,请务必对证书更新和 reload 流程保持熟悉,避免因证书错误导致服务不可用或用户无法访问

到此这篇关于详解Nginx替换SSL证书后的正确操作及常见问题排查的文章就介绍到这了,更多相关Nginx替换SSL证书内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • Nginx负载均衡配置实例

    Nginx负载均衡配置实例

    这篇文章主要介绍了Nginx负载均衡配置实例,随着互联网信息的爆炸性增长,负载均衡已经不再是一个很陌生的话题,顾名思义,负载均衡即是将负载分摊到不同的服务单元,既保证服务的可用性,又保证响应足够快,给用户很好的体验,需要的朋友可以参考下
    2023-07-07
  • 前端部署项目后nginx转发接口404(页面正常)详解

    前端部署项目后nginx转发接口404(页面正常)详解

    一个网站项目,肯定是避免不了404页面的,下面这篇文章主要给大家介绍了关于前端部署项目后nginx转发接口404(页面正常)的相关资料,文中通过实例代码介绍的非常详细,需要的朋友可以参考下
    2023-06-06
  • Nginx实现基于请求头的访问控制配置的示例

    Nginx实现基于请求头的访问控制配置的示例

    在Nginx中,可以使用"allow"和"deny"指令来实现IP访问限制,本文给大家介绍Nginx实现基于请求头的访问控制配置,感兴趣的朋友一起看看吧
    2023-11-11
  • windows系统下关闭Nignx的多种方式总结

    windows系统下关闭Nignx的多种方式总结

    这篇文章主要给大家总结介绍了windows系统下关闭Nignx的多种方式, 在Windows中启动Nginx是简单的,但有许多小伙伴不会关闭,这里给大家介绍下,需要的朋友可以参考下
    2023-08-08
  • Windows下使用 Nginx 搭建 HTTP文件服务器 实现文件下载功能

    Windows下使用 Nginx 搭建 HTTP文件服务器 实现文件下载功能

    Nginx 是一款轻量级的 HTTP 服务器,采用事件驱动的异步非阻塞处理方式框架,这让其具有极好的 IO 性能,时常用于服务端的反向代理和负载均衡,这篇文章主要介绍了Windows下使用 Nginx 搭建 HTTP文件服务器实现文件下载功能,需要的朋友可以参考下
    2023-03-03
  • NGINX 报错 413 Request Entity Too Large的问题解决

    NGINX 报错 413 Request Entity Too&nbs

    本文讲述了处理Nginx因接口数据量过大导致的413错误,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2025-08-08
  • 解读nginx负载均衡的5种策略

    解读nginx负载均衡的5种策略

    这篇文章主要介绍了解读nginx负载均衡的5种策略,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2023-07-07
  • Nginx timeout超时配置详解

    Nginx timeout超时配置详解

    这篇文章主要介绍了Nginx timeout超时配置详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2019-12-12
  • Nginx 简介、安装与配置文件详解

    Nginx 简介、安装与配置文件详解

    Nginx是一款轻量级和高性能的 Web 服务器、反向代理服务器、电子邮件(IMAP/POP3/SMTP)代理服务器,是带有 BSD-like 协议的开源产品,这篇文章主要介绍了Nginx 简介、安装与配置文件详解,需要的朋友可以参考下
    2024-04-04
  • 如何在centos7中安装nginx

    如何在centos7中安装nginx

    近期做项目用到了nginx,所以自己动手来在Centos7上安装nginx,以下是安装步骤。
    2018-09-09

最新评论