如何在Debian上更新Nginx SSL

本文介紹在debian系統上更新nginx ssl證書的步驟。 請注意，以下步驟可能因你的具體配置而異，如有疑問，請咨詢專業人士。

一、 獲取新的SSL證書

• Let’s Encrypt: 使用certbot工具自動更新證書，是最便捷的方法。
• 其他CA: 按照證書頒發機構提供的流程進行更新。

二、 備份現有證書和密鑰

在操作前，務必備份現有證書和密鑰文件：

sudo cp /etc/ssl/certs/nginx.crt /etc/ssl/certs/nginx.crt.backup sudo cp /etc/ssl/private/nginx.key /etc/ssl/private/nginx.key.backup

三、 安裝或更新證書

• Let’s Encrypt: 使用以下命令更新證書，yourdomain.com替換為你的域名：

sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

此命令會自動更新Nginx配置文件并重新加載服務。

• 手動更新: 將新的證書文件(new_certificate.crt)和密鑰文件(new_private.key)復制到Nginx配置指定的位置：

sudo cp /path/to/new_certificate.crt /etc/ssl/certs/nginx.crt sudo cp /path/to/new_private.key /etc/ssl/private/nginx.key

四、 重新加載Nginx配置

更新證書后，重新加載Nginx配置：

sudo nginx -t  # 檢查配置文件語法 sudo systemctl reload nginx # 重新加載Nginx服務

五、 驗證更新

使用瀏覽器訪問你的網站，確認新的SSL證書已生效，無警告或錯誤。

六、 設置自動更新 (可選)

對于Let’s Encrypt證書，可設置certbot自動續訂：

1. 打開crontab編輯器:

sudo crontab -e

2. 添加以下行，將your-email@example.com替換為你的郵箱地址，/var/www/certbot替換為你的certbot的webroot路徑（如有不同）：

0 0,12 * * * certbot renew --webroot --webroot-path=/var/www/certbot --email your-email@example.com --agree-tos --no-eff-email

此cron作業會在每天的午夜和中午檢查并自動續訂證書。

記住替換占位符域名和郵箱地址為你的實際信息。 操作前請仔細閱讀相關文檔，并謹慎操作。