SSL证书过期怎么更换新证书?一文读懂
当浏览器突然弹出“此网站的安全证书已过期”的红色警告时,不仅用户会瞬间失去信任,企业更可能面临流量断崖式下跌甚至数据泄露风险。SSL证书过期可能会导致网站故障,需要时间修复,而因此产生的直接经济损失也是难以估量的。本文将全面解析SSL证书过期更换新证书的流程。
步骤1:生成新CSR并提交CA
使用OpenSSL生成2048位RSA私钥和新CSR
opensslreq-new-newkeyrsa:2048-nodes-keyoutnew_domain.key-outnew_domain.csr
填写CSR信息时需确保CommonName与域名完全一致,避免因拼写错误导致签发失败。
步骤2:CA验证与证书签发
选择CA机构(推荐DigiCert、Sectigo、GeoTrust等)提交CSR,根据证书类型完成验证:
DV证书:通过DNS解析或邮箱验证域名所有权。
OV/EV证书:需提供企业营业执照等资质文件,审核周期约1-5天。
步骤3:服务器端证书部署
不同Web服务器的配置方法:
Apache:修改httpd-ssl.conf文件
SSLCertificateFile/path/to/new_domain.crt
SSLCertificateKeyFile/path/to/new_domain.key
SSLCertificateChainFile/path/to/intermediate.crt
Nginx:
server{
listen443ssl;
ssl_certificate/etc/nginx/ssl/new_domain.crt;
ssl_certificate_key/etc/nginx/ssl/new_domain.key;
ssl_trusted_certificate/etc/nginx/ssl/intermediate.crt;
}
WindowsIIS:
使用MMC控制台导入.pfx文件,绑定到指定站点的HTTPS端口。
步骤4:强制重启服务并清除缓存
#Apache
systemctlrestartapache2
#Nginx
nginx-sreload
#Tomcat
./shutdown.sh&&./startup.sh
清除服务器CDN缓存(如Cloudflare的PurgeCache功能)。
步骤5:全链路验证
使用在线验证工具(如SSLChecker)确认证书链完整性。
测试不同浏览器(Chrome/Firefox/Safari)的兼容性,避免因HSTS策略导致缓存冲突。
步骤6:旧证书吊销
在CA控制台提交旧证书的序列号,更新CRL(证书吊销列表),防止证书被恶意复用。
SSL证书过期更换新证书并不复杂,但仍会涉及到一些技术运维工作。选择正规可靠的服务商购买SSL证书,可以提供完善的技术支持服务,帮助大家顺利完成部署。及时更换SSL证书不仅能够让网站处于安全状态,而且还能提升品牌的竞争力,避免客户流失。
SSL证书品牌
-
DigiCert是全球顶尖级SSL数字证书提供商,服务于全球一百四十多个国家和地区,是名副其实的行业领导者。旗下拥有 DigiCert,Symantec,Geotrust,Thawte,RapidSSL等SSL证书品牌。
-
GeoTrust是全球第二大数字证书颁发机构,是一款优质的、高性价比的SSL证书品牌,SSL证书类型丰富,且完美支持中文域名和显示中文名称。服务范围超过150多个国家,拥有客户超过10W。
-
Sectigo(原Comodo CA)成立于1998年,是全球优秀的网络安全服务提供商和SSL证书服务商之一,其提供的SSL证书类型丰富且价格亲民,能完美的为网站和企业提供各个类型的数字证书安全解决方案。
-
GlobalSign1996年起开始颁发可信赖的SSL数字证书,是一家声誉卓越、备受信赖的SSL数字提供商,是信息安全领域的佼佼者、公众信任服务行业的领头羊。旗下拥有GlobalSign、AlphaSSL等SSL证书品牌。
-
Thawte是全球第三大数字证书颁发机构,其产品占据了全球SSL数字证书市场的40%,它是全球最早支持IDN国际语言域名的数字证书品牌,使用中文域名网站的中国用户也可以部署SSL证书来确保信息安全。
-
RapidSSL是入门级便宜SSL证书品牌,目前属于Digicert的子品牌,其根证书为Digicert,只有两款DV证书产品,相对Digicert其他子品牌的DV证书,价格便宜很多,非常适合小型网站和个人用户申请安装。
相关文章
