knowledge-vault/work/internal/Hosting/SSL证书周期.md

6.8 KiB
Raw Permalink Blame History

1

我去年2024年6月在SSL Dragon上买了一个Comodo PositiveSSL Wildcard类型的SSL证书时间为3年订单时间到2027年6月。

今天是2025年7月访问网站时提示证书过期了。 一般这个SSL证书需要一年更新一次么即使我的订单时间是三年。


SSL 证书过期问题Comodo PositiveSSL Wildcard

您在 2024 年 6 月购买的 Comodo PositiveSSL Wildcard 证书在 2025 年 7 月显示过期,即使订单有效期是三年,这确实是一个常见但容易混淆的问题。

是的,即使您购买的 SSL 证书订单有效期是三年,通常也需要每年更新一次。

这背后的主要原因是:

  • 浏览器和 CA/浏览器论坛的规定: 为了提高安全性证书颁发机构CA和浏览器论坛CA/Browser Forum对 SSL 证书的最大有效期有严格限制。目前,主流浏览器(如 Chrome、Firefox、Safari 等)通常只信任有效期不超过 13 个月(约 398 天)的 SSL 证书。
  • 证书续订与订单周期的区别: 您购买的三年期订单指的是您在 SSL Dragon 那里为该证书服务支付的费用涵盖了三年。但这不代表您会直接获得一张有效期三年的证书。您每年都需要进行一次“续订”(实际上是重新颁发)操作,以获取一张新的、有效期为一年左右的证书。每次续订后,新的证书文件会替换旧的证书文件。

为什么会有这样的规定?

缩短证书有效期有助于:

  • 提高安全性: 如果一个私钥被泄露,其影响范围会因为证书有效期短而大大减小。
  • 促进技术更新: 确保网站能及时采用最新的加密算法和安全标准。
  • 简化撤销流程: 当证书出现问题需要撤销时,短有效期也能降低风险。

您现在应该怎么做?

您需要登录您在 SSL Dragon 的账户,查找您的订单并执行**证书续订Reissue**操作。续订通常是免费的因为它包含在您已支付的三年订单费用中。在续订过程中您可能需要重新进行域名验证DV

续订并获得新的证书文件后,您需要将新证书安装到您的服务器上,替换掉已经过期的证书。

希望这能帮您解决证书过期的问题!如果您在 SSL Dragon 的账户中找不到续订选项或遇到其他困难,建议直接联系 SSL Dragon 的客户支持寻求帮助。


2

我**证书续订Reissue**后收到了cacrt和csr三个文件。 但是我的服务器上用的Nginx用的是pem和key文件。

  1. key文件续订时不会变吧需要更换的只是pem文件吧
  2. pem文件邮箱里没有收到我应该到SSL Dragon网站上继续下载还是怎样

您好!关于您续订 SSL 证书后文件格式的问题,以及 Nginx 服务器的配置,我来为您详细解答:

  1. key 文件续订时不会变吗?需要更换的只是 pem 文件吗?

    是的,通常情况下,您的私钥 (key) 文件在证书续订时是不会改变的。 您在首次生成 CSR (Certificate Signing Request) 时就已经生成了私钥。只要您在续订时使用的是同一个 CSR或者说您没有重新生成 CSR那么您的私钥文件就是不变的。

    您需要更换的主要是证书文件,也就是 Nginx 配置中对应的 .pem 文件。 这个 .pem 文件通常包含了您的域名证书 (.crt 文件) 以及可能包含中间证书链 (Intermediate Certificates)。

  2. pem 文件邮箱里没有收到,我应该到 SSL Dragon 网站上继续下载还是怎样?

    是的,您应该回到 SSL Dragon 的网站上下载完整的证书链文件,通常会是 .pem 格式,或者您可以自行组合。

    您收到的 ca (通常是根证书或中间证书)、crt (您的域名证书) 和 csr (证书签名请求,这个是您提交给 CA 的,不是证书文件本身) 这三个文件,需要按照特定的顺序组合成 Nginx 所需的 .pem 文件。

    • .crt 文件: 这是您的服务器证书,包含您的域名信息。
    • ca 文件 (或通常称为 bundle 文件) 这通常是中间证书Intermediate Certificates和/或根证书Root Certificate的集合。这些证书是用来证明您的域名证书是由可信的证书颁发机构颁发的浏览器需要它们来建立完整的信任链。

    如何组合 .pem 文件以供 Nginx 使用:

    Nginx 的 ssl_certificate 指令通常需要一个包含您的域名证书和所有中间证书的文件。您可以按照以下顺序将它们合并到一个 .pem 文件中:

    -----BEGIN CERTIFICATE-----
    (您的域名证书内容 - 来自 .crt 文件)
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    (第一个中间证书内容 - 来自 ca/bundle 文件)
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    (第二个中间证书内容 - 来自 ca/bundle 文件,如果有的话)
    -----END CERTIFICATE-----
    ... (所有中间证书,按顺序)
    

    最推荐的做法是:

    1. 登录 SSL Dragon 账户: 访问您的 SSL Dragon 账户,找到您的证书订单。通常在证书详情页面会有下载选项,提供不同服务器类型(如 Nginx、Apache、IIS 等)的证书包下载。选择 Nginx 对应的下载选项,它通常会直接提供一个已经合并好的 .pem 文件,或者一个包含 your_domain.crtyour_domain_bundle.crt 的压缩包。
    2. 下载 Nginx 适用的证书包: SSL Dragon 应该会提供一个专门为 Nginx 准备的证书文件,这个文件通常已经包含了您的域名证书和中间证书,可以直接用作 ssl_certificate 的值。这个文件可能命名为 your_domain.pemyour_domain_chained.crt 等。

    Nginx 配置示例:

    在您的 Nginx 配置文件中,您会看到类似这样的配置:

    server {
        listen 443 ssl;
        server_name your_domain.com;
    
        ssl_certificate /etc/nginx/ssl/your_domain_chained.pem; # 这个是您需要更新的文件路径
        ssl_certificate_key /etc/nginx/ssl/your_domain.key;    # 这个通常不变
    
        # 其他 SSL 配置,如 ssl_protocols, ssl_ciphers 等
    }
    

    总结:

    • 私钥 (.key 文件) 通常不变。
    • 您需要从 SSL Dragon 网站下载 Nginx 适用的完整证书链文件(通常是 .pem 格式),或者手动将 crtca 文件合并成一个 .pem 文件。
    • 将新的 .pem 文件上传到服务器,替换旧文件,并确保 Nginx 配置中的路径正确。
    • 重新加载或重启 Nginx 服务,使新证书生效。

    如果您在 SSL Dragon 网站上找不到 Nginx 专用的下载选项,或者不确定如何合并文件,请截图并联系 SSL Dragon 的客服支持,他们会提供最准确的指导。