6.8 KiB
1
我去年2024年6月在SSL Dragon上买了一个Comodo PositiveSSL Wildcard类型的SSL证书,时间为3年,订单时间到2027年6月。
今天是2025年7月,访问网站时提示证书过期了。 一般这个SSL证书,需要一年更新一次么,即使我的订单时间是三年。
SSL 证书过期问题:Comodo PositiveSSL Wildcard
您在 2024 年 6 月购买的 Comodo PositiveSSL Wildcard 证书在 2025 年 7 月显示过期,即使订单有效期是三年,这确实是一个常见但容易混淆的问题。
是的,即使您购买的 SSL 证书订单有效期是三年,通常也需要每年更新一次。
这背后的主要原因是:
- 浏览器和 CA/浏览器论坛的规定: 为了提高安全性,证书颁发机构(CA)和浏览器论坛(CA/Browser Forum)对 SSL 证书的最大有效期有严格限制。目前,主流浏览器(如 Chrome、Firefox、Safari 等)通常只信任有效期不超过 13 个月(约 398 天)的 SSL 证书。
- 证书续订与订单周期的区别: 您购买的三年期订单指的是您在 SSL Dragon 那里为该证书服务支付的费用涵盖了三年。但这不代表您会直接获得一张有效期三年的证书。您每年都需要进行一次“续订”(实际上是重新颁发)操作,以获取一张新的、有效期为一年左右的证书。每次续订后,新的证书文件会替换旧的证书文件。
为什么会有这样的规定?
缩短证书有效期有助于:
- 提高安全性: 如果一个私钥被泄露,其影响范围会因为证书有效期短而大大减小。
- 促进技术更新: 确保网站能及时采用最新的加密算法和安全标准。
- 简化撤销流程: 当证书出现问题需要撤销时,短有效期也能降低风险。
您现在应该怎么做?
您需要登录您在 SSL Dragon 的账户,查找您的订单并执行**证书续订(Reissue)**操作。续订通常是免费的,因为它包含在您已支付的三年订单费用中。在续订过程中,您可能需要重新进行域名验证(DV)。
续订并获得新的证书文件后,您需要将新证书安装到您的服务器上,替换掉已经过期的证书。
希望这能帮您解决证书过期的问题!如果您在 SSL Dragon 的账户中找不到续订选项或遇到其他困难,建议直接联系 SSL Dragon 的客户支持寻求帮助。
2
我**证书续订(Reissue)**后,收到了ca,crt和csr三个文件。 但是我的服务器上用的Nginx,用的是pem和key文件。
- key文件续订时不会变吧?需要更换的只是pem文件吧?
- pem文件邮箱里没有收到,我应该到SSL Dragon网站上继续下载还是怎样?
您好!关于您续订 SSL 证书后文件格式的问题,以及 Nginx 服务器的配置,我来为您详细解答:
-
key 文件续订时不会变吗?需要更换的只是 pem 文件吗?
是的,通常情况下,您的私钥 (key) 文件在证书续订时是不会改变的。 您在首次生成 CSR (Certificate Signing Request) 时就已经生成了私钥。只要您在续订时使用的是同一个 CSR(或者说,您没有重新生成 CSR),那么您的私钥文件就是不变的。
您需要更换的主要是证书文件,也就是 Nginx 配置中对应的
.pem文件。 这个.pem文件通常包含了您的域名证书 (.crt文件) 以及可能包含中间证书链 (Intermediate Certificates)。 -
pem 文件邮箱里没有收到,我应该到 SSL Dragon 网站上继续下载还是怎样?
是的,您应该回到 SSL Dragon 的网站上下载完整的证书链文件,通常会是
.pem格式,或者您可以自行组合。您收到的
ca(通常是根证书或中间证书)、crt(您的域名证书) 和csr(证书签名请求,这个是您提交给 CA 的,不是证书文件本身) 这三个文件,需要按照特定的顺序组合成 Nginx 所需的.pem文件。.crt文件: 这是您的服务器证书,包含您的域名信息。ca文件 (或通常称为bundle文件): 这通常是中间证书(Intermediate Certificates)和/或根证书(Root Certificate)的集合。这些证书是用来证明您的域名证书是由可信的证书颁发机构颁发的,浏览器需要它们来建立完整的信任链。
如何组合
.pem文件以供 Nginx 使用:Nginx 的
ssl_certificate指令通常需要一个包含您的域名证书和所有中间证书的文件。您可以按照以下顺序将它们合并到一个.pem文件中:-----BEGIN CERTIFICATE----- (您的域名证书内容 - 来自 .crt 文件) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- (第一个中间证书内容 - 来自 ca/bundle 文件) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- (第二个中间证书内容 - 来自 ca/bundle 文件,如果有的话) -----END CERTIFICATE----- ... (所有中间证书,按顺序)最推荐的做法是:
- 登录 SSL Dragon 账户: 访问您的 SSL Dragon 账户,找到您的证书订单。通常在证书详情页面会有下载选项,提供不同服务器类型(如 Nginx、Apache、IIS 等)的证书包下载。选择 Nginx 对应的下载选项,它通常会直接提供一个已经合并好的
.pem文件,或者一个包含your_domain.crt和your_domain_bundle.crt的压缩包。 - 下载 Nginx 适用的证书包: SSL Dragon 应该会提供一个专门为 Nginx 准备的证书文件,这个文件通常已经包含了您的域名证书和中间证书,可以直接用作
ssl_certificate的值。这个文件可能命名为your_domain.pem或your_domain_chained.crt等。
Nginx 配置示例:
在您的 Nginx 配置文件中,您会看到类似这样的配置:
server { listen 443 ssl; server_name your_domain.com; ssl_certificate /etc/nginx/ssl/your_domain_chained.pem; # 这个是您需要更新的文件路径 ssl_certificate_key /etc/nginx/ssl/your_domain.key; # 这个通常不变 # 其他 SSL 配置,如 ssl_protocols, ssl_ciphers 等 }总结:
- 私钥 (
.key文件) 通常不变。 - 您需要从 SSL Dragon 网站下载 Nginx 适用的完整证书链文件(通常是
.pem格式),或者手动将crt和ca文件合并成一个.pem文件。 - 将新的
.pem文件上传到服务器,替换旧文件,并确保 Nginx 配置中的路径正确。 - 重新加载或重启 Nginx 服务,使新证书生效。
如果您在 SSL Dragon 网站上找不到 Nginx 专用的下载选项,或者不确定如何合并文件,请截图并联系 SSL Dragon 的客服支持,他们会提供最准确的指导。