109 lines
6.8 KiB
Markdown
109 lines
6.8 KiB
Markdown
# 1
|
||
|
||
我去年2024年6月在SSL Dragon上买了一个Comodo PositiveSSL Wildcard类型的SSL证书,时间为3年,订单时间到2027年6月。
|
||
|
||
今天是2025年7月,访问网站时提示证书过期了。
|
||
一般这个SSL证书,需要一年更新一次么,即使我的订单时间是三年。
|
||
|
||
---
|
||
## SSL 证书过期问题:Comodo PositiveSSL Wildcard
|
||
|
||
您在 2024 年 6 月购买的 Comodo PositiveSSL Wildcard 证书在 2025 年 7 月显示过期,即使订单有效期是三年,这确实是一个常见但容易混淆的问题。
|
||
|
||
**是的,即使您购买的 SSL 证书订单有效期是三年,通常也需要每年更新一次。**
|
||
|
||
这背后的主要原因是:
|
||
|
||
* **浏览器和 CA/浏览器论坛的规定:** 为了提高安全性,证书颁发机构(CA)和浏览器论坛(CA/Browser Forum)对 SSL 证书的最大有效期有严格限制。目前,主流浏览器(如 Chrome、Firefox、Safari 等)通常只信任有效期不超过 13 个月(约 398 天)的 SSL 证书。
|
||
* **证书续订与订单周期的区别:** 您购买的三年期订单指的是您在 SSL Dragon 那里为该证书服务支付的费用涵盖了三年。但这不代表您会直接获得一张有效期三年的证书。您每年都需要进行一次“续订”(实际上是重新颁发)操作,以获取一张新的、有效期为一年左右的证书。每次续订后,新的证书文件会替换旧的证书文件。
|
||
|
||
**为什么会有这样的规定?**
|
||
|
||
缩短证书有效期有助于:
|
||
|
||
* **提高安全性:** 如果一个私钥被泄露,其影响范围会因为证书有效期短而大大减小。
|
||
* **促进技术更新:** 确保网站能及时采用最新的加密算法和安全标准。
|
||
* **简化撤销流程:** 当证书出现问题需要撤销时,短有效期也能降低风险。
|
||
|
||
**您现在应该怎么做?**
|
||
|
||
您需要登录您在 **SSL Dragon** 的账户,查找您的订单并执行**证书续订(Reissue)**操作。续订通常是免费的,因为它包含在您已支付的三年订单费用中。在续订过程中,您可能需要重新进行域名验证(DV)。
|
||
|
||
续订并获得新的证书文件后,您需要将新证书安装到您的服务器上,替换掉已经过期的证书。
|
||
|
||
希望这能帮您解决证书过期的问题!如果您在 SSL Dragon 的账户中找不到续订选项或遇到其他困难,建议直接联系 SSL Dragon 的客户支持寻求帮助。
|
||
|
||
---
|
||
|
||
# 2
|
||
|
||
我**证书续订(Reissue)**后,收到了ca,crt和csr三个文件。
|
||
但是我的服务器上用的Nginx,用的是pem和key文件。
|
||
|
||
1. key文件续订时不会变吧?需要更换的只是pem文件吧?
|
||
2. pem文件邮箱里没有收到,我应该到SSL Dragon网站上继续下载还是怎样?
|
||
|
||
|
||
您好!关于您续订 SSL 证书后文件格式的问题,以及 Nginx 服务器的配置,我来为您详细解答:
|
||
|
||
1. **key 文件续订时不会变吗?需要更换的只是 pem 文件吗?**
|
||
|
||
**是的,通常情况下,您的私钥 (key) 文件在证书续订时是不会改变的。** 您在首次生成 CSR (Certificate Signing Request) 时就已经生成了私钥。只要您在续订时使用的是同一个 CSR(或者说,您没有重新生成 CSR),那么您的私钥文件就是不变的。
|
||
|
||
**您需要更换的主要是证书文件,也就是 Nginx 配置中对应的 `.pem` 文件。** 这个 `.pem` 文件通常包含了您的域名证书 (`.crt` 文件) 以及可能包含中间证书链 (Intermediate Certificates)。
|
||
|
||
2. **pem 文件邮箱里没有收到,我应该到 SSL Dragon 网站上继续下载还是怎样?**
|
||
|
||
**是的,您应该回到 SSL Dragon 的网站上下载完整的证书链文件,通常会是 `.pem` 格式,或者您可以自行组合。**
|
||
|
||
您收到的 `ca` (通常是根证书或中间证书)、`crt` (您的域名证书) 和 `csr` (证书签名请求,这个是您提交给 CA 的,不是证书文件本身) 这三个文件,需要按照特定的顺序组合成 Nginx 所需的 `.pem` 文件。
|
||
|
||
* **`.crt` 文件:** 这是您的服务器证书,包含您的域名信息。
|
||
* **`ca` 文件 (或通常称为 `bundle` 文件):** 这通常是中间证书(Intermediate Certificates)和/或根证书(Root Certificate)的集合。这些证书是用来证明您的域名证书是由可信的证书颁发机构颁发的,浏览器需要它们来建立完整的信任链。
|
||
|
||
**如何组合 `.pem` 文件以供 Nginx 使用:**
|
||
|
||
Nginx 的 `ssl_certificate` 指令通常需要一个包含您的域名证书和所有中间证书的文件。您可以按照以下顺序将它们合并到一个 `.pem` 文件中:
|
||
|
||
```
|
||
-----BEGIN CERTIFICATE-----
|
||
(您的域名证书内容 - 来自 .crt 文件)
|
||
-----END CERTIFICATE-----
|
||
-----BEGIN CERTIFICATE-----
|
||
(第一个中间证书内容 - 来自 ca/bundle 文件)
|
||
-----END CERTIFICATE-----
|
||
-----BEGIN CERTIFICATE-----
|
||
(第二个中间证书内容 - 来自 ca/bundle 文件,如果有的话)
|
||
-----END CERTIFICATE-----
|
||
... (所有中间证书,按顺序)
|
||
```
|
||
|
||
**最推荐的做法是:**
|
||
|
||
1. **登录 SSL Dragon 账户:** 访问您的 SSL Dragon 账户,找到您的证书订单。通常在证书详情页面会有下载选项,提供不同服务器类型(如 Nginx、Apache、IIS 等)的证书包下载。选择 Nginx 对应的下载选项,它通常会直接提供一个已经合并好的 `.pem` 文件,或者一个包含 `your_domain.crt` 和 `your_domain_bundle.crt` 的压缩包。
|
||
2. **下载 Nginx 适用的证书包:** SSL Dragon 应该会提供一个专门为 Nginx 准备的证书文件,这个文件通常已经包含了您的域名证书和中间证书,可以直接用作 `ssl_certificate` 的值。这个文件可能命名为 `your_domain.pem` 或 `your_domain_chained.crt` 等。
|
||
|
||
**Nginx 配置示例:**
|
||
|
||
在您的 Nginx 配置文件中,您会看到类似这样的配置:
|
||
|
||
```nginx
|
||
server {
|
||
listen 443 ssl;
|
||
server_name your_domain.com;
|
||
|
||
ssl_certificate /etc/nginx/ssl/your_domain_chained.pem; # 这个是您需要更新的文件路径
|
||
ssl_certificate_key /etc/nginx/ssl/your_domain.key; # 这个通常不变
|
||
|
||
# 其他 SSL 配置,如 ssl_protocols, ssl_ciphers 等
|
||
}
|
||
```
|
||
|
||
**总结:**
|
||
|
||
* 私钥 (`.key` 文件) 通常不变。
|
||
* 您需要从 SSL Dragon 网站下载 Nginx 适用的完整证书链文件(通常是 `.pem` 格式),或者手动将 `crt` 和 `ca` 文件合并成一个 `.pem` 文件。
|
||
* 将新的 `.pem` 文件上传到服务器,替换旧文件,并确保 Nginx 配置中的路径正确。
|
||
* 重新加载或重启 Nginx 服务,使新证书生效。
|
||
|
||
如果您在 SSL Dragon 网站上找不到 Nginx 专用的下载选项,或者不确定如何合并文件,请截图并联系 SSL Dragon 的客服支持,他们会提供最准确的指导。 |