Nginx更换SSL证书详细教程（实操避坑指南）

【导读】Nginx更换SSL证书不是简单复制粘贴文件，而是涉及密钥匹配性、证书链完整性、服务热加载三个关键环节的操作组合技。

Nginx更换SSL证书前必做的3件事
很多线上事故源于准备不足。动手之前，请先确认：

- 当前运行的OpenSSL版本 ≥ 1.1.1f（低于此版本无法支持TLSv1.3及ALPN扩展）；
- Nginx编译参数含--with-http_ssl_module（可通过 nginx -V 查看）；
- 待换证书私钥未被chmod 600以外权限锁定，且属主为nginx worker进程用户（通常是www-data或nginx）。
若任一项不符，强行 reload 将导致worker启动失败甚至master进程退出。

正确拆解你的新证书包
收到CA签发的新证书后，通常会得到至少两个文件：

- domain.crt：站点主体证书；
- ca-bundle.pem 或 chain.pem：中间证书链；
- （可选）domain.key：对应私钥（如自行生成则已有）。
⚠️注意：绝不能把root CA也放进chain.pem！应只保留一级+二级中间证书。可用命令快速检验：
openssl crl2pkcs7 -nocrl -certfile fullchain.pem | openssl pkcs7 -print_certs -noout
正常输出应显示恰好2张证书（不含根）。多于或少于此数都将引发iOS Safari/旧版Win7客户端报错。

Nginx更换SSL证书的标准五步法
以下是经生产环境千次验证的最小可行流程：

备份原conf块与证书文件（推荐带日期戳：cp ssl.conf ssl.conf.bak.$(date +%Y%m%d)）；
将新的domain.key放入/etc/nginx/ssl/private/，设置权限 chmod 400；
合成完整证书链：cat domain.crt ca-bundle.pem > /etc/nginx/ssl/fullchain.pem；
修改server{}区块内的ssl_certificate和ssl_certificate_key指向新路径；
执行 sudo nginx -t && sudo systemctl reload nginx（不用restart！）。
其中第5步最关键：“reload”只会平滑重启worker进程，不影响现有TCP连接；而“restart”会导致毫秒级请求丢弃，电商类网站高峰期慎用。

常见错误现象与定位方法
如果浏览器提示NET::ERR_CERT_AUTHORITY_INVALID或curl返回Peer's Certificate issuer is not recognized，大概率是以下原因：

- fullchain.pem漏掉中间证书 → 使用 https://decoder.link/certchecker 在线解析查看Issuer Chain层级；
- 私钥与公钥不匹配 → 执行 openssl x509 -noout -modulus -in domain.crt | md5 和 openssl rsa -noout -modulus -in domain.key | md5 对比结果；
- SSL协议启用范围太窄 → conf中误删 ssl_protocols TLSv1.2 TLSv1.3; 导致低版本Android WebView拒绝协商。
建议每次更新后立即跑一遍 curl -I --resolve example.com:443:127.0.0.1 https://example.com ，观察Header是否有 Strict-Transport-Security 字段回显。

高级技巧：让Nginx更换SSL证书更省心
规模化运维场景下，还可借助这些实践提效：

- 使用acme.sh配合cron定时自动轮转Let’s Encrypt证书，并绑定post-hook脚本触发nginx reload；
- 在Ansible Playbook中定义template变量{{ cert_path }}/{{ key_path }}，实现跨集群统一批量下发；
- 启用ngx_http_stub_status_module暴露$ssl_protocol $ssl_cipher指标，接入Prometheus做变更前后加密套件分布监控。
至此，你就掌握了Nginx更换SSL证书从入门到稳态交付的全链条技能树。