换SSL证书？我上次搞砸了网站瘫了三天！

哎，说起SSL证书这事儿，我就头大。我之前在公司管网站， 老板突然说“咱们证书快过期了赶紧换换”，我当时想，不就换个证书嘛，多简单啊，后来啊呢？换完之后网站直接打不开了客户投诉

先搞明白，SSL证书到底是啥玩意儿？

SSL证书？说白了就是网站的一个“身份证”，证明这个网站是真的，不是骗子冒充的。你访问那些带小锁的网站，就是有SSL证书保护的。没有的话，浏览器就会弹个红字警告“不平安”，谁还敢买东西啊？而且这证书不是永久的， 一般就一年、两年，过期了就得换，不然网站就变成“黑户”了浏览器不让进，搜索引擎也不收录，那可就麻烦大了，我无法认同...。

我记得我第一次接触SSL证书的时候， 还以为是“SSL证书证书”，重复了其实不是就是SSL证书，全称叫“平安套接层证书”，听着挺高级，其实作用就俩：一是加密你输入的密码、 我直接好家伙。 银行卡号这些隐私，不让别人偷kan；二是证明这个网站确实是“它自己”，不是别人假冒的。这俩事儿要是Zuo不到，网站基本就不用开了谁信你啊？

换证书前，先干这些“笨”活儿，别学我偷懒！

我上次换证书就没Zuo这步，直接上手就换，后来啊搞砸了。后来才知道，换之前必须先备份！对，备份！就像你出门前要带钥匙一样，重要！ 小丑竟是我自己。 备份啥呢？备份现在的SSL证书和那个“小钥匙”，也就是私钥。这俩玩意儿要是没了新证书配不上，网站就打不开了比没证书还惨。

备份咋备份？简单， 找到证书文件和私钥文件，把它们复制到U盘里huo者发到自己邮箱里甚至存到手机里dou行，反正别放电脑里万一电脑坏了备份也没了。我上次就是直接放桌面了后来啊重装系统的时候忘了备份，哭dou没地方哭去。对了备份的时候记一下它们放哪儿了别到时候找不着，跟大海捞针似的，没法说。。

除了备份，还得kankan服务器的情况。比如你用的是啥服务器软件？是阿帕奇还是Nginx，还是微软的IIS？这玩意儿不一样，换证书的方法也不一样。我上次用的是阿帕奇， 后来啊我以为是Nginx的配置方法，改了半天网站直接502错误，显示“Bad Gateway”，我当时就懵了啥是Bad Gateway啊？后来问了技术大牛才知道，配错了服务器软件的配置文件。suo以啊，先搞清楚自己用啥服务器，别像我一样冒冒失失的。

搞证书：是自己造一个，还是找别人买？

证书搞到手有两种办法，一种是自己“造”，一种是找“厂家”买。自己造的叫“自签名证书”， 就是自己给自己发身份证，不用花钱，适合在公司内部用，比如测试环境，开发的时候用用。但要是用在正式网站上， 那就不行了浏览器会显示“证书不受信任”，用户一kan就不敢点了谁敢在一个不受信任的网站上输银行卡号啊？

PUA。 我第一次自签名证书就是在测试环境用的， 当时觉得挺方便，不用花钱，后来啊有一天老板心血来潮，用手机访问测试网站，后来啊浏览器一顿警告，老板问我“这网站是不是有问题啊？怎么说不平安？”我当时尴尬得脸通红，赶紧解释“这是测试的，没事”。suo以记住自签名证书只Neng在内部用，别拿到外面去显摆。

另一种就是找“厂家”买，也就是受信任的第三方CA。CA是啥？就是“证书颁发机构”，相当于政府发的身份证部门，浏览器dou认他们。比如DigiCert、 Sectigo、GlobalSign这些，dou是大牌子，他们发的证书，浏览器一kan“哦，是这家发的，没事”，就不会警告了。买证书的时候得提供一些信息， 比如你的网站域名、公司名称、地址什么的，这些信息会写在证书上，确保证书是你的，不是别人的。我当时买证书的时候， 域名填错了把www写成ww，后来啊证书下来之后访问ww.yourwebsite.com才行，www打不开，又得重新申请，耽误了好几天真是气死我了，开倒车。。

把证书“装”到服务器上，这步Zui容易出错！

证书搞到了就该往服务器上“装”了。这步Zui麻烦，不同的服务器软件，装法还不一样。比如阿帕奇， 得改httpd.conf文件；Nginx得改nginx.conf文件；IIS呢，就在管理界面里点来点去。我上次用的是阿帕奇， 就改配置文件，后来啊改错了地方，把证书路径写错了明明证书在“C:\certificates”里我写成了“C:\certificate”， 地道。 少了个“s”，后来啊服务器找不到证书，直接报错“SSL Failed to Initialize”，我当时就纳闷了“SSL初始化失败”是啥意思啊？后来查了半天才明白是路径错了。

改配置文件的时候， 得找到两个地方：一个是SSLCertificateFile，后面跟证书文件的路径；另一个是SSLCertificateKeyFile，后面跟私钥文件的路径。这两个路径一定要对，一个dou不Neng错。我上次就是私钥路径没改，还是用的旧路径，后来啊证书和私钥对不上，服务器不认，网站还是打不开。搞了半天才发现这么个小错误，真是哭笑不得，结果你猜怎么着？。

我血槽空了。 除了阿帕奇，Nginx的配置也不一样。Nginx是用ssl_certificate和ssl_certificate_key这两个指令，路径也得写对。我朋友用Nginx， 他直接把配置文件复制了一份，改了证书路径，后来啊忘了重启Nginx，网站还是老证书，他以为换成功了后来啊客户还是说“不平安”，后来才想起来“哦，服务器要重启才Neng生效啊”。suo以啊，改完配置文件，一定要重启服务器，huo者 reload 一下不然改了也白改。

证书链？啥玩意儿？别跟我绕弯子！

证书链？我第一次听这词儿，还以为是“证书串串”，就是烤串那种串起来的证书。后来才知道，证书链就是好几个证书连在一起，像串糖葫芦一样。 说实话... 有“根证书”、“中间证书”，还有你的“服务器证书”。这仨缺一不可，少了哪个，浏览器dou不认你的证书。

我上次换证书就没注意证书链， 只把服务器证书传上去了忘了加中间证书，后来啊浏览器显示“证书链不完整”，点进去一kan，“此证书由不受信任的颁发机构颁发”。我当时就懵了我明明买的受信任的CA的证书啊，怎么不受信任了？后来问了技术支持才知道， CA发下来的证书不是只有一个，通常有好几个文件，里面除了你的服务器证书，还有中间证书和根证书，得把这些证书合并在一起，huo者按照要求上传，不Neng只传服务器证书。我那个CA的证书包里中间证书叫“chain.crt”，我以为是没用的，就删了后来啊出问题了。真是教训啊！

怎么弄证书链呢？简单，把中间证书和服务器证书合并成一个文件就行。用记事本打开两个证书，复制粘贴到一起，中间加个换行就行，保存成.pem文件。ran后把这个文件传到服务器， 栓Q了... 配置的时候指向这个合并后的文件。我后来就是这么弄的，果然浏览器就不报错了显示“连接平安”，小锁也出来了心里那个美啊！

换完就完事？大漏特漏！还得测试和监控！

证书装好了别以为就完事了还得测试！怎么测试？用浏览器打开你的网站，kankan地址栏有没有小锁图标。没有的话，点进去，kankan是什么错误。如guo是“证书过期”huo者“域名不匹配”，那就是证书有问题，得检查一下。我上次测试的时候， 切中要害。 浏览器显示“证书不受信任”，我还以为是证书本身的问题，后来才发现是我电脑时间没对，时间差了两天证书显示“未来证书”，浏览器认为这证书还没到生效时间，suo以不信任。我赶紧把电脑时间改对了刷新一下小锁就出来了真是虚惊一场。

除了浏览器测试， 还可yi用一些在线工具测，比如SSL Labs的SSL Test，输入你的域名，它会详细分析你的证书配置，有没有问题，证书链完不完整，加密强度够不够啥的。我上次用这个工具测，发现我的证书用了“弱加密算法”，虽然Neng用，但平安性不高，建议换一个。我赶紧联系CA，换了个强加密的证书，这下就放心了。

希望大家... 证书换好了还得定期监控，别等过期了才发现。证书一般一年或两年过期，提前一个月就得开始准备换，别等过期前两天才换，到时候手忙脚乱的。我有个朋友就是证书前一天过期，他才想起来换，后来啊换的时候出了点问题，网站断了一天损失了好几万。suo以啊，定个闹钟，huo者用监控工具，定期kankan证书还有多久过期，别像我朋友那么粗心。

万一出问题了咋恢复？别慌，有备份！

准确地说... 说了这么多，万一换的时候还是出问题了网站打不开了咋办？别慌，你不是有备份吗？把备份的证书和私钥传回去，恢复原来的配置，重启服务器，网站就Neng回来了。我上次就是主要原因是没备份， 搞砸了之后只Neng干等着，新证书重新申请，花了三天时间，网站瘫了三天老板差点没把我开了。suo以记住备份是你再说说的救命稻草，一定要Zuo！

KTV你。 恢复的时候， 注意别把备份的文件搞错了比如备份的证书是old.crt，私钥是old.key，就传这两个文件，别传错了。我上次恢复的时候， 不小心传了个备份的测试证书，后来啊网站还是“不平安”，找了半天才发现文件传错了真是欲哭无泪啊！

除了恢复，还可yi先在测试环境换，换好了没问题，再换生产环境。我后来学聪明了 先在测试服务器上把证书换了测试好了再换正式服务器，这样即使出问题，影响也不大，测试服务器瘫了也没人管。suo以啊，Zuo事要有计划，别像我一样一根筋，直接就上生产环境，出了问题就傻眼了。

一下换SSL证书就这么几步，别再踩坑了！

好了 啰嗦了这么多，一下换SSL证书的步骤：先说说备份现在的证书和私钥，这是Zui重要的，别偷懒；ran后搞清楚自己用啥服务器软件，阿帕奇还是Nginx；接着，获取新证书，要么自签名，要么找CA买；拿到证书后检查证书链， 啥玩意儿？ 别少中间证书；ran后按照服务器软件的配置方法，把证书和私钥路径改对，改完记得重启服务器；再说说用浏览器和在线工具测试一下没问题就搞定了；定期监控证书有效期，提前换，别等过期了才着急。

换SSL证书这事儿吧， 说难不难，说简单也不简单，主要就是细心点，别像我一样毛毛躁躁的。多备份几遍，多测试几次别嫌麻烦，麻烦点总比网站瘫了强。我上次被老板骂之后就吸取教训， 我心态崩了。 后来换证书一次成功，老板还表扬我了说我“靠谱了”。suo以啊，人dou是吃一堑长一智，别怕犯错，怕的是犯了错不改。

对了 再说一句，别用那种免费的SSL证书，虽然省钱，但平安性差，而且有效期短，经常要换，麻烦死了。我之前用过Let's Encrypt的免费证书， 又爱又恨。 三个月就得换一次每次dou要手动续，后来用了自动续的工具，才省了点事。但正式网站还是建议买付费的，省心，平安性也高。

换SSL证书别怕麻烦，一步一步来细心点，就不会出大问题。希望我的这些经验Neng帮到大家，别再像我一样，主要原因是换证书把网站搞瘫了那可就太尴尬了。 原来小丑是我。 好了就说这么多，大家换证书顺利啊！对了大家记得多喝水，对身体好，我写这篇文章写了半天嗓子dou干了去喝口水先！