如何续订加密SSL / TLS证书

如果您使用Nginx作为Web服务器,并且由Let’s Encrypt颁发的SSL / TLS证书已过期或即将过期,那么您必须到达正确的位置。 本教程将向您展示如何更新Let’s Encrypt颁发的SSL / TLS证书。 如果您还没有SSL / TLS证书,请查看此帖子以轻松获得免费的证书。

续订SSL / TLS证书

首先SSH进入Linux服务器并停止Nginx

sudo service nginx stop     or      sudo systemctl stop nginx

然后发出以下命令来续订证书。

cd /letsencrypt

./letsencrypt-auto renew --email your-email-address --agree-tos

用您的真实电子邮件地址替换您的电子邮件地址。 –agree-tos表示同意服务条款。 上面的命令假定您使用git repo安装了letencrypt客户端:

git clone https://github.com/letsencrypt/letsencrypt

如果您从Linux发行版的软件存储库中安装了letencrypt,请输入此命令以更新证书。

letsencrypt renew --email your-email-address --agree-tos

如果续订过程成功,您将在输出中看到以下消息:

Congratulations, all renewals succeeded.

现在启动Nginx Web服务器。

sudo service nginx start        or        sudo systemctl start nginx

如果在查看网站时浏览器中仍然显示“此网站的证书无效或已过期”错误消息,则可能需要重新启动计算机。

DVSNI挑战失败

如果服务器位于CDN后面,则需要更改域名的A记录。 将您的www域和非www域都指向原始服务器。 之后,输入上述更新命令。 续订过程成功后,您可以将服务器再次置于CDN后面。

如果您不更改A记录并输入上面的续订命令,则会看到以下错误消息。

urn:acme:error:tls :: The server experienced a TLS error during domain verification :: Failed to connect to host for DVSNI challenge. Skipping.

Let’s Encrypt使用DVSNI来验证您对服务器具有控制权。 让我们的加密服务器将检查您的域的A记录并比较IP地址。 如果服务器的IP与域的A记录的IP相匹配,则DVSNI挑战将成功。 否则它将失败。

Sidebar