如何更新SSL证书？手动更新与自动化更新超全指南

在安全要求日益严格的今天，SSL证书是网站实现HTTPS加密、身份可信认证的核心工具。不过，SSL证书具有有效期（当前为200天，最终会逐步缩短至47天），一旦过期未更新，浏览器会显示 “不安全” 警告，导致用户流失、品牌信誉受损，甚至引发数据泄露风险。而定期更新证书，正是规避上述风险的关键。那么，如何更新SSL证书？本文将为你提供手动更新与自动化更新超全指南，助力您高效完成证书更新，筑牢网站安全防线。

一、更新前必做准备

在更新之前，首先需要清楚当前SSL证书的有效期与类型，我们可以通过以下方式查看：

1、通过浏览器查看：浏览器访问目标网站，点击地址栏锁形图标 → “连接安全” → “证书有效”，即可查看SSL证书的有效期与类型。

2、通过在线工具查看：使用锐成信息的SSL状态检测工具，只需输入网站域名，点击“立即检测”，就会出现该网站所部署SSL证书的所有信息，包括证书有效期与类型。

二、手动更新SSL证书

手动更新适合证书数量少、更新频率低的运维场景，须严格按照步骤执行，避免配置错误导致服务中断。核心流程包括：申请并下载新证书→上传到服务器→修改配置并重启，下面以 Nginx、Apache为例详细说明。

1、申请并下载新证书

在锐成信息申请SSL证书，可选择锐安信sslTrus、Sectigo、Digicert等品牌的DV/OV/EV SSL证书。其中，DV证书几分钟签发，OV/EV证书1-3个工作日签发，签发后在申请时预留的邮箱或订单状态显示为【已签发】后下载。

2、上传到服务器

将下载的SSL证书上传到服务器，不同服务器的证书目录不同：

Nginx服务器：上传到/etc/nginx/ssl 目录

Apache服务器：上传到/etc/httpd/ssl 目录

3、修改配置并重启

将证书上传到服务器的证书目录下后，需要修改配置并重启服务，下面以Apache为例详细说明：

编辑 /etc/httpd/conf.d 目录下的 ssl.conf 配置文件。修改如下内容：

<VirtualHost *:443>
        DocumentRoot /var/www/html
        #启用 SSL 功能
        SSLEngine on
        #证书文件的路径
        SSLCertificateFile      /etc/httpd/ssl/domain_com.crt
        #私钥文件的路径
        SSLCertificateKeyFile   /etc/httpd/ssl/domain_com.key
        #证书链文件的路径
        SSLCertificateChainFile /etc/httpd/ssl/domain_com.ca-bundle
</VirtualHost>

保存配置文件之后重启Apache服务器

备注：IIS、Nginx、Exchange、Tomcat、Weblogic等服务器的SSL证书部署配置教程可参阅《手动部署证书》

三、自动更新SSL证书

与手动更新相比，自动化更新SSL证书不仅更加便捷，更是大势所趋。随着SSL证书有效期不断缩短，手动更新愈加频繁且易遗漏，自动更新能有效杜绝证书过期风险，提高运维效率，并可降低运维成本。可订阅锐安信 CaaS，实现SSL证书的自动申请、部署和续期，以下是具体步骤：

1、订阅CaaS

在锐成云控制台订阅锐安信 CaaS 服务，并填写域名、联系信息，并配置dns记录完成SSL证书申请。

2、上传clmBot到服务器并配置

在下载clmBot页面下载系统对应的clmBot版本，然后将其上传到对应服务器，并完成clmBot的配置。

3、自动更新

在Web服务器端将clmbot加入定时任务，Clmbot更新命令：/opt/clm-bot-linux-amd64 update-certificate (根据实际路径填写)。然后在锐安信Caas管理后台，切换到SSL证书详情标签，设置证书自动重签周期，从而实现自动更新。

备注：更详细的步骤请参阅《锐安信CaaS使用指南》

SSL证书的更新远不止是一项例行维护任务，它直接关系到用户信任的建立、核心数据的安全以及业务服务的连续性。如果您选择手动更新，请务必在日历中设置明确的提醒，避免因疏忽造成证书过期。

当然，如果您希望真正告别过期焦虑，将精力聚焦于业务本身，可立即订阅锐安信 CaaS，开启您的SSL证书自动化管理之旅。198元/年起，无需复杂配置，30秒快速部署，三重监控预警，助您实现安全、省心、高效、自动化的运维体验。