如何续订让我们加密SSL/TLS证书

  • 技术文档
  • 2022.03.24
  • 浏览:169

文章目录[隐藏]

如果您使用Nginx作为web服务器,并且Let’s Encrypt颁发的SSL/TLS证书已过期或即将过期,那么您必须找到正确的位置。本教程将向您展示如何更新Let's Encrypt颁发的SSL/TLS证书。如果你还没有SSL/TLS证书,请查看本文,轻松获得免费证书。

续订SSL/TLS证书

首先ssh进入Linux服务器并停止Nginx

sudo service nginx stop     or      sudo systemctl stop nginx

然后发出以下命令以续订证书。

cd /letsencrypt  ./letsencrypt-auto renew --email your-email-address --agree-tos

用真实的电子邮件地址替换您的电子邮件地址同意tos指同意服务条款。上面的命令假设您使用git repo安装了letsencrypt客户端:

git clone 

如果从Linux发行版的软件存储库安装了letsencrypt,请输入此命令以续订证书。

letsencrypt renew --email your-email-address --agree-tos

如果续订过程成功,您将在输出中看到以下消息:

Congratulations, all renewals succeeded.

现在启动Nginx web服务器。

sudo service nginx start        or        sudo systemctl start nginx

如果在浏览网站时仍在浏览器中看到“此网站的证书无效或已过期”错误消息,则可能需要重新启动计算机。

DVSNI挑战失败

如果您的服务器落后于CDN,那么您需要更改您的域名记录。将您的www域和非www域都指向您的源服务器。之后,输入上面提到的续订命令。一旦续订过程成功,您可以再次将服务器置于CDN之后。

如果不更改记录并输入上述续订命令,您将看到以下错误消息。

urn:acme:error:tls :: The server experienced a TLS error during domain verification :: Failed to connect to host for DVSNI challenge. Skipping.

DVSNI被Let's Encrypt用来验证您是否可以控制服务器。让我们加密的服务器将检查您的域的A记录,并比较IP地址。如果服务器的IP与域A记录的IP匹配,则DVSNI挑战将成功。否则它就会失败。