【導讀】Nginx更換SSL證書不是簡單復制粘貼文件，而是涉及密鑰匹配性、證書鏈完整性、服務熱加載三個關鍵環節的操作組合技。

Nginx更換SSL證書前必做的3件事
很多線上事故源于準備不足。動手之前，請先確認：

- 當前運行的OpenSSL版本 ≥ 1.1.1f（低于此版本無法支持TLSv1.3及ALPN擴展）；
- Nginx編譯參數含--with-http_ssl_module（可通過 nginx -V 查看）；
- 待換證書私鑰未被chmod 600以外權限鎖定，且屬主為nginx worker進程用戶（通常是www-data或nginx）。
若任一項不符，強行 reload 將導致worker啟動失敗甚至master進程退出。

正確拆解你的新證書包
收到CA簽發的新證書后，通常會得到至少兩個文件：

- domain.crt：站點主體證書；
- ca-bundle.pem 或 chain.pem：中間證書鏈；
- （可選）domain.key：對應私鑰（如自行生成則已有）。
??注意：絕不能把root CA也放進chain.pem！應只保留一級+二級中間證書。可用命令快速檢驗：
openssl crl2pkcs7 -nocrl -certfile fullchain.pem | openssl pkcs7 -print_certs -noout
正常輸出應顯示恰好2張證書（不含根）。多于或少于此數都將引發iOS Safari/舊版Win7客戶端報錯。

Nginx更換SSL證書的標準五步法
以下是經生產環境千次驗證的最小可行流程：

備份原conf塊與證書文件（推薦帶日期戳：cp ssl.conf ssl.conf.bak.$(date +%Y%m%d)）；
將新的domain.key放入/etc/nginx/ssl/private/，設置權限 chmod 400；
合成完整證書鏈：cat domain.crt ca-bundle.pem > /etc/nginx/ssl/fullchain.pem；
修改server{}區塊內的ssl_certificate和ssl_certificate_key指向新路徑；
執行 sudo nginx -t && sudo systemctl reload nginx（不用restart！）。
其中第5步最關鍵：“reload”只會平滑重啟worker進程，不影響現有TCP連接；而“restart”會導致毫秒級請求丟棄，電商類網站高峰期慎用。

常見錯誤現象與定位方法
如果瀏覽器提示NET::ERR_CERT_AUTHORITY_INVALID或curl返回Peer's Certificate issuer is not recognized，大概率是以下原因：

- fullchain.pem漏掉中間證書 → 使用 https://decoder.link/certchecker 在線解析查看Issuer Chain層級；
- 私鑰與公鑰不匹配 → 執行 openssl x509 -noout -modulus -in domain.crt | md5 和 openssl rsa -noout -modulus -in domain.key | md5 對比結果；
- SSL協議啟用范圍太窄 → conf中誤刪 ssl_protocols TLSv1.2 TLSv1.3; 導致低版本Android WebView拒絕協商。
建議每次更新后立即跑一遍 curl -I --resolve example.com:443:127.0.0.1 https://example.com ，觀察Header是否有 Strict-Transport-Security 字段回顯。

高級技巧：讓Nginx更換SSL證書更省心
規模化運維場景下，還可借助這些實踐提效：

- 使用acme.sh配合cron定時自動輪轉Let’s Encrypt證書，并綁定post-hook腳本觸發nginx reload；
- 在Ansible Playbook中定義template變量{{ cert_path }}/{{ key_path }}，實現跨集群統一批量下發；
- 啟用ngx_http_stub_status_module暴露$ssl_protocol $ssl_cipher指標，接入Prometheus做變更前后加密套件分布監控。
至此，你就掌握了Nginx更換SSL證書從入門到穩態交付的全鏈條技能樹。