文档中心
LinuxSSL璇佷功杩囨湡鎬庝箞鍔烇紵5鍒嗛挓鏁欎綘蹇€熸娴嬩笌淇锛堥檮瀹炰緥锛?txt
时间 : 2025-09-27 16:23:32浏览量 : 1
一、SSL证书为什么重要?过期会怎样?
SSL证书就像网站的“身份证”,它让浏览器和服务器之间的通信加密(比如你登录网银时看到的“小锁”图标)。如果证书过期:
1. 浏览器弹警告:用户访问时会看到“不安全连接”(如下图),直接劝退客户。
 (注:此处为示意,实际需替换真实截图)
2. 服务中断:比如Linux服务器上的MySQL数据库若配置了SSL,证书过期会导致应用连不上数据库。
真实案例:2025年,Fastly全球CDN服务因SSL证书未续期,导致亚马逊、Reddit等网站瘫痪1小时,损失超千万美元。
二、Linux下如何检查SSL证书是否过期?
方法1:用openssl命令(最常用)
```bash
openssl x509 -noout -dates -in /path/to/cert.pem
```
输出示例:
```
notBefore=Jan 1 00:00:00 2025 GMT
生效时间
notAfter=Dec 31 23:59:59 2025 GMT
过期时间
如果当前时间超过`notAfter`,证书就失效了!
方法2:一键检测所有域名(适合运维批量管理)
用`curl`+`awk`快速检查多个域名:
echo "www.example.com" | while read domain; do
echo -n "$domain: "
curl -Iv "https://$domain" 2>&1 | awk '/expire date/{print $4,$5,$6,$7}'
done
三、证书过期了如何紧急修复?分场景处理!
场景1:Nginx/Apache网站证书更新
1. 上传新证书文件(通常为`.crt`和`.key`)到服务器,例如:
```bash
scp new_cert.crt user@server:/etc/nginx/ssl/
```
2. 修改Nginx配置并重载服务:
```nginx
server {
listen 443 ssl;
ssl_certificate /etc/nginx/ssl/new_cert.crt;
ssl_certificate_key /etc/nginx/ssl/new_key.key;
}
执行 `nginx -s reload` 生效!
场景2:自动化工具Certbot续期(Let's Encrypt免费证书)
运行一条命令自动续期(90天有效期):
certbot renew --dry-run
先模拟测试
certbot renew --force-renewal
强制立即更新
四、防患于未然——3个预防技巧
? 技巧1:监控到期时间(Zabbix/Prometheus示例)
用脚本定期检查,到期前30天发告警:
!/bin/bash
expiry_date=$(openssl x509 -enddate -noout -in cert.pem | cut -d= -f2)
remaining_days=$(( ($(date -d "$expiry_date" +%s) - $(date +%s)) / 86400 ))
[ $remaining_days -lt 30 ] && echo "警报!证书还剩${remaining_days}天过期"
? 技巧2:使用ACME.sh自动化管理
支持多厂商自动签发和部署:
acme.sh --issue -d example.com --nginx
acme.sh --install-cert -d example.com \
--key-file /etc/nginx/ssl/key.pem \
--fullchain-file /etc/nginx/ssl/cert.pem \
--reloadcmd "systemctl reload nginx"
? 技巧3:内网自建CA(适用于企业开发环境)
用OpenSSL自签长期证书:
openssl req -x509 -newkey rsa:4096 -days 3650 \
-nodes -keyout ca.key -out ca.crt \
-subj "/CN=MyInternalCA"
五、 Checklist
- ?? 定期检查工具链:openssl + cron定时任务 + 监控告警。
- ?? 自动化优先:Let’s Encrypt/Certbot省心90%的场景。
- ??? 备份旧证书再操作!避免手滑导致服务崩溃。
> ?? *扩展问题*:如果遇到“Certificate has expired”但时间显示未过期?可能是服务器时区错误或中间证书缺失!(可用 `openssl verify chain.pem`排查)
TAG:linux ssl证书过期,ssl证书到期时间查询,linux服务器ssl证书安装,ssl证书到期,centos ssl证书
