手动更新SSL证书流程记录

一晃建站也三个月了，证书快到期了，没有配置自动更新，都快忘了什么流程了，记录一下手动更新操作。感觉手动也挺好的，快到期了有邮件提醒，不会忘记自己还有个网站。

证书申请网站来此加密 - Let's Encrypt 在线免费申请SSL证书

• 进入证书详情——管理——申请证书（快到期了才会显示这个按钮）

  ！！！一定要在到期之前重新申请！！！

• 点击申请之后会提示两个验证，分别对用带通配符的域名和顶级域名，注意区分

要去DNS解析服务商那里修改TXT解析结果(值)，每次重申证书都会变，而且带通配符的域名和顶级域名的两个值不一样，要分别改。

然后分别点击验证本条后，等几分钟，刷新看看提示验证成功即可。

下载通用格式证书，是一个压缩包，里面包含

fullchain.crt: 证书和证书链
certificate.crt: 证书
chain.crt: 证书链
private.pem: 密钥(请妥善保存)
public.pem: 公钥

只要把fullchain.crt和private.pem分别上传到Nginx Proxy Manager的手动证书配置处即可，中间证书空着即可。

最后在Nginx Proxy Manager代理服务管理面板把相应的服务的证书改到新上传的证书就可以了。

引用【来此加密】的部署通用说明

综述

所有的证书文件都打包在ZIP压缩包文件里, 解压出来。里面的所有文件本质上都是文本, 可以通过文本编辑器(记事本, vscode, notepad, EditPlus, emeditor等等)直接读取打开。

主要文件

绝大部分的环境配置, 只需要用到以下两个文件即可。

**private.pem：**证书私钥, 可更改后缀为key。如果使用的是自己上传的CSR文件, 将不包含该文件。

**fullchain.crt：**完整的证书链, 可更改后缀为pem。文件里一般有两段证书(也会有三张), 一张是你的域名证书, 另一张是所依赖的证书链(可能会有两张证书链)。。

其他文件

certificate.pfx：PFX类型证书, 一般IIS和Tomcat使用, 秘钥在detail.txt中。

certificate.crt：域名证书, 里面内容同时存在于fullchain.crt文件中。

chain.crt：依赖的证书链, 里面内容同时存在于fullchain.crt文件中。

备注

1、文件后缀pem可改为key, crt可改为pem。都是文本内容, 改啥后缀都差不多。

2、你可以通过private.pem和fullchain.crt生成其他你想要的格式。网上有很多在线工具提供转化服务, 还是建议自己本地转化(OpenSSL)。