如何在Ubuntu上恢复丢失的Nginx SSL证书

按是否存在备份与证书来源选择对应恢复路径，下面给出在 Ubuntu 上的可操作步骤

一、快速判断与定位

• 查找 Nginx 配置里证书路径
  使用命令：sudo grep -r “ssl_certificate” /etc/nginx/
  常见路径示例：
  • Let’s Encrypt：/etc/letsencrypt/live/your_domain/fullchain.pem 与 /etc/letsencrypt/live/your_domain/privkey.pem
  • 手动放置：/etc/nginx/ssl/ 或 /etc/ssl/
• 校验现有证书文件是否存在与有效
  • 查看证书内容：openssl x509 -in /path/to/cert.pem -text -noout
  • 查看私钥与证书是否匹配：
    • 私钥 modulus：openssl rsa -noout -modulus -in /path/to/privkey.key | openssl md5
    • 证书 modulus：openssl x509 -noout -modulus -in /path/to/fullchain.pem | openssl md5
• 检查 Nginx 配置语法与错误日志
  • 语法测试：sudo nginx -t
  • 错误日志：tail -n50 /var/log/nginx/error.log

二、有备份时的恢复

• 将备份的证书与私钥还原到原路径（或你计划使用的路径），例如：
  • sudo cp your_domain.crt /etc/ssl/certs/your_domain.crt
  • sudo cp your_domain.key /etc/ssl/private/your_domain.key
• 修正权限（私钥仅对 root 可读）：
  • sudo chmod 600 /etc/ssl/private/your_domain.key
• 确认 Nginx 配置中的 ssl_certificate 与 ssl_certificate_key 指向正确文件，然后：
  • sudo nginx -t & & sudo systemctl reload nginx
• 可选：将证书打包备份以便后续迁移
  • sudo tar czvf nginx_ssl_backup.tar.gz /etc/ssl/certs/your_domain.crt /etc/ssl/private/your_domain.key

三、无备份但使用 Let’s Encrypt 的恢复

• 安装或升级 Certbot（Ubuntu 20.04+/22.04+ 常见可用包名为 certbot 与 python3-certbot-nginx）：
  • sudo apt update & & sudo apt install certbot python3-certbot-nginx
• 获取证书（Certbot 会读取 Nginx 配置自动完成申请与部署）：
  • 交互式：sudo certbot --nginx
  • 指定域名：sudo certbot --nginx -d your_domain -d www.your_domain
• 测试自动续期：
  • sudo certbot renew --dry-run
• 验证站点：
  • curl -I https://your_domain 或浏览器访问查看证书信息

四、无备份且为商业 CA 或手动管理证书的恢复

• 若仍保留私钥（server.key）：
  • 向 CA 重新签发或下载已签发的服务器证书（通常包含服务器证书与中间证书链）。
  • 合并为 Nginx 所需链文件（fullchain）：将服务器证书与中间证书按顺序拼接为 fullchain.pem（服务器证书在前，中间证书在后，均包含 -----BEGIN/END CERTIFICATE-----）。
  • 放置文件（示例）：/etc/ssl/certs/your_domain_fullchain.pem 与 /etc/ssl/private/your_domain.key
  • 配置 Nginx：
    • ssl_certificate /etc/ssl/certs/your_domain_fullchain.pem;
    • ssl_certificate_key /etc/ssl/private/your_domain.key;
  • 校验与生效：sudo nginx -t & & sudo systemctl reload nginx
• 若私钥也丢失：
  • 无法“恢复”原证书，只能基于新的私钥重新生成 CSR 并向 CA 申请新证书，完成后按上步部署。
  • 生成 CSR 示例：
    • openssl req -new -nodes -keyout server.key -out server.csr
  • 部署时将 CA 返回的多段证书内容按顺序合并为 fullchain.pem 再配置 Nginx。

五、验证与常见问题处理

• 配置与连通性验证
  • 语法与重载：sudo nginx -t & & sudo systemctl reload nginx
  • 访问与状态码：curl -Iv https://your_domain（应返回 HTTP/2 200 或 301/302 等正常码）
  • 证书详情：openssl s_client -connect your_domain:443 -servername your_domain | openssl x509 -noout -text
• 常见报错速查
  • “no such file or directory”：证书路径错误或文件不存在，核对 ssl_certificate/ssl_certificate_key 与磁盘文件。
  • “permission denied”：私钥权限过宽/过窄，私钥建议 600，属主 root。
  • “SSL_CTX_use_PrivateKey_file … failed”：证书与私钥不匹配，使用 modulus 对比排查。
  • 端口占用：检查 443 是否被其他进程占用（如 sudo ss -lntp | grep :443）。
  • 浏览器缓存：测试时可用隐身模式或更换浏览器，避免旧证书缓存影响判断。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！