TG:@yunlaoda360
更新阿里云 SSL 证书的绑定配置,其实就是在更换或续期证书后,把新的证书文件绑定到您的业务服务(例如负载均衡、CDN、ECS 上的 Web 服务等)上,让新证书生效。流程大致分为 获取新证书 → 更新绑定 → 验证生效 三步。
1. 获取新 SSL 证书
- 如果是 阿里云 SSL 证书服务 购买的证书,到期前续费后,在控制台申请签发新证书即可。
- 如果是外部证书,需要在阿里云 SSL 控制台上传证书文件(CRT/PEM)和私钥(KEY)。
- 签发成功后,您可以在 SSL 证书服务 → 证书管理 里找到新的证书。
2. 更新绑定配置
阿里云 SSL 证书的绑定主要有三种常见场景,不同业务更新方式略有不同。
(1)负载均衡(SLB)绑定更新
- 登录 阿里云控制台 → 负载均衡。
- 选择目标负载均衡实例 → 监听 → 找到 HTTPS 监听。
- 点击 修改监听 或 更换证书。
- 在证书下拉框中选择新的证书(或手动上传新的证书和私钥)。
- 保存并重启监听,让新证书立即生效。
(2)CDN / 全站加速绑定更新
- 登录 阿里云 CDN 控制台。
- 选择对应的加速域名 → 域名管理 → HTTPS 配置。
- 在“证书管理”中,选择新的证书(或手动上传新的证书和私钥)。
- 保存配置,等待 CDN 节点同步更新(一般几分钟内生效)。
(3)ECS / 自建 Web 服务(Nginx、Apache)更新
-
下载新证书和私钥文件到 ECS。
-
替换原证书文件(注意保留原文件备份)。
-
修改 Web 服务配置:
-
Nginx 示例:
nginx 复制编辑 ssl_certificate /etc/nginx/ssl/fullchain.pem; # 新证书链文件 ssl_certificate_key /etc/nginx/ssl/your_domain.key; # 新私钥文件 -
Apache 示例:
apache 复制编辑 SSLCertificateFile /etc/httpd/ssl/your_domain.crt SSLCertificateKeyFile /etc/httpd/ssl/your_domain.key SSLCertificateChainFile /etc/httpd/ssl/ca_bundle.crt
-
-
重启 Web 服务:
bash 复制编辑 sudo systemctl restart nginx # 或 sudo systemctl restart httpd
3. 验证新证书是否生效
-
在浏览器访问 HTTPS 站点,点击锁标查看证书颁发时间、有效期。
-
使用命令行验证:
bash 复制编辑 echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates -
也可用 SSL Labs 在线工具检测证书有效性。
💡 小贴士:
- 更新绑定时建议在业务低峰期操作,避免短暂中断。
- 如果是 HTTPS 强制跳转 场景,更新证书前不要关闭监听或删除 HTTPS 配置,否则会影响访问。
- 阿里云负载均衡和 CDN 支持 证书一键更换,不需要重新建监听,节省时间。
