セキュリティ証明書を更新する場合、Nginxを再起動する必要がありますか？

だから私は、次のようなサーバー定義でSSLを有効にしてnginxサーバーを設定しています：

server {
    listen :80;
    listen [::]:80;
    server_name example.org;
    root /foo/bar;

    ssl on;
    ssl_certificate /path/to/public/certificate;
    ssl_certificate_key /path/to/private/key;

    ...
}

あなたはアイデアを得る（タイプミスは許してください）。

とにかく、私が思っているのは 証明書を更新する場合、nginxを再起動せずに証明書をインストールする方法はありますか？

たとえば、/path/to/public/certificateおよびからのシンボリックリンクを使用/path/to/private/keyして現在の証明書を指しているnginx場合、これらを変更して新しい（更新された）証明書を指すようにする場合は、再起動する必要がありますか？代替手段はありますか？

はい、更新された証明書が正しい有効期限を表示するためにNginxをリロードする必要があると確信していますが、簡単なキャッシュクリアと参照でこれを表示できるはずです。

または、cliを好む場合は、常に古い信頼できるOpenSSLコマンドを使用できます。

echo | openssl s_client -connect your.domain.com:443 | openssl x509 -noout -dates

これにより、証明書の現在の日付がわかります。あなたの場合、ポートは443ではなく80です。

多くの場合nginx -s reload、期待どおりに機能しません。多くのシステム（Debianなど）では、を使用する必要があります/etc/init.d/nginx reload。

他のすべてが失敗した場合は、いつでも構成ファイルを直接指定できますnginx -c /path/to/nginx.conf。

SIGHUPnginxを受信すると、更新された構成を再読み込みし、ログファイルを開いてSSL証明書を読み取りながら検証し、以前の構成に依存するワーカープロセスを正常にシャットダウンします。

nginxが一部のSSL証明書を読み取れない場合は、古い構成を使用して実行し続けます。それ以外の場合、設定ファイルに対して何を実行しても、機能し続けてリクエストを処理します。たとえそれらが壊れていても、あなたのウェブサイトは開いたままです。

そのため、nginxに更新された証明書を表示させたい場合、nginxを再起動する必要はなく、サーバーを数秒以上オフラインにするリスクはありません。それには十分なはずです：

sudo service nginx reload

systemdがデフォルトで使用されている現在のほとんどのディストリビューションでは、次のコマンドでnginxをリロードすることもできます。

sudo systemctl reload nginx