Nginx TLS 证书热更新与无损 reload 配置
在生产环境中,更新 TLS 证书是一个常见但敏感的操作。如果直接重启 Nginx 服务,会导致连接中断,影响用户体验。本文介绍如何在 Nginx 中实现 TLS 证书的热更新,在不中断服务的情况下完成证书更新。 什么是证书热更新? 证书热更新(Hot Reload)是指在不停止服务的情况下,重新加载新的证书文件。Nginx 支持通过发送 reload 信号来实现配置和证书的平滑重新加载。 与完全重启(nginx -s stop 然后 nginx)相比,reload 的优势在于: 不会中断正在处理的请求 平滑过渡,新连接使用新证书,旧连接继续使用旧证书 服务可用性不受影响 Nginx reload 机制 Nginx 支持以下几种信号: nginx -s reload - 平滑重新加载配置 kill -HUP <master_pid> - 发送 HUP 信号,作用与 reload 相同 kill -USR1 <master_pid> - 重新打开日志文件 kill -USR2 <master_pid> - 优雅升级(用于升级 Nginx 二进制文件) 当 Nginx 收到 reload 信号时: 主进程(Master Process)解析新的配置文件 如果配置合法,主进程启动新的工作进程(Worker Process) 旧的工作进程优雅退出(处理完现有连接后关闭) 新的工作进程使用新的证书 证书热更新操作步骤 1. 准备新的证书文件 首先,将新的证书和私钥文件复制到指定目录:...