手动更换SSL证书是一个涉及多个步骤的过程，需要谨慎操作以确保网站的安全性和连续性。以下是根据搜索结果整理的更换SSL证书的基本步骤和注意事项 ：

前置条件

• 已获得新的SSL证书文件（通常是 .crt 和 .key 文件）
• 访问服务器的权限（例如通过SSH）
• 已安装并配置的Nginx或Apache等Web服务器

步骤1：备份现有SSL证书和配置

在操作任何证书替换之前，务必备份当前的SSL证书和Nginx配置文件。

1. 备份证书文件

   cp /etc/nginx/ssl/your_old_cert.crt /etc/nginx/ssl/backup_your_old_cert.crt
   cp /etc/nginx/ssl/your_old_cert.key /etc/nginx/ssl/backup_your_old_cert.key

2. 备份Nginx配置

   cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.bak

步骤2：上传新的SSL证书

将新的SSL证书和私钥文件上传到服务器上的适当位置，通常是 /etc/nginx/ssl/ 目录。

scp new_cert.crt root@your_server_ip:/etc/nginx/ssl/
scp new_cert.key root@your_server_ip:/etc/nginx/ssl/

步骤3：修改Nginx配置文件

打开Nginx配置文件，找到涉及SSL证书的部分并进行修改。

1. 打开Nginx配置文件：

   nano /etc/nginx/nginx.conf

   或者，具体某个站点的配置文件（通常在 /etc/nginx/sites-available/ 下）

2. 找到 server 块中的SSL配置段，类似以下内容：

   server {
       listen 443 ssl;
       server_name yourdomain.com;
       ssl_certificate /etc/nginx/ssl/your_old_cert.crt;
       ssl_certificate_key /etc/nginx/ssl/your_old_cert.key;
   }

3. 将 ssl_certificate 和 ssl_certificate_key 修改为新的证书和密钥路径：

   ssl_certificate /etc/nginx/ssl/new_cert.crt;
   ssl_certificate_key /etc/nginx/ssl/new_cert.key;

步骤4：测试Nginx配置文件

每次修改Nginx配置文件后，务必先测试配置是否正确，以避免服务停止。

1. 测试Nginx配置是否正确：

   nginx -t

2. 如果测试结果显示 syntax is ok 和 test is successful，则说明配置无误。如果有错误，检查配置文件中的路径和语法是否正确。

步骤5：重新加载Nginx

当确认配置无误后，重新加载Nginx以应用新的SSL证书。

nginx -s reload

注意：不是重启Nginx，而是重新加载Nginx配置。这样做可以平滑地应用配置更改，不会导致短暂的停机。

步骤6：验证SSL证书更换成功

1. 检查SSL证书是否生效
   使用浏览器访问你的网站，确保可以通过 https:// 正常访问，并且没有出现SSL证书错误的提示。
2. 在线SSL验证工具
   使用第三方工具（如 SSL Labs）检查SSL证书是否正确配置，并查看证书的有效期、签发者等信息。

常见问题与注意事项

1. 证书格式问题：确保上传的证书文件格式正确（通常为 .crt 和 .key）。如果使用 .pem 或 .pfx 格式，可能需要进行转换。

2. 私钥权限问题：SSL证书的私钥文件权限必须严格控制，确保只有根用户或nginx进程有读取权限。可通过以下命令修改权限：

   chmod 600 /etc/nginx/ssl/new_cert.key

3. Nginx重启提示失败：如果在重启Nginx时遇到错误，可能是由于配置文件不正确。请通过 nginx -t 进行诊断并修正。
4. HSTS配置：如果之前启用了HSTS（HTTP Strict Transport Security），请确保新证书配置正确，否则可能会影响浏览器的访问。

总结来说，手动更换SSL证书并不复杂，但需要谨慎操作。本文介绍了从备份旧证书、上传新证书、修改Nginx配置文件、重新加载Nginx到验证证书是否生效的全流程。