Сегодня вечером я обновил наш сертификат TSL. Мы выполняем развертывание за haproxy с сертификатом в комплекте с промежуточным CA crt и закрытым ключом в формате файла .pem. Скачав обновленный сертификат для нашего домена, я создал новый файл .pem, просто обновив соответствующую часть файла .pem с прошлого года. Вроде нормально работает.
Тем не менее, я заметил в электронном письме, что нам также был выдан новый промежуточный сертификат CA. Нужно ли мне обновить файл .pem, чтобы отразить этот новый сертификат, или я могу оставить его как есть? Как я уже сказал, похоже, что он работает нормально, но я бы не хотел сталкиваться с проблемами в будущем, потому что старый промежуточный сертификат CA истекает через пару месяцев или что-то подобное.
Приносим извинения, если это глупый вопрос. Я действительно младший веб-разработчик, вынужденный прибегнуть к такому типу администратора сервера ... Заранее большое спасибо.
РЕДАКТИРОВАТЬ: возможно, связано: в прошлый раз, когда я проверил, наша установка ssl получила A на Qualys, но теперь она получает только B, жалуясь, что она не может правильно проверить цепочку. Я обновлюсь до нового центра сертификации сегодня вечером. Я не могу проголосовать только за одно повторение, но большое спасибо тем, кто нашел время, чтобы ответить.
POST EDIT: я обновил промежуточный сертификат, но он не был источником моей проблемы с Qualys. Еще раз спасибо.
В общем, промежуточные центры сертификации меняются редко, но рекомендуется заменить старый пакет CA новым. Загрузите новый пакет и положите его прямо поверх старого, используя то же имя. Вам нужно будет перезапустить haproxy и любые другие вещи, которые используют сертификат.