Назад | Перейти на главную страницу

Как обеспечить плавный переход на SSL-сертификат Let's Encrypt?

У меня LAMP работает на Ubuntu 14.04, и почти год назад я установил сертификат SSL (TLS 1.2) для своего веб-сервера, поэтому мой сайт будет работать только по протоколу HTTPS. 8 октября истекает срок действия сертификата. И с этого момента я хочу установить и использовать Let's Encrypt. У них есть неплохие руководства по использованию Let's Encrypt, так что (надеюсь) у меня не будет проблем с этим. Но я не знаю, что мне теперь делать. Должен ли я подождать, пока истечет срок действия моего старого сертификата? Или мне следует как можно скорее приступить к установке Let's Encrypt? Если второе, то возникает другой вопрос. Как избавиться от старого сертификата? Я имею в виду, что, вероятно, НЕ стоит использовать два из них рядом. Короче говоря, я слишком многого не понимаю.

Должен ли я подождать, пока истечет срок действия моего старого сертификата?

Нет, совсем нет.

Или мне следует как можно скорее приступить к установке Let's Encrypt?

Конечно, дерзай.

Если второе, то возникает другой вопрос. Как избавиться от старого сертификата? Я имею в виду, что, вероятно, НЕ стоит использовать два из них рядом.

Умм, удали его. Как вы предлагаете использовать их бок о бок? TLS работает не так. Здесь нет никакой магии. Поместите новый сертификат на место, настройте свой веб-сервер соответствующим образом и перезапустите его, чтобы начать использовать новый сертификат.

Конечно, само собой разумеется, что вы должны протестировать это на тестовой машине, прежде чем делать это в производстве. К счастью, вы можете развернуть VPS где-нибудь на час, чтобы проверить его на копейки.

Короче говоря, я слишком многого не понимаю.

Звучит как сейчас было бы прекрасной возможностью окунуться и по-настоящему изучить технологии, которые вы используете. Копирование / вставка сисадмина опасно.

Вы можете получить новый сертификат в любой момент. Вы действительно должны сделать это до истечения срока действия сертификата, потому что это может быть неудобно. Вот шаги, которые я бы предпринял

  1. Настройте Let's Encrypt или другой клиент.
  2. Запросите сертификат.
  3. (Необязательно) Установите сертификат на другую виртуальную машину / экземпляр, чтобы проверить его.
  4. Установите сертификат на рабочий сервер в период низкой нагрузки.

Старый сертификат - это просто файл, больше не указывайте на него.

У меня есть учебник для Давайте зашифруем с помощью Wordpress и Nginx, что может быть интересно. Он показывает, как использовать другой клиент. Я обнаружил, что официальный клиент Let's Encrypt не работает в Amazon Linux.