Мы помогаем новому клиенту перенести свой сайт с предыдущего ненадежного хоста на новый (облачный). У них есть ecom-сайт с сертификатом SSL (GeoTrust SSL). Мы планируем перенести их сайт для них, а затем просто обновить D.N.S на новом сервере.
Проблема здесь в том, что текущий хост не играет в мяч (с нами или клиентами). Наш клиент владеет доменным именем, но не зарегистрировал сертификат ssl. У нас нет доступа к их текущему серверу.
Сможем ли мы получить еще один сертификат (но не отключать старый)? Это зависит от провайдера?
Предположительно, текущий сертификат, для которого у вас нет доступа к закрытому ключу, был выпущен, по крайней мере, с использованием проверки домена (т.е. электронное письмо с запросом подтверждения должно было быть отправлено по электронной почте на адрес, с которым находится домен. зарегистрировано, получено через whois).
Когда вы говорите «Нашему клиенту принадлежит доменное имя», важно убедиться, что ваш клиент получает электронные письма для всех необходимых контактов (в частности, что эти электронные письма не будут отправлены на службу хостинга, которую вы хотите покинуть).
Я бы предложил следующий порядок действий (в таком порядке):
В обоих случаях:
Относительно ваших проблем в комментариях:
Обмениваются ли они между собой, или они с удовольствием выпускают сертификаты, если их можно установить в течение определенного периода времени? Меня беспокоит, что мы пойдем и получим еще один сертификат SSL, и он будет отозван, потому что DNS не будет переключаться в течение недели или 10 дней после того, как мы установим его на новый сервер.
ЦС выдаст сертификат для контролируемого вами имени хоста. Обычно их дело - проверять, что вы контролируете имя хоста хотя бы (через whois register), но это не имеет ничего общего с конкретной записью DNS, которая преобразовывает это имя хоста в IP-адрес. Вы можете изменить IP-адрес и / или отключить сервер: это не забота центра сертификации.
Учитывая, что нашему клиенту принадлежит доменное имя, могут ли они просто перейти к другому провайдеру SSL и получить другой сертификат? (что могло бы помешать мне просто купить сертификат ssl для какого-то случайного веб-сайта в этом случае) Я беспокоюсь об отзыве и выдаче нового сертификата, если это не что-то, что можно сделать в течение нескольких часов. Мы можем позволить себе пару часов простоя за ночь, но не более того.
Вы определенно можете иметь два разных сертификата для одного и того же имени хоста от двух разных центров сертификации одновременно. Обычно это имеет смысл только тогда, когда вам нужно сменить провайдера, поскольку вы можете устанавливать только по одному за раз на данный сервер. Вообще не должно быть простоев. (Наиболее длительное время простоя может быть вызвано глобальным распространением обновлений DNS при переключении на нового провайдера.)
что могло бы помешать мне просто купить сертификат ssl для какого-то случайного веб-сайта в этом случае?
Все дело в том, кто контролирует домен (а для сертификатов EV тоже есть немного больше документов): проверьте свой клиент whois вход.
Вы должны иметь возможность сгенерировать новый ключ ssl и получить новый сертификат, который отвечает на рассматриваемое имя хоста, если вы управляете доменом dns. Конечные пользователи не заметят этого изменения, пока действует новый сертификат ssl - IE, выпущенный центром сертификации, например Entrust.
Если я правильно понял ваш вопрос, ваша ситуация такова, что старый хостинг-провайдер не предоставит вам сертификат SSL и закрытый ключ, которые вы используете в настоящее время? Кажется ОЧЕНЬ теневой для меня.
Поработав у провайдера / провайдера, который занимался хостингом и регистрировал SSL-сертификат, я не вижу законной причины, по которой они не предоставят вам пару ключей для вашего сертификата (при условии, что ваша учетная запись не просрочена).
В этом случае я бы сделал два шага:
Свяжитесь с центром сертификации, выдавшим исходный сертификат (информация будет доступна, если вы посмотрите сведения о сертификате в своем веб-браузере), и сообщите им, что происходит.
Запросите выдачу нового сертификата, но чтобы старый оставался работоспособным, пока вы не сообщите им иное.
Если они не могут сделать это для вас, обратитесь в другой центр сертификации и получите новый сертификат.
Когда вы переносите сайт на новый хост (с использованием нового сертификата), свяжитесь с центром сертификации, выдавшим исходный сертификат, и попросите их признать этот сертификат скомпрометированным и отозвать его.
Это предотвратит использование вашим предыдущим хостом этого сертификата для любых злонамеренных действий.
Зависит от поставщика SSL.
Вы определенно должны иметь возможность получить сертификат от хостинг-провайдера (вырвитесь из юристов!), Но если это не удастся, некоторые компании центра сертификации отзовут старый и выдадут новый сертификат (с той же датой истечения срока действия) без дополнительной платы. .
Конечно, если хост купил сертификат SSL, а не клиент, то они могут оказаться не в лучшем положении для запроса нового сертификата, чем для получения текущего.
Экспортируйте сертификат SSL с сервера с закрытым ключом и любыми промежуточными сертификатами. Преобразуйте сертификат в другой формат, если вы размещаете его на сервере другого типа. Импортируйте сертификаты SSL и закрытый ключ на новый сервер и настройте свои сайты для их использования.