Назад | Перейти на главную страницу

Зашифруем SSL-сертификат для нового сервера

мой домен example.com в настоящее время указывает на сервер с сертификатом alphassl. Я хочу указать этот домен на мой новый сервер (изменив серверы имен) без тайм-аута https. Итак, я хочу установить SSL-сертификат Let's encrypt для example.com на новом сервере раньше. Это возможно? Как?

Да, действительно должно быть довольно легко сделать то, о чем вы просите. У вас, безусловно, могут быть разные проблемы с сертификатами SSL для одного и того же домена от разных центров сертификации. Тот факт, что вы также запускаете новый сервер, делает это особенно легко.

Вот рабочий процесс:

  1. Перенесите существующие сертификаты сервера и ключи на новый сервер.
  2. Протестируйте новый сервер, связав его IP-адрес с вашим доменом в hosts файл на локальном ноутбуке или настольном компьютере и зайдя на сайт.
  3. Когда вы будете готовы к переключению, укажите в своих записях DNS новый сервер. По мере распространения новых записей DNS некоторые клиенты начнут использовать ваш новый сервер. Вошедшим в систему клиентам потребуется повторно пройти аутентификацию при первом подключении к новому серверу, поскольку он не будет получать информацию о сеансе из их подключений к старому серверу. Это должно произойти только один раз.
  4. Подождите, пока изменения DNS не распространятся по всему Интернету. 2 дня наверное минимум; месяц или более должен гарантировать, что срок действия любых кэшированных записей DNS, вероятно, истек на всех клиентах.
  5. Тем временем запросите новые сертификаты для вашего домена у Let's Encrypt на новом сервере. Если это сработает, замените существующие сертификаты и ключи на новом сервере.
  6. Проверьте журналы старого сервера, чтобы убедиться, что он больше не используется для обслуживания клиентских запросов.
  7. Деинициализируйте старый сервер.

Я бы рекомендовал настроить клиент Lets 'Encrypt так, чтобы он запрашивал только новые сертификаты, а затем устанавливал их самостоятельно. Таким образом, вероятность неудачи будет меньше. В качестве альтернативы протестируйте процесс выпуска сертификата и установки на новом сервере, прежде чем он будет использоваться в производственной среде, запросив сертификаты для поддомена или второго домена, который можно указать на новый сервер.

Если требовать от клиентов повторной аутентификации один раз действительно неприемлемо, может быть способ копирования данных сеанса со старого сервера на новый. Это потребует некоторых дополнительных исследований и зависит от того, как ваше веб-приложение хранит информацию о сеансе.