Назад | Перейти на главную страницу

Продлить SSL-сертификат с помощью Apache

У меня есть сертификат VeriSign на одном из моих веб-сайтов Linux / Apache, срок действия которого истекает. Я планирую купить продление в VeriSign.

Как лучше всего обновить сертификат с помощью Apache? Мне нужно создать новый запрос и начать все сначала? Есть ли какие-то подводные камни, которых я должен остерегаться?

Вы можете просто подать запрос на текущий сертификат. тем не мение что (теоретически) снижает безопасность.

На практике, если ваш ключ был правильно сгенерирован и никогда не использовался на машине Debian или Ubuntu, на которой возникла проблема с энтропией SSL. и нет проблем с формально доверенными людьми, у которых все еще есть копия ключа. Все в порядке.

Обычно я просто повторно подписываю, хотя, как я сказал выше, если вас это вообще беспокоит, просто создайте новый сертификат. Это тот же процесс.

Если вы решили продлить Сертификат, используя копию, сохраненную на VeriSign:

  1. Перейдите на веб-сайт VeriSign и выберите использование сохраненного CSR. Это будет флажок, если вы решите обновить сертификат на их сайте.
  2. Как только они закончат обработку запроса, новый сертификат будет отправлен вам по электронной почте.
  3. Сохраните сертификат, который был в электронном письме, в новый файл на сервере и настройте директиву ssl.conf или httpd.conf SSLCertificateFile, чтобы она указывала на новый файл.
  4. Возможно требуется (было для меня): Перейти к эта ссылка VeriSign, загрузите новый промежуточный сертификат VeriSign и сохраните его в файл. Затем измените директиву SSLCACertificateFile, чтобы она также указывала на этот новый файл.
  5. Перезагрузите Apache

Если у вас есть существующий запрос на подпись, вы можете отправить его снова без каких-либо проблем. Многие регистраторы в любом случае сохранят копию вашей последней CSR для целей продления. Если это не вариант, новый csr легко создается с помощью:

openssl req -new -key <server>.key -out <server>.csr

Убедитесь, что вы ввели общее имя (CN) в качестве адреса, который будет использоваться в URL-адресе, чтобы клиенты не выдавали предупреждения.

Одна вещь, которую я люблю делать на своих собственных серверах, - это хранить старые сертификаты и организовывать папку / etc / ssl / certs по годам в зависимости от даты выпуска (или, альтернативно, истечения срока действия). Помогает мне отслеживать, сколько раз сертификат продлевался и когда, вероятно, его нужно будет продлить в следующий раз.

Для справки: если вам тоже нужен новый ключ, сделайте следующее. В этом случае вам нужно будет сгенерировать новый csr из этого ключа.

openssl genrsa 1024 -out <server>.key
chown root <server.key>; chmod go-rwx <server.key>

вам не нужно повторно создавать запрос (запрос на подпись сертификата или csr), поскольку срок действия применяется органом подписи. Если вы хотите, вы можете отправить исходный csr для подписи и на этот раз, но имейте в виду, что полученный сертификат разные, так как подписывающая часть была изменена. Преимущество повторного использования csr заключается в том, что вам не нужно возиться с ключевой частью сертификата.