我们正在帮助一位新客户将他们的网站从之前不可靠的主机迁移到新主机(基于云)。他们经营一个使用 SSL 证书(GeoTrust SSL)的电子商务网站。我们计划为他们迁移网站,然后将 DNS 更新到新服务器。
这里的问题是,当前主机不合作(与我们或客户合作)。我们的客户拥有域名,但未注册 SSL 证书。我们无法访问他们当前的服务器。
我们能否获得另一份证书(但保留旧证书)?这是否因提供商而异?
答案1
据推测,您无权访问私钥的当前证书至少是使用域验证颁发的(即,要求确认的电子邮件应该已通过电子邮件发送到注册域名的地址,通过以下方式获得whois)。
当您说“我们的客户拥有该域名”时,关键是要确保您的客户收到所有必要联系人的电子邮件(特别是,这些电子邮件不会发送到您想要留下的托管服务)。
我建议采取以下行动(按此顺序):
- 联系颁发当前证书的 CA。查看他们的条款和条件,他们可能能够撤销当前证书并在同一个包中重新颁发新证书,有时无需支付额外费用。
- 如果失败,请从另一个 CA(或者可能是同一个)获取新证书。
在这两种情况下:
- 您必须生成新的证书请求 (CSR),这样您才能访问私钥。(理想情况下,如果您的客户有技术人员,他们应该自己做这件事。)
- 您确实应该联系当前的 CA 并解释情况。作为域名的合法所有者(证书可能已通过该域名验证),您的客户应该能够撤销当前证书。您应该有效地将当前证书视为已泄露,以防止任何拥有当前私钥的人并行运行该网站(尽管据推测,您至少已经将 DNS 更改为新主机)。
关于您在评论中关心的问题:
他们之间会相互沟通吗?还是只要能在一定时间内安装,他们就乐意颁发证书?我担心的是,我们会去获取另一个 SSL 证书,但它会被撤销,因为在我们在新服务器上安装它后,dns 一周到十天内不会切换。
CA 将为您控制的主机名颁发证书。通常,他们的职责是检查您是否至少控制了主机名(通过whois注册),但这与将此主机名解析为 IP 地址的特定 DNS 条目无关。您可以更改 IP 地址和/或不让服务器在线:这不是 CA 的职责。
鉴于我们的客户确实拥有域名,他们是否可以去其他 SSL 提供商获取另一个证书?(在这种情况下,什么能阻止我为某个随机网站购买 SSL 证书)我担心撤销并颁发新证书,除非这可以在几小时内完成。我们可以承受一夜之间几个小时的停机时间,但不能超过这个时间。
您绝对可以同时拥有来自两个不同 CA 的同一主机名的两个不同证书。通常,只有在您切换提供商时才有意义,因为您一次只能在给定服务器上安装一个。根本不需要任何停机时间。(最长的停机时间可能是在您切换到新提供商时 DNS 更新的全局传播。)
在这种情况下,什么会阻止我为某个随机网站购买 SSL 证书?
这完全取决于谁控制域名(对于 EV 证书,还需要更多的文书工作):检查您的客户的whois条目。
答案2
如果您控制域 DNS,您应该能够生成新的 SSL 密钥并获得可响应相关主机名的新证书。只要新的 SSL 证书有效(即由 Entrust 等 CA 颁发),最终用户就不会注意到该更改
答案3
取决于 SSL 提供商。
您绝对应该能够从托管服务提供商处获得证书(请律师!),但如果失败,一些证书颁发机构将撤销旧证书并颁发新证书(具有相同的到期日期),且不收取额外费用。
当然,如果主机购买了 SSL 证书,而不是客户端,那么他们可能没有更好的条件去请求新的证书而不是获取当前证书。
答案4
从服务器导出 SSL 证书以及私钥和任何中间证书。如果您要将证书放在不同类型的服务器上,请将其转换为其他格式。在新服务器上导入 SSL 证书和私钥,并配置您的站点以使用它们。