我目前有一个带有自签名 sha-1 证书的 apache http 服务器版本 2.2.0。我需要迁移到更现代的受信任证书。我们已经使用当前证书生成客户端证书。我的问题是,我是否可以并行使用两个服务器证书,直到现有客户端证书过期?如果可以,我该如何配置 apache 来执行此操作?
答案1
您只能使用一个服务器证书使用 Apache 2.2 为您的网站
但是对于客户端身份验证,您可以同时使用多个 CA 证书来验证客户端证书。只需将各种 PEM 编码的 CA 证书文件按优先顺序连接到您的任何文件即可SSLCA证书文件指令指向。
答案2
我将使用 Letsencrypt 更新服务器证书https://letsencrypt.org/可信且免费,并保留自签名证书以验证客户端证书。如果自签名证书即将过期,请创建一个新证书以颁发新的客户端证书,并将新旧证书都添加到 SSLCACertifcateFile 指令指向的文件中