在接下来的几个月里,我们计划/需要刷新我们的 https 证书并更新我们的服务器操作系统版本。
我们正在考虑转换到 Let's Encrypt。
如果客户端无法访问我们的 https-API,那将是不可接受的。客户端还包括例如在 Java7 上运行的其他 Web 服务器。
我不知道将服务器操作系统升级到更新的版本是否会有什么不同(密码套件等?)。计划中的代理可能是 nginx,但这尚未修复。
是否有可能/需要注意什么/最佳实践/建议/替代方案?
编辑:为了更清楚:我可以设置测试服务器,例如尝试在我的 Web 浏览器中访问它,但我无法访问访问该网站的所有客户端,因为这些客户端是由其他公司运行/开发的。我担心 Firefox/Java7 Web 服务器/Internet Explorer 等客户端在访问该网站时是否会遇到问题。客户端是由使用它们的公司编写的。
编辑2:从我们网站的性质来看,我们可以假设所有客户端软件每周至少访问该网站一次(通常每天),并且如果有必要,我们可以在服务器上安装像 wireshark 这样的监控软件。
答案1
如果您的客户端没有更新浏览器(或者根本没有浏览器),则无法确定 Letsencrypt 的根证书是否已在客户端配置,因为它是相当新的。在这个问题上,您能做的不多;客户端必须完成他们的工作并确保已配置 Letsencrypt 使用的根证书。
我尝试了 Letsencrypt,它运行良好。顺便说一句,这里有一个小窍门。不要让 Letsencrypt 重新配置您的网络服务器,只需让它生成证书即可。
我使用以下命令来执行此操作:
${LETSENCRYPT_DIR}/letsencrypt-auto" \
certonly --standalone --agree-tos --redirect \
--duplicate --text --email <email here> -d <domain here> \
--config-dir "${CERTIFICATES_DIR}"
更新后的答案交流