我的域名 example.com 目前指向具有 alphassl 证书的服务器。我想将此域名指向我的新服务器(通过更改名称服务器),并且不出现任何 https 超时。因此,我想先在新服务器上为 example.com 安装 let's encrypt ssl 证书。这可能吗?如何安装?
答案1
是的,实际上应该很容易做到。您当然可以为同一个域颁发来自不同证书颁发机构的不同 SSL 证书。您还启动了一台新服务器,这使得事情变得特别容易。
工作流程如下:
- 将现有的服务器证书和密钥移动到新服务器。
hosts
通过将新服务器的 IP 地址与本地笔记本电脑或台式机上的文件中的域关联起来,然后访问该站点来测试新服务器。- 当您准备好切换时,请将您的 DNS 记录指向新服务器。随着新 DNS 记录的传播,一些客户端将开始使用您的新服务器。已登录的客户端在第一次连接到新服务器时需要重新进行身份验证,因为新服务器不会包含他们与旧服务器连接时的会话信息。这应该只发生一次。
- 等待足够的时间让 DNS 更改在整个互联网中传播。两天可能是最短时间;一个月或更长时间应该可以确保所有客户端上的任何缓存 DNS 条目都可能已过期。
- 同时,在新服务器上从 Let's Encrypt 为您的域名申请新证书。如果成功,请在新服务器上替换现有证书和密钥。
- 检查旧服务器的日志以验证它不再用于满足客户端请求。
- 取消旧服务器的配置。
我建议将 Lets' Encrypt 客户端配置为仅请求新证书,然后自行安装。这样,失败的可能性就会降低。或者,在新服务器投入生产使用之前,通过请求指向新服务器的子域或第二个域的证书,在新服务器上测试证书颁发和安装过程。
如果要求客户端重新进行一次身份验证确实不可接受,那么可能有一种方法可以将会话数据从旧服务器复制到新服务器。这需要进一步研究,并且取决于您的 Web 应用程序如何存储会话信息。