让我们为新服务器加密 SSL 证书

Question

是的，实际上应该很容易做到。您当然可以为同一个域颁发来自不同证书颁发机构的不同 SSL 证书。您还启动了一台新服务器，这使得事情变得特别容易。

工作流程如下：

将现有的服务器证书和密钥移动到新服务器。
hosts通过将新服务器的 IP 地址与本地笔记本电脑或台式机上的文件中的域关联起来，然后访问该站点来测试新服务器。
当您准备好切换时，请将您的 DNS 记录指向新服务器。随着新 DNS 记录的传播，一些客户端将开始使用您的新服务器。已登录的客户端在第一次连接到新服务器时需要重新进行身份验证，因为新服务器不会包含他们与旧服务器连接时的会话信息。这应该只发生一次。
等待足够的时间让 DNS 更改在整个互联网中传播。两天可能是最短时间；一个月或更长时间应该可以确保所有客户端上的任何缓存 DNS 条目都可能已过期。
同时，在新服务器上从 Let's Encrypt 为您的域名申请新证书。如果成功，请在新服务器上替换现有证书和密钥。
检查旧服务器的日志以验证它不再用于满足客户端请求。
取消旧服务器的配置。

我建议将 Lets' Encrypt 客户端配置为仅请求新证书，然后自行安装。这样，失败的可能性就会降低。或者，在新服务器投入生产使用之前，通过请求指向新服务器的子域或第二个域的证书，在新服务器上测试证书颁发和安装过程。

如果要求客户端重新进行一次身份验证确实不可接受，那么可能有一种方法可以将会话数据从旧服务器复制到新服务器。这需要进一步研究，并且取决于您的 Web 应用程序如何存储会话信息。

Answer 1

是的，实际上应该很容易做到。您当然可以为同一个域颁发来自不同证书颁发机构的不同 SSL 证书。您还启动了一台新服务器，这使得事情变得特别容易。

工作流程如下：

将现有的服务器证书和密钥移动到新服务器。
hosts通过将新服务器的 IP 地址与本地笔记本电脑或台式机上的文件中的域关联起来，然后访问该站点来测试新服务器。
当您准备好切换时，请将您的 DNS 记录指向新服务器。随着新 DNS 记录的传播，一些客户端将开始使用您的新服务器。已登录的客户端在第一次连接到新服务器时需要重新进行身份验证，因为新服务器不会包含他们与旧服务器连接时的会话信息。这应该只发生一次。
等待足够的时间让 DNS 更改在整个互联网中传播。两天可能是最短时间；一个月或更长时间应该可以确保所有客户端上的任何缓存 DNS 条目都可能已过期。
同时，在新服务器上从 Let's Encrypt 为您的域名申请新证书。如果成功，请在新服务器上替换现有证书和密钥。
检查旧服务器的日志以验证它不再用于满足客户端请求。
取消旧服务器的配置。

我建议将 Lets' Encrypt 客户端配置为仅请求新证书，然后自行安装。这样，失败的可能性就会降低。或者，在新服务器投入生产使用之前，通过请求指向新服务器的子域或第二个域的证书，在新服务器上测试证书颁发和安装过程。

如果要求客户端重新进行一次身份验证确实不可接受，那么可能有一种方法可以将会话数据从旧服务器复制到新服务器。这需要进一步研究，并且取决于您的 Web 应用程序如何存储会话信息。

相关内容