今晚我更新了我们的 TSL 证书。我们在 haproxy 后面部署了一个证书,该证书与中间 CA crt 和私钥捆绑在一起,采用 .pem 文件格式。下载了我们域的更新证书后,我通过更新上一年的 .pem 文件的相应部分创建了一个新的 .pem 文件。它似乎运行良好。
但是,我在一封电子邮件中注意到,我们还获得了新的中级 CA 证书。我是否需要更新 .pem 文件以反映此新证书,还是可以保留原样?正如我所说,它似乎运行良好,但我不想因为旧的中级 CA 证书在几个月后到期或类似情况而遇到问题。
如果这是一个愚蠢的问题,请原谅 - 我真的是一个初级 Web 开发人员,被迫从事这种服务器管理工作......提前致谢。
编辑:可能相关:上次我检查时,我们的 SSL 设置在 Qualys 上获得了 A,但现在只获得了 B,抱怨它无法正确验证链。我今晚将更新到新的 CA。我不能只用一个代表来点赞,但非常感谢那些花时间回复的人。
编辑后:我已更新中级证书,但它不是我的 Qualys 问题的根源。再次感谢。
答案1
一般来说,中间 CA 很少会发生变化,但用新 CA 包替换旧 CA 包是一种很好的做法。下载新包并将其放在旧包的正上方 - 使用相同的名称。您需要重新启动 haproxy 以及使用该证书的任何其他程序。