我们有一个 Apache 服务器,证书已过期。我们有一个由 Sectigo 颁发的 SSL 通配符证书。我在我们的经销商网站上生成了新证书,我们将使用 Apache 将其上传到机器中。我们没有使用私钥来生成新证书,因为这不是我的经销商网站上的选项。我们只需要用新证书覆盖旧证书吗?还是我需要更改私钥?
谢谢。
答案1
CA 站点不要求私钥,因为如果他们这样做,密钥就不再是“私有的”。申请证书时,通常需要上传证书请求,这需要私钥。
一些颁发机构提供了“更新”证书的可能性,在这种情况下,您不需要请求,因为他们会重复使用您现有证书中的字段。
如果您通过请求生成了新证书,那么您将需要用于发出该请求的私钥。如果您不需要请求,那么证书可能是根据您现有的证书颁发的,因此您需要重新使用您的私钥。
您可以使用以下命令确保您已经拥有的密钥和证书匹配:
openssl x509 -in /the/certificate.pem -noout -modulus
并且(假设你有一个 RSA 密钥)
openssl rsa -in /the/private/key -noout -modulus
如果两个命令给出相同的输出,则密钥和证书匹配。