我们正在帮助新客户将他们的网站从以前不可靠的主机迁移到新的主机(基于云)。 他们使用SSL证书(GeoTrust SSL)运行ecom网站。 我们计划移动他们的网站,然后只更新DNS到新的服务器。
这里的问题是,现在的主机没有打球(与我们或客户)。 我们的客户拥有域名,但没有注册SSL证书。 我们无法访问他们当前的服务器。
我们能否获得另一份证书(但保持旧版本的运行)? 这是否因供应商而异?
据推测,目前无法访问私钥的证书至less是使用域validation发出的(即,一封要求确认的电子邮件应该已经通过电子邮件发送到该域所在的地址注册,通过whois获得)。
当你说“我们的客户拥有域名”时,关键是要确保你的客户收到所有必要联系人的电子邮件(特别是那些电子邮件不会去你想要的托pipe服务离开)。
我会build议采取以下行动(按此顺序):
在这两种情况下:
关于你在评论中的担忧:
他们之间是相互沟通的,还是很乐意发放证书,只要在一定的时间内安装就可以了? 我的担心是,我们将去获得另一个SSL证书,它将被撤销,因为在我们将它安装到新的服务器后,dns将不会被切换一周到10天。
CA将为您控制的主机名称颁发证书。 通常他们的业务是至less检查您是否控制主机名(通过whois注册),但这与将此主机名parsing为IP地址的特定DNS条目无关。 您可以更改IP地址和/或不要在线连接服务器:这不是CA的问题。
鉴于我们的客户拥有域名,他们可以只是去一个不同的SSL提供商,并获得另一个证书? (什么会阻止我只是购买一个随机网站的ssl证书在这种情况下)我担心撤销和颁发新的证书,除非可以在几个小时内完成的东西。 我们可以在一夜之间承受几个小时的停机时间,但不能超过这个时间。
您可以同时为来自两个不同CA的相同主机名拥有两个不同的证书。 通常只有当你切换提供者时才有意义,因为你只能在给定的服务器上一次安装一个。 根本不需要任何停机。 (当您切换到新的提供商时,最长的停机时间可能来自DNS更新的全球传播。
什么会阻止我只是购买一个随机网站的ssl证书在这种情况下?
这完全取决于谁控制域名(对于EV证书,还有更多的文书工作):检查你的客户的whois条目。
如果您控制域dns,您应该能够生成一个新的ssl密钥并获得一个新的证书,该证书可以回答相关主机名。 只要新的ssl证书是有效的,最终用户不会注意到这种变化 – 像Entrust这样的由CA颁发的IE
取决于SSL提供商。
你绝对应该可以从主机提供商那里获得证书(打破律师!),但是如果失败了,一些证书颁发机构公司会撤销旧的证书并且发放一个新的证书(有相同的截止date) 。
当然,如果主机购买了SSL证书,而不是客户,那么他们可能没有更好的位置来申请新的证书,而不是获得现在的证书。
如果我正确理解你的问题,你的情况是,旧的托pipe服务提供商不会给你你正在使用的SSL证书和私钥? 这对我来说似乎是非常阴暗的。
在曾经托pipe和SSL证书注册的ISP / MSP工作过,我没有看到他们为什么不给你的证书(如果你的帐户没有拖欠)的密钥对的正当理由。
在这种情况下,我会采取两个步骤:
联系颁发原始证书的CA(如果您在Web浏览器中查看证书详细信息,信息将可用),并让他们知道发生了什么事情。
要求颁发新的证书,但是旧的证书将保持正常运作,直到您另行通知为止。
如果他们不能这样做,请联系不同的CA并获得新的证书。
将站点迁移到新主机(使用新证书)时,请联系颁发原始证书的CA,并要求他们认为该证书已被破坏并撤销。
这将阻止您以前的主机使用该证书进行恶意活动。
使用私钥和任何中间证书从服务器导出SSL证书。 如果将证书放在不同types的服务器上,请将证书转换为其他格式。 在新服务器上导入SSL证书和私钥,并configuration您的站点以使用它们。