我已经被授权为我们的客户之一在他们的服务器上更新证书。 问题是,我不仅从未这样做过,而且我所读过的所有网站所涉及的过程似乎都不适合我。
首先,我从来没有向我的客户提供一个密钥文件,他们得到新的证书之前,我在他们需要的印象,以产生它。
其次,服务器上唯一的其他证书文件是Verisign的通用版本,而不是像我发送的新文件那样的域名。
最后,我发送的是一个.cer文件,显然和.crt文件一样好,但是它让我更加怀疑它的错误证书。
我的证书ssl.conf是这样的;
SSLCertificateFile /etc/httpd/ssl/ssl.cert.pem SSLCertificateKeyFile /etc/httpd/ssl/ssl.key SSLCACertificateFile /etc/httpd/ssl/ca.crt <<< This is the verisign one 所以,基本上,我有一个.cer文件,一个conf和一个服务器,这似乎没有对我来说。 我真的很喜欢任何帮助。
谢谢,
基督教
在你面前你有很多的学习。 SSL是一个棘手的有害生物。 第一个问题是:当前安装的证书是否是一个有效的证书(由“真正的”CA等发出),用于他们托pipe的域名(模数到期date)? 如果是这样的话,事情就会简单一些。
哦,顺便说一句,以前设置这个的人明显是RHEL怪胎,因为/etc/httpd并不是Ubuntu保存它的东西。 这可能会让你陷入困境。
首先, /etc/httpd/ssl/ca.crt的“Verisign”证书不是最终用户证书,而是颁发上一个证书的CA证书。 如果您从其他CA获得新证书,则可能需要更改。
这听起来像是,如果是更新(以及之前的证书是有效的),则新证书可能是从现有密钥生成的。 没关系 – 毕竟关键是私有的,每年都不需要改变。 要检查他们是否排队,运行:
openssl rsa -noout -in /etc/httpd/ssl/ssl.key -text openssl x509 -noout -in /new_cert_file.cer -text
并检查每个命令输出的模数据。 如果它们是相同的,那么新的证书是从旧密钥生成的,并且全部可能是确定的。 如果他们不同,那么你需要获得证书生成的密钥,并使用它。 如果openssl抱怨证书文件的格式不正确,那么您的猜测是正确的,即文件不好,需要转换或重新发布。 (在这种情况下,粘贴证书文件,有人可能会认识到格式,并能告诉你如何转换它)。
要安装新的证书(可能还有密钥),将现有文件重新命名,然后将新文件复制到位。 重新启动Apache(完全重启是最安全的,但如果你只是改变了证书重载应该做的伎俩)。 检查Apache是否恢复正常,使用HTTPS访问站点应报告证书上的新失效date。 如果出现问题,最好将旧文件移回原处(这就是为什么我们先将它们移开的原因),然后检查日志中的错误以查看错误以及如何解决错误。