我的Linux / Apache网站上有一个即将到期的VeriSign证书。 我打算从VeriSign购买续约。
用Apache续签证书的最佳方法是什么? 我是否必须生成新的请求并重新开始? 我应该留意哪些缺陷?
你可以让当前证书的请求辞职。 然而 ,(理论上)确实降低了安全性。
在实践中,只要您的密钥已正确生成,并且从未在具有SSL熵问题的Debian或Ubuntu计算机上使用, 并且正式信任的人仍然没有问题,但仍然拥有该密钥的副本,那么您没有问题。
我通常只是重新签署,虽然正如我上面所说,如果你在所有有关,只是生成一个新的证书。 这是一样的过程。
如果您select使用VeriSign上保存的副本续订证书:
如果您有现有的签名请求,您可以再次提交,没有任何问题。 无论如何,许多注册商实际上都会保留上次csr的副本用于续订。 如果这不是一个选项,一个新的csr很容易生成:
openssl req -new -key <server>.key -out <server>.csr
确保input公共名称(CN)作为将在URL中使用的地址,以防止客户抛出警告。
我喜欢在自己的服务器上做的一件事就是保留旧的证书,并根据发布的date(或过期)将我的/ etc / ssl / certs文件夹组织到几年。 帮助我logging证书更新的次数以及接下来可能要更新的时间。
作为参考,如果您还想要一个新的密钥,您将需要执行以下操作。 在这种情况下,你将需要从这个键生成一个新的csr。
openssl genrsa 1024 -out <server>.key chown root <server.key>; chmod go-rwx <server.key>
您不必重新生成请求(证书签名请求或csr)作为签名机构应用的有效时间。 如果您愿意的话,您也可以提交原始的csr进行签名,但是需要注意的是,由于签名部分已经更改,所生成的证书是不同的 。 重复使用csr的好处是你不必乱用证书的关键部分。