Migrando um certificado SSL de um host para outro durante a migração do site

Presumivelmente, o certificado atual, para o qual você não tem acesso à chave privada, foi emitido pelo menos usando validação de domínio (ou seja, um e-mail pedindo confirmação deve ter sido enviado por e-mail para o endereço com o qual o domínio está registrado, obtido através de whois ).

Quando você diz "Nosso cliente possui o nome de domínio", a chave é certificar-se de que seu cliente receba os e-mails de todos os contatos necessários (em particular, que esses e-mails não irão para o serviço de hospedagem você quer sair).

Eu sugeriria o seguinte curso de ações (nesta ordem):

• Entre em contato com a CA que emitiu o certificado atual. Verifique com seus termos e condições, eles podem revogar o certificado atual e reemitir um novo certificado no mesmo pacote, às vezes sem nenhum custo extra.
• Se isso falhar, obtenha um novo certificado com outra CA (ou talvez a mesma).

Em ambos os casos:

• Você terá que gerar uma nova solicitação de certificado (CSR), que lhe dará acesso à chave privada. (Idealmente, é algo que o próprio cliente deve fazer, se tiver a equipe técnica para fazê-lo.)
• Você deve realmente entrar em contato com a autoridade de certificação atual e explicar a situação. Como proprietário legítimo do domínio (com o qual o certificado foi presumivelmente validado), seu cliente deve poder ter o certificado atual revogado . Você deve tratar efetivamente o certificado atual como comprometido, para impedir que qualquer pessoa que tenha a chave privada atual execute esse site em paralelo (embora, presumivelmente, você tenha pelo menos mudado o DNS para o novo host).

Em relação às suas preocupações nos comentários:

Do they communicate among themselves, or are they happy to issue certificates as long as they can be installed within a certain period of time? My worry is that we will go and get another SSL certificate and it will be revoked because the dns will not be switched over for a week to 10 days after we install it on the new server.

A CA emitirá um certificado para um nome de host que você controla. Normalmente, é da responsabilidade deles verificar se você controla pelo menos o nome do host (via whois register), mas isso não tem nada a ver com a entrada DNS específica que resolve esse nome de host em um endereço IP. Você pode alterar o endereço IP e / ou não ter o servidor online: não é uma preocupação da CA.

Given that our client does own the domain name, can they just go to a different SSL provider and get another certificate? (what would stop me just buying an ssl certificate for some random website in that instance) I'm worried about revoking and issuing a new certificate unless that something that can be done within hours. We can afford a couple of hours downtime overnight, but no more than that.

Você pode ter dois certificados diferentes para o mesmo nome de host de duas CAs diferentes ao mesmo tempo. Geralmente, só faz sentido quando você alternar o provedor, desde que você só pode instalar um de cada vez em um determinado servidor. Não precisa haver nenhum tempo de inatividade. (O maior tempo de inatividade provavelmente virá da propagação global das atualizações de DNS quando você mudar para o novo provedor.)

what would stop me just buying an ssl certificate for some random website in that instance?

É tudo sobre quem controla o domínio (e para certificados de EV, também há um pouco mais de papelada): verifique a entrada whois do seu cliente.

Você deve ser capaz de gerar uma nova chave ssl e obter um novo certificado que responda ao nome do host em questão, se você controlar o domínio dns. Os usuários finais não perceberão essa alteração, desde que o novo certificado ssl seja válido - o IE é emitido por uma CA como a Entrust

Depende do provedor de SSL.

Você definitivamente deve conseguir obter o certificado do provedor de hospedagem (desmembrar os advogados!), mas se isso falhar, algumas empresas de autoridade de certificação revogarão a antiga e emitirão um novo certificado (com a mesma data de expiração) para sem taxa extra.

É claro que, se o host comprou o certificado SSL, e não o cliente, talvez eles não estejam em melhor posição para solicitar um novo certificado do que para obter o atual.

Se eu entendi sua pergunta corretamente, sua situação é que o antigo provedor de hospedagem não fornecerá o certificado SSL e a chave privada que você está usando no momento? Isso parece MUITO sombrio para mim.
Tendo trabalhado em um ISP / MSP que fez hospedagem e registro de certificado SSL, não vejo nenhum motivo legítimo para que eles não lhe dessem o par de chaves do seu certificado (desde que sua conta não esteja atrasada).

Nesse caso, eu daria dois passos:

1. Entre em contato com a CA que emitiu o certificado original (as informações estarão disponíveis se você examinar os detalhes do certificado em seu navegador da Web) e informe-os sobre o que está acontecendo. Solicitar que um novo certificado seja emitido, mas que o antigo seja deixado funcional até que você os informe de outra forma.
   Se eles não puderem fazer isso, entre em contato com uma autoridade de certificação diferente e obtenha um novo certificado emitido.

2. Quando você migrar o site para o novo host (usando o novo certificado), entre em contato com a CA que emitiu o certificado original e peça que ele considere esse certificado comprometido e revogue-o.
   Isso impedirá que seu host anterior use esse certificado para qualquer atividade maliciosa.

Exporte o certificado SSL do servidor com a chave privada e quaisquer certificados intermediários. Converta o certificado em um formato diferente se você estiver colocando-o em um tipo diferente de servidor. Importe os certificados SSL e a chave privada no novo servidor e configure seus sites para usá-los.