Renova o certificado SSL com o Apache

Navegue suas respostas
2

Eu tenho um certificado da VeriSign em um dos meus sites Linux / Apache que vai expirar. Eu pretendo comprar uma renovação da VeriSign.

Qual é a melhor maneira de renovar o certificado com o Apache? Tenho que gerar uma nova solicitação e começar de novo? Há alguma armadilha que eu deva tomar cuidado?

    
por Kyle Brandt 20.07.2009 / 16:14

4 respostas

3

Se você optar por renovar o certificado usando a cópia salva na VeriSign:

  1. Acesse o site da VeriSign e opte por usar o CSR armazenado. Esta será a caixa de seleção quando você optar por renovar o certificado em seu site.
  2. Após o processamento da solicitação, o novo certificado será enviado por e-mail para você.
  3. Salve o certificado que estava em um email para um novo arquivo no servidor e configure a diretiva ssl.conf ou httpd.conf SSLCertificateFile para apontar para o novo arquivo.
  4. Possivelmente obrigatório (foi para mim): vá para este link da VeriSign , baixe o novo certificado intermediário da VeriSign e salve-o em um arquivo. Em seguida, altere a diretiva SSLCACertificateFile para apontar para esse novo arquivo também.
  5. Reinicie o Apache
por 20.07.2009 / 18:02
7

Você pode ter a solicitação do certificado atual renunciada. No entanto isso (em teoria) diminui a segurança.

Na prática, desde que sua chave tenha sido gerada adequadamente e nunca tenha sido usada em uma máquina Debian ou Ubuntu que tenha o problema de entropia SSL e , não há problemas com pessoas formalmente confiáveis que ainda têm uma cópia da chave você está bem.

Eu geralmente apenas assino novamente, embora, como eu disse acima, se você estiver preocupado, basta gerar um novo certificado. É o mesmo processo.

    
por 20.07.2009 / 16:20
2

você não precisa gerar novamente a solicitação (solicitação de assinatura de certificado ou csr) como o tempo de validade aplicado pela autoridade de assinatura. Se desejar, você pode enviar o CSR original para assinar este horário também, mas note que o certificado resultante é diferente , pois a parte de assinatura foi alterada. A vantagem de reutilizar o csr é que você não precisa mexer com a parte principal de um certificado.

    
por 20.07.2009 / 16:20
2

Se você tiver a solicitação de assinatura existente, poderá enviá-la novamente sem problemas. Muitos registradores manterão uma cópia do seu último csr para fins de renovação de qualquer maneira. Se isso não for uma opção, um novo csr será gerado com facilidade: 

openssl req -new -key <server>.key -out <server>.csr

Certifique-se de inserir o Nome Comum (CN) como o endereço que será usado na URL para impedir que os clientes lancem avisos.

Uma coisa que gosto de fazer em meus próprios servidores é manter os certificados antigos e organizar minha pasta / etc / ssl / certs em anos com base na data de emissão (ou expirar alternadamente). Ajuda-me a saber quantas vezes o certificado foi renovado e quando é provável que seja renovado em breve.

Para referência, se você quiser uma nova chave também, faça o seguinte. Neste caso, você precisará gerar um novo csr a partir desta chave. 

openssl genrsa 1024 -out <server>.key
chown root <server.key>; chmod go-rwx <server.key>
    
por 20.07.2009 / 16:23

Tags

como rastrear acessos permanentes ao disco no linux Obtendo linefeeds corretos em emails gerados a partir do linux