今夜、TSL 証明書を更新しました。中間 CA CRT と .pem ファイル形式の秘密キーがバンドルされた証明書を haproxy の背後に展開しています。ドメインの更新された証明書をダウンロードした後、前年の .pem ファイルの対応する部分を更新して新しい .pem ファイルを作成しました。問題なく動作しているようです。
しかし、電子メールで、新しい中間 CA 証明書も発行されたことに気付きました。この新しい証明書を反映するために .pem ファイルを更新する必要がありますか、それともそのままにしておいてもよいでしょうか。前述のとおり、問題なく動作しているようですが、古い中間 CA 証明書が数か月で期限切れになるなど、将来的に問題が発生するのは避けたいです。
愚かな質問であれば申し訳ありません。私は、必要に迫られてこの種のサーバー管理者に任命された初心者の Web 開発者です。どうぞよろしくお願いいたします。
編集: おそらく関連があります: 前回確認したとき、当社の SSL 設定は Qualys で A を取得しましたが、現在は B しか取得しておらず、チェーンを適切に検証できないというエラーが表示されています。今夜、新しい CA に更新します。1 人の担当者だけでは賛成できませんが、時間を割いて回答してくれた方々に感謝します。
編集後記: 中間証明書を更新しましたが、Qualys の問題の原因ではありませんでした。改めて感謝申し上げます。
答え1
一般に、中間 CA が変更されることはほとんどありませんが、古い CA バンドルを新しいものに置き換えることをお勧めします。新しいバンドルをダウンロードし、同じ名前を使用して古いバンドルの上に配置します。haproxy と、証明書を使用するその他のものを再起動する必要があります。