Ich ersetze unser SSL-Zertifikat auf unserem Apache-Webserver.
Dies ist das erste Mal, dass ich dies mache, da meine beiden Kollegen im Urlaub sind und wir unser SSL-Zertifikat dringend ersetzen müssen (aufgrund des OpenSSL-Fehlers). Könnte mir jemand ein paar Hinweise geben?
Ich habe mich informiert, möchte aber noch einmal überprüfen, ob das folgende Verfahren korrekt ist.
Ich habe einen neuen privaten Schlüssel und CSR generiert. Habe den CSR an die Zertifizierungsstelle gesendet, die mir jetzt eine neue CRT- und CA-Bundle-Datei ausgestellt hat.
Ersetze ich einfach den privaten Schlüssel, das neue CRT und das neue CA-Bundle und starte httpd neu?
Gibt es noch weitere Aufgaben, die vorher erledigt werden müssen?
Antwort1
Sie haben die harte Arbeit bereits erledigt. Und Sie haben Recht, dass Sie SOWOHL den privaten Schlüssel als auch die Zertifikate ersetzen müssen, die Ihnen neu ausgestellt wurden.
Alles was Sie jetzt tun müssen, ist, die alten Schlüsseldateien durch das neue CRT- und CA-Bundle zu ersetzen.
Und ja, Sie müssen Apache (httpd) neu starten. Wenn Sie sich nicht sicher sind, ob es funktioniert oder nicht, sollten Sie auch den gesamten Computer neu starten.
Natürlich ist all dies hinfällig, wenn Sie Ihr System nicht vorher gepatcht haben. Die Schritte in der richtigen Reihenfolge wären also:
- Patchen Sie Ihr System (installieren Sie eine korrigierte Version von OpenSSL)
- Starten Sie Apache neu
- Neuen privaten Schlüssel generieren
- Besorgen Sie sich das neue CRT von der Zertifizierungsstelle
- Ersetzen Sie Ihre Zertifikate
- Starten Sie Apache neu (oder noch besser, starten Sie Ihren gesamten Server neu)