Heute Abend habe ich unser TSL-Zertifikat aktualisiert. Wir stellen hinter Haproxy ein Zertifikat bereit, das mit einem CA-Zwischenzertifikat und einem privaten Schlüssel im PEM-Dateiformat gebündelt ist. Nachdem ich das erneuerte Zertifikat für unsere Domäne heruntergeladen hatte, habe ich eine neue PEM-Datei erstellt, indem ich einfach den entsprechenden Teil der PEM-Datei vom Vorjahr aktualisiert habe. Es scheint gut zu funktionieren.
In einer E-Mail habe ich jedoch festgestellt, dass wir auch ein neues Zwischenzertifikat der Zertifizierungsstelle erhalten haben. Muss ich die PEM-Datei aktualisieren, um dieses neue Zertifikat anzuzeigen, oder kann ich es so lassen, wie es ist? Wie gesagt, es scheint gut zu funktionieren, aber ich möchte nicht, dass später Probleme auftreten, weil das alte Zwischenzertifikat der Zertifizierungsstelle in ein paar Monaten abläuft oder so etwas Ähnliches.
Entschuldigen Sie, wenn das eine dumme Frage ist – ich bin eigentlich ein Junior-Webentwickler, der aus der Not heraus zu dieser Art von Serveradministration gedrängt wurde … Vielen Dank im Voraus.
EDIT: Möglicherweise damit verbunden: Als ich das letzte Mal nachgesehen habe, bekam unser SSL-Setup bei Qualys ein A, aber jetzt bekommt es nur noch ein B, mit der Beschwerde, dass es die Kette nicht richtig verifizieren kann. Ich werde heute Abend auf die neue CA aktualisieren. Ich kann nicht mit nur einem Rep hochstimmen, aber vielen Dank an alle, die sich die Zeit genommen haben, zu antworten.
POST EDIT: Ich habe das Zwischenzertifikat aktualisiert, aber es war nicht die Ursache meines Qualys-Problems. Nochmals vielen Dank.
Antwort1
Im Allgemeinen ändern sich die Zwischenzertifizierungsstellen selten, aber es ist eine gute Praxis, das alte CA-Paket durch das neue zu ersetzen. Laden Sie das neue Paket herunter und legen Sie es direkt über das alte – unter demselben Namen. Sie müssen Haproxy und alle anderen Dinge, die das Zertifikat verwenden, neu starten.