Apache 웹 서버에서 SSL 인증서를 교체하려고 합니다.
동료 2명이 휴가 중이고 SSL 인증서를 긴급하게 교체해야 하는 상황에서(openssl 버그로 인해) 이 작업을 수행한 것은 이번이 처음입니다. 누군가 나에게 몇 가지 조언을 해줄 수 있습니까?
읽었지만 다음 절차가 올바른지 다시 한번 확인하고 싶습니다.
새로운 개인 키와 CSR을 생성했습니다. CSR을 CA에 보냈고 이제 새로운 crt 및 ca-bundle 파일을 발급받았습니다.
개인 키, 새 crt 및 새 ca 번들을 교체하고 httpd를 다시 시작하면 되나요?
이 작업을 수행하기 전에 수행해야 할 다른 작업이 있나요?
답변1
당신은 이미 힘든 일을 해냈습니다. 그리고 개인 키와 재발급된 인증서를 모두 교체해야 한다는 점에서 맞습니다.
지금 해야 할 일은 기존 키 파일을 새 crt 및 ca-번들로 바꾸는 것뿐입니다.
그리고 그렇습니다. Apache(httpd)를 다시 시작해야 합니다. 걸리는지 여부가 확실하지 않은 경우 전체 시스템을 재부팅하는 것도 고려해 보세요.
물론, 시스템을 먼저 패치하지 않았다면 이 모든 것은 논쟁의 여지가 있습니다. 따라서 올바른 순서의 단계는 다음과 같습니다.
- 시스템 패치(OpenSSL의 수정된 버전 설치)
- 아파치 다시 시작
- 새 개인 키 생성
- CA에서 새 CRT를 얻습니다.
- 인증서 교체
- Apache를 다시 시작하십시오(또는 전체 서버를 다시 시작하는 것이 더 좋습니다)