오늘 밤에 TSL 인증서를 업데이트했습니다. 중간 CA crt 및 .pem 파일 형식의 개인 키와 함께 번들로 제공되는 인증서를 사용하여 haproxy 뒤에 배포합니다. 우리 도메인의 갱신된 인증서를 다운로드한 후 전년도의 .pem 파일에서 해당 부분만 업데이트하여 새로운 .pem 파일을 만들었습니다. 잘 작동하는 것 같습니다.
그러나 새로운 중간 CA 인증서도 발급되었다는 이메일을 받았습니다. 이 새 인증서를 반영하려면 .pem 파일을 업데이트해야 합니까, 아니면 그대로 둘 수 있습니까? 내가 말했듯이 잘 작동하는 것 같지만 이전 중간 CA 인증서가 몇 달 또는 이와 유사한 기간 내에 만료되기 때문에 문제가 발생하고 싶지 않습니다.
이것이 어리석은 질문이라면 사과드립니다. 저는 사실 필요에 따라 이런 종류의 서버 관리자에 압력을 가하는 주니어 웹 개발자입니다. 미리 감사드립니다.
편집: 아마도 관련이 있을 수 있습니다: 지난번 확인했을 때 SSL 설정은 Qualys에서 A를 얻었지만 지금은 B만 얻고 체인을 제대로 확인할 수 없다고 불평합니다. 오늘 밤에 새 CA로 업데이트하겠습니다. 단 한 명의 담당자에게만 찬성 투표를 할 수는 없지만 시간을 내어 응답해 주신 분들께 진심으로 감사드립니다.
사후 편집: 중간 인증서를 업데이트했지만 이것이 Qualys 문제의 원인이 아니었습니다. 다시 한 번 감사드립니다.
답변1
일반적으로 중간 CA는 거의 변경되지 않지만 이전 CA 번들을 새 CA 번들로 교체하는 것이 좋습니다. 새 번들을 다운로드하고 동일한 이름을 사용하여 이전 번들 바로 위에 놓습니다. haproxy와 인증서를 사용하는 다른 모든 항목을 다시 시작해야 합니다.