Esta noite atualizei nosso certificado TSL. Implementamos atrás do haproxy com um certificado fornecido com um crt CA intermediário e chave privada no formato de arquivo .pem. Depois de baixar o certificado renovado para nosso domínio, criei um novo arquivo .pem apenas atualizando a parte correspondente do arquivo .pem do ano anterior. Parece estar funcionando bem.
No entanto, notei em um e-mail que também recebemos um novo certificado de CA intermediário. Preciso atualizar o arquivo .pem para refletir esse novo certificado ou posso deixá-lo como está? Como eu disse, parece estar funcionando bem, mas eu odiaria ter problemas no futuro porque o antigo certificado intermediário da CA expira em alguns meses ou algo semelhante.
Desculpas se esta é uma pergunta estúpida - eu sou realmente um desenvolvedor web júnior pressionado para esse tipo de administrador de servidor por necessidade ... Muito obrigado antecipadamente.
EDIT: Possivelmente relacionado: da última vez que verifiquei, nossa configuração SSL obteve A no Qualys, mas agora está obtendo apenas B, reclamando que não consegue verificar a cadeia corretamente. Vou atualizar para a nova CA esta noite. Não posso votar positivamente com apenas um representante, mas muito obrigado a todos aqueles que dedicaram um tempo para responder.
PÓS-EDIÇÃO: atualizei o certificado intermediário, mas não foi a origem do meu problema com o Qualys. Obrigado novamente.
Responder1
Em geral, as CAs intermediárias raramente mudam, mas é uma boa prática substituir o pacote ca antigo pelo novo. Baixe o novo pacote e coloque-o em cima do antigo - usando o mesmo nome. Você precisará reiniciar o haproxy e qualquer outra coisa que use o certificado.