В настоящее время мы используем стандартный сертификат SSL для домена, скажем example.com, размещенного на 300 серверах. Когда кто-то запрашивает https://example.com, один из серверов обслуживает запрос.
Теперь мы хотим обновить наш SSL-сертификат со Стандартного на тот, который защищает несколько поддоменов. Наш регистратор GoDaddy сообщил нам, что нам нужно будет отменить текущий сертификат и вместо него будет выпущен новый.
Теперь, как только нам выдадут новый, нам понадобится около 10 дней, чтобы заменить старый на 300 серверах. В течение этих 10 дней, если наши пользователи сделают запрос, https://example.comа сервер, на котором все еще есть старый сертификат, обслужит запрос, что будет показано в браузере пользователя?
Увидит ли пользователь ошибку недействительного сертификата?
ПРИМЕЧАНИЕ:Чтобы успокоить всех, кто забил на это, причина, по которой обновление более 300 серверов занимает 10 дней, заключается в том, что мои серверы размещены в частных автобусах, поездах и самолетах, и они обслуживают запросы через офлайн-точку доступа. Они могут обслуживать несколько запросов без подключения к Интернету в течение нескольких дней. И, следовательно, согласно нашей последней частоте обновлений, мне потребуется около 10 дней, чтобы обновить их все.
решение1
Если отбросить тот факт, что у вас 300 серверов (!!!), и вы, похоже, говорите, что процесс не автоматизирован, поэтому его завершение займет 10 дней (!!!), то сценарий, описанный GoDaddy, кажется неправильным. ПРИМЕЧАНИЕ:Теперь, когда появился более ясный контекст проблемы 300 серверов за 10 дней, комментарий неактуален; логистика перемещения/нерегулярно подключаемых серверов становится понятной.
Да, если вы хотите создать новый сертификат, старый SSL-сертификатдолженбыть отозван (т. е. отменен). Но по моему опыту, SSL-сертификаты не обязательно должны быть немедленно отозваны из-за того, что был выпущен новый SSL-сертификат. Вы можете дважды проверить это у GoDaddy.
Кроме того, SSL-сертификаты, регистраторы и хостинг-сервисы — это 3 разные вещи. Иногда регистратор будет настаивать, что он единственный, кто может выдать SSL-сертификат для домена, который он мог бы зарегистрировать у него. Но вы можете получить SSL-сертификат у любого, кто его предлагает, а затем использовать его с вашими текущими серверами без проблем.
Если GoDaddy действительно беспокоится по этому поводу, я бы порекомендовал просто получить SSL-сертификат из другого источника.
Таким образом, вы можете поэтапно ввести новый сертификат SSL на 300 серверах, сохраняя старый сертификат SSL на месте. А затем, когда вы закончите переход, официально отзовите старый сертификат, чтобы закончить с этим.