Сегодня вечером я обновил наш сертификат TSL. Мы развертываемся за haproxy с сертификатом, связанным с промежуточным CA crt и закрытым ключом в формате файла .pem. Загрузив обновленный сертификат для нашего домена, я создал новый файл .pem, просто обновив соответствующую часть файла .pem прошлого года. Кажется, все работает нормально.
Однако я заметил в электронном письме, что нам также выдали новый промежуточный сертификат CA. Нужно ли мне обновить файл .pem, чтобы отразить этот новый сертификат, или я могу оставить все как есть? Как я уже сказал, он, похоже, работает нормально, но я бы не хотел столкнуться с проблемами в будущем, потому что старый промежуточный сертификат CA истекает через пару месяцев или что-то в этом роде.
Извините, если это глупый вопрос. Я всего лишь начинающий веб-разработчик, которого в силу обстоятельств заставили стать администратором сервера... Заранее большое спасибо.
EDIT: Возможно, связано: В последний раз, когда я проверял, наша настройка SSL получила оценку A на Qualys, но теперь она получает только B, жалуясь, что не может правильно проверить цепочку. Я обновлюсь до нового CA сегодня вечером. Я не могу проголосовать только с одним представителем, но большое спасибо тем, кто нашел время ответить.
РЕДАКТИРОВАНИЕ ПОСТА: Я обновил промежуточный сертификат, но он не был источником моей проблемы с Qualys. Спасибо еще раз.
решение1
В целом, промежуточные CA редко меняются, но хорошей практикой является замена старого пакета ca на новый. Загрузите новый пакет и положите его прямо поверх старого — используя то же имя. Вам нужно будет перезапустить haproxy и все остальное, что использует сертификат.