我正在替換 Apache Web 伺服器上的 SSL 憑證。
這是我第一次這樣做,我的 2 位同事正在度假,並且迫切需要更換我們的 SSL 憑證(由於 openssl bug),有人介意給我一些指示嗎?
我已閱讀但只想仔細檢查以下程序是否正確
我已經產生了一個新的私鑰和 CSR。已將 CSR 發送給 CA,他們現在向我頒發了新的 crt 和 ca-bundle 文件。
我是否只需更換私鑰、新的 crt 和新的 ca-bundle 並重新啟動 httpd ?
在執行此操作之前還需要執行其他任務嗎?
答案1
你已經完成了艱苦的工作。您是正確的,您需要替換私鑰以及重新頒發給您的憑證。
現在您需要做的就是用新的 crt 和 ca-bundle 取代舊的金鑰檔案。
是的,您必須重新啟動 Apache (httpd)。如果您不確定是否需要,您也可以考慮重新啟動整台電腦。
當然,如果您沒有先修補系統,那麼所有這些都是沒有意義的。因此,正確順序的步驟是:
- 修補您的系統(安裝 OpenSSL 的固定版本)
- 重新啟動阿帕契
- 產生新的私鑰
- 從 CA 取得新的 CRT
- 更換您的證書
- 重新啟動 Apache(或者更好的是,重新啟動整個伺服器)