1. дома
  2. Вопрос и ответ
  3. Несколько SSL-сертификатов на одном домене

Несколько SSL-сертификатов на одном домене

2015-04-15 2 views
1

Мы используем nginx для завершения SSL и ежегодно сменяем сертификат ssl. Но всякий раз, когда мы поворачиваем, мы отправляем уведомление пользователю о дате и времени, когда мы собираемся применить изменение, и они должны вносить изменения на их конце в одно и то же время. Существует несколько инструментов для предприятий, которые используют немногие клиенты, и они нуждаются в том же сертификате, который загружен в хранилище доверия.Несколько SSL-сертификатов на одном домене

Так что я хотел проверить, есть ли способ развернуть два сертификата на одном домене временно, как на неделю. За этот период работает и сертификат, поэтому клиенты могут перейти на более новый сертификат за этот период. Может быть какой-то цепочкой сертификатов или что-то, что может помочь нам решить эту проблему.

PS: Прошу прощения, если звучит слишком глупо, просто хочу послушать другие взгляды на эту проблему.

Спасибо, GG

источник

2015-04-15 GG.

+1

Stack Overflow - это сайт для вопросов программирования и разработки. Этот вопрос кажется вне темы, потому что речь идет не о программировании или разработке. См. [Какие темы можно задать здесь] (http://stackoverflow.com/help/on-topic) в Справочном центре. Возможно, лучше спросить [Суперпользователя] (http://superuser.com/) или [Server Fault] (http://serverfault.com/). – jww

ответ

1

Хотя можно было бы отправить любое количество сертификатов на равном (это то, что вы делаете при отправке промежуточных сертификатов), ожидаются, что сертификат соответствия имени хоста является первым и Ниже приведены сертификаты цепи в правильном порядке. Клиент не будет просто просматривать все сертификаты и выбирать те, которые выглядят лучше всего.

Но должно быть возможно, что вы дадите клиенту новый сертификат заранее, и он может добавить его в список доверенных сертификатов, не заменяя старый. И пока вы обслуживаете старый сертификат, клиент найдет это доверенным, как только вы перейдете к новому, клиент найдет это как доверенное.

Еще лучше использовать собственный CA для выдачи всех сертификатов. Затем клиенту требуется только один раз, чтобы установить этот ЦС как доверенный, а затем он будет автоматически доверять новым сертификатам, выданным этим ЦС, независимо от того, вращаетесь ли вы каждый год или ежедневно. Вот как это работает в браузерах, где google или что-то еще не нужно отправлять новые сертификаты во все браузеры, но вместо этого они подписываются CA, которым доверяет браузер.

источник

2015-04-15 09:52:24

+0

Что вы подразумеваете под собственным CA? Мы используем digicert для выдачи всех наших сертификатов, поэтому, если digicert добавлен как доверенный CA, то новый должен работать автоматически? –

+1

Тогда почему все ваши клиенты должны обновлять свою конфигурацию всякий раз, когда вы поворачиваете сертификат? Если они доверяют digicert, они должны доверять вашему новому сертификату без каких-либо обновлений на своем сайте. –

+0

Прохладный смысл, вот что мое предположение было. Спасибо за вашу помощь. –

0

Сертификат привязан точно к полному доменному имени, которое пользователь вводит в адресной строке. Если вы приобретете общедоступные сертификаты SSL от подобных Symantec, Digicert, Thawte и т. Д. Вашим клиентам не нужно обновлять их хранилище сертификатов, потому что корни Public Certificate Authority (CA) & являются хорошо известными и очень важны для всех хранится сертификат ведущей ОС.

источник

2017-10-24 05:25:20

Смежные вопросы

 Смежные вопросы