我们使用nginx进行SSL终止并每年轮换ssl证书。但是,每当我们轮换时,我们都会向用户发送关于我们要应用更改的日期和时间的通知,并且他们必须同时对其结束进行更改。很少有客户使用的企业工具很少,他们需要在信任存储中加载相同的证书。
所以我想检查是否有办法暂时在一个域上部署两个证书,比如一周。在此期间,证书都有效,因此客户可以在此期间转移到更新的证书。可能是某种证书链接或可以帮助我们解决这个问题的东西。
PS:对不起,如果听起来太愚蠢,只想听别人对这个问题的看法。谢谢, GG
答案 0 :(得分:1)
虽然可以向对等方发送任意数量的证书(这是您在发送中间证书时所做的),但是期望与主机名匹配的证书是第一个,以下是链证书依次。客户不仅会查看所有证书并选择看起来最好的证书。
但是,您应该可以提前为客户端提供新证书,并且可以将此证书添加到可信证书列表中,而无需替换旧证书。只要您提供旧证书,客户端就会发现它是可信的,一旦您转移到新证书,客户端就会发现它也是可信任的。
更好的方法可能是使用您自己的CA颁发所有证书。然后客户端只需要一次将此CA安装为受信任的,然后它将自动信任此CA颁发的任何新证书,无论您是每年还是每天轮换。这就是它在浏览器中的工作方式,google或其他任何不需要将新证书发送到所有浏览器的浏览器,而是由浏览器信任的CA签名。
答案 1 :(得分:0)
证书与用户在地址栏上键入的FQDN完全绑定。如果您从Symantec,Digicert,Thawte等公司获得公共SSL证书,则您的客户端无需更新其证书存储区的原因,即公共证书颁发机构(CA)根和中间证书是众所周知的,并且是所有Leading OS证书商店的一部分。