我有一个SSL证书,用于在我在Ubuntu上运行的nginx服务器上保护端口443(HTTPS)大约10个月。
当我购买证书时,我得到了一年,所以我还有2个月以上的证书。 我的问题是:"当我更新此证书时,我是否只需要支付续费费用?或者我是否必须使用新的CSR重新颁发证书,并且在安装时可能会出现停机时间?
我需要计划从现在开始的任何停机时间。
提前感谢您的回答。
答案 0 :(得分:6)
一旦发布,就无法延长现有证书的到期时间。唯一的方法是颁发新证书。
大多数证书颁发机构提供"续订"概念,与新购买相比具有一些优势。例如,您可以提前续订证书到期日期,并且他们将在上一个证书到期时发出新证书,而不是从新证书颁发之日起。
重新发行或重新发行是另一回事。它通常意味着使用不同的私钥和/或CSR重新键入现有证书订单。它通常不会改变证书的到期时间,因此它不是续订。更新和重新生成密钥都会产生新证书(同样,一旦签发就无法更改现有证书),但重定密钥只会更改证书信息而不是过期。
续订可以使用相同的原始CSR和密钥,也可以使用全新的CSR和密钥。它取决于你。
在所有情况下都会发出新证书,您必须更换现有证书。更换证书通常是一项无需停机的任务。您只需上传新服务器,更改服务器设置并重新加载(或重新启动服务器)。
包括Nginx在内的大多数网络服务器都支持热重新加载,因此您无需重启服务器并等待它重新启动。
如果计划正确,续订将是一项无停机任务。
答案 1 :(得分:3)
要获得新的,您可能需要或可能不需要提交新的CSR,具体取决于CA.但无论如何,您都会获得一个新的证书文件,并需要使用新证书替换服务器上的现有证书。也可以看看 https://www.digicert.com/ssl-certificate-renewal.htm
答案 2 :(得分:1)
续订SSL证书可确保您网站上的安全性与您经过验证的身份一致。续订失误可能会在您的网站上发出警告,并警告您的客户离开您的网站。
您应该继续使用旧CSR或生成新CSR,这取决于SSL提供商,但建议您创建一个新的CSR来摆脱错误配置。但是,您的服务器在更新SSL证书时将面临停机时间,这是一个神话。
证书续签和重新签发都是不同的条款。证书到期后会进行证书续订,而在私钥丢失的情况下重新颁发证书,想要更改域/组织名称或添加新的SAN名称。
大多数证书提供商在证书到期前经常发送续订提醒电子邮件。因此,建议您提前续订证书,您可以利用从早期续订中获得额外的有效期。
本文可帮助您了解证书续订过程。 https://www.ssl2buy.com/wiki/how-to-renew-ssl-certificate/
答案 3 :(得分:0)
很快回答,没有续订SSL证书不需要重新颁发证书,只是因为重新颁发和续订是SSL证书的两种不同行为。
在您解释自己的情况时,您将获得2个月的现有证书,之后它将过期,因此需要续订。重新发行(撤销和替换)是完全不同的,因为您因任何原因和请求而取消当前有效的SSL / TLS证书。
<强>再发行:
重新颁发证书是必须使用证书颁发机构重新生成证书的过程。例如,如果您丢失了私钥。对于该CA,从他们拥有的证书列表中查看证书的详细信息,然后重新颁发证书。
此外,该过程完全相同,就像以类似的方式进行激活一样,例如粘贴相同域名的CSR,选择&amp;批准电子邮件。重新颁发证书会更改其证书ID&amp;新的证书记录也会添加到帐户中。
<强>更新
另一方面,证书的更新可能与购买新证书几乎相同,但它有所不同。更新功能完全集成在模块中。如果&#34;付款类型&#34;的设置被设置为&#34;重复&#34;在创建产品时,将自动生成续订发票。付款后,还会自动创建SSL证书的续订。虽然需要注意的一点是,在更新SSL之后仍然需要通过CSR进行激活。
现在一件重要的事情是,如果您在实际到期日之前续订,就像您在2个月之前的情况一样,您的新证书将有到期日期一(或多个,如果您选择超过一年的持续时间)从初始SSL证书的到期日起一年,所以你不会浪费任何时间。