News:

Праздник нужно всегда носить с собой. Эрнест Хемингуэй

Main Menu

Как правильно обновить SSL-сертификат на сайте

Started by STALKER_SLX, 04 November 2019, 00:18

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

STALKER_SLX

Доброго времени суток, уважаемые форумчане!
1.1. На текущий момент времени для работы сайта нашей компании используется SSL-сертификат, срок действия которого заканчивается средине этого месяца (ноября 2019 года).
1.2. Чтобы продлить текущий сертификат, нами был куплен «SSL с проверкой домена - EssentialSSL».
1.3. Также на сайте используется веб-сервер «Nginx» и движок «Bitrix». Для того, чтобы обновить/заменить текущий сертификат, в файле виртуального хоста Nginx /etc/nginx/bx/conf/ssl.conf сменил ТОЛЬКО настройку (абсолютный путь к файлу НОВОГО сертификата) «ssl_certificate». То есть файл «ssl_certificate_key» оставил старый (!!!)
1.4. Виртуальный хост теперь выглядит примерно так:

server {
listen 443;
ssl on;
ssl_certificate /etc/ssl/my_domain_name_NEW.crt;
ssl_certificate_key /etc/ssl/my_domain_name_OLD.key;


1.5. Перезагрузил Nginx:
systemctl restart nginx

1.6. В результате в браузере (тестировалось на разных версиях браузеров) на компьютерах клиентов отображался СТАРЫЙ сертификат, а на мобильных телефонах и планшетах – выкидывало ошибку.

1.7. Для того, чтобы подхватился НОВЫЙ сертификат на клиентах, потребовалось в их браузере удалить куки нашего сайта.


И в связи с выше изложенным возникли вопросы.
2.1. Как правильно обновить/заменить сертификат на сайте с «Nginx», чтобы можно как-то было обойтись без удаления куки на клиентах?!
2.2. Нужно ли повторно генерировать CSR (Certificate Signing Request) и секретный (приватный) ключ при обновлении сертификата для сайта?
2.3. Нужно ли проходить процедуру перевыпуска сертификата, чтобы его обновить на сайте?!

Прошу Вас помочь разобраться с этим запутанным вопросом.

Уваров А.С.

2.1 Более правильно указывать путь не к сертификату, а к симлинку на сертификат, как делает LE, тогда ничего очищать на клиентах не надо. Если менять сертификат с запасом срока действия, то это вообще не проблема, срок жизни кеша выйдет и браузер сам подхватит новый сертификат.

2.2 Нет, хотя здесь многое зависит от центра сертификации, некоторые из них могут генерировать новую ключевую пару при перевыпуске сертификата.

2.3 Зачем?