Как обеспечить плавный переход на SSL-сертификат Let's Encrypt?
У меня LAMP работает на Ubuntu 14.04, и почти год назад я установил сертификат SSL (TLS 1.2) для своего веб-сервера, поэтому мой сайт будет работать только по протоколу HTTPS. 8 октября истекает срок действия сертификата. И с этого момента я хочу установить и использовать Let's Encrypt. У них есть неплохие руководства по использованию Let's Encrypt, так что (надеюсь) у меня не будет проблем с этим. Но я не знаю, что мне теперь делать. Должен ли я подождать, пока истечет срок действия моего старого сертификата? Или мне следует как можно скорее приступить к установке Let's Encrypt? Если последнее, тогда возникает другой вопрос. Как избавиться от старого сертификата? Я имею в виду, что, вероятно, НЕ стоит использовать два из них рядом. Короче говоря, я слишком многого не понимаю.
Вы можете получить новый сертификат в любое время. Это действительно необходимо сделать до истечения срока действия сертификата, так как это может быть дорогостоящий процесс. Вот шаги, которые я бы выполнил
- Setup Let's Encrypt, or another client.
- Request the certificate.
- (Необязательно) Установите сертификат на другую VM/ экземпляр, чтобы протестировать его.
- Установите сертификат на рабочий сервер, в период низкой нагрузки.
Старый сертификат - это всего лишь файл, просто не указывайте на него больше.
У меня есть учебное пособие для Давайте зашифровывать с помощью Wordpress и Nginx, которое может быть интересно. Он показывает, как использовать другой клиент, я обнаружил, что официальный клиент Let's Encrypt не работает на Amazon Linux
.Должен ли я ждать до истечения срока действия моего старого сертификата?
Нет, вовсе нет.
Или я должен идти дальше и как можно скорее продолжить установку "Давайте зашифровать"?
Конечно, идите.
Если последняя, то возникает другой вопрос. Как избавиться от старого Серт? Наверное, не стоит использовать двух из них рядом. в сторону.
Удалить. Как вы предлагаете использовать их бок о бок? TLS работает не так. Здесь нет магии. Установите новый cert на место, настройте ваш веб-сервер соответствующим образом и перезапустите его, чтобы начать использовать новый cert.
Конечно, само собой разумеется, что вы должны протестировать его на тестовой машине, прежде чем делать это в производстве. К счастью, вы можете где-нибудь затянуть VPS на час, чтобы протестировать его за копейки.
Короче говоря, я слишком многого не понимаю.
Звучит так, будто сейчас - это отличная возможность покопаться и по-настоящему изучить технологии, которые вы используете. Копировать/вставить сисадмин опасно.