将apache2 SSL转换为下一年证书的最佳实践

Question

从去年的SSL证书切换到下一年的最佳实践是什么？是否可以在启用的站点配置中为同一个站点/ip声明两个证书？

如果我必须在证书到期前一分钟手动切换，那么在Linux (ubuntu)中有什么脚本或提示可以使其自动化吗？

我有一个标准的VirtualHost设置来声明当前的证书

  SSLEngine on
  SSLCertificateFile    ...crt.2012
  SSLCertificateKeyFile ...key.2012

Answer 1

您通常希望您的新证书的有效期在旧证书有效期结束之前的某个时间开始。这样，您就有时间更改SSLCertificateFile (如果需要的话还有SSLCertificateKeyFile )，做一个优雅的重新加载和测试。如果某些东西不能正常工作，您可以进行回滚(因为旧的证书仍然有效)，如果需要的话，还可以颁发新的证书。