续订SSL证书是否需要重新颁发证书？

Question

我有一个SSL证书，用于保护在Ubuntu上运行大约10个月的nginx服务器上的端口443 (HTTPS)。

当我买证书的时候，我拿到了一年的证书，所以我还有两个月的时间用这张证书。我的问题是：“当我续签这份证书时，我是否只需要支付续签费用?还是我必须重新发放新的企业社会责任，并在安装时有一个潜在的停机时间？”

从现在起，我需要为任何停机时间做好计划。

提前谢谢你的回答。

Answer 1

一旦颁发证书，就不可能延长现有证书的有效期。唯一的办法是颁发一个新的证书。

大多数证书颁发机构都提供了一个“更新”概念，这与新的购买相比具有一些优势。例如，您可以提前续订到证书到期，并且他们将在上一个证书到期时发出新证书，而不是从新证书签发之日起。

重发或重钥匙是另一回事。它通常意味着用不同的私钥和/或CSR重新键入现有的证书顺序。它通常不会更改证书的过期，因此它不是更新。更新和重新键都会产生新的证书(同样，一旦发出证书，就不可能更改现有证书)，但是rekey只更改证书信息，而不是过期。

续约可以与相同的原始企业社会责任和钥匙，或与一个全新的。由你决定。

由于在所有情况下都会颁发新证书，因此必须替换现有证书。替换证书通常是一项不停机的任务。您只需上传新的服务器，更改服务器设置并重新加载它们(或重新启动服务器)。

大多数for服务器(包括Nginx )都支持热重新加载，因此不需要重新启动服务器并等待它重新启动。

如果计划正确，更新将是一个没有停机时间的任务。

Answer 2

要获得新的CSR，您可能需要也可能不需要提交一个新的CSR，这取决于CA。但是在任何情况下，您都会得到一个新的证书文件，并且需要用一个新的证书替换服务器上的现有证书。另见https://www.digicert.com/ssl-certificate-renewal.htm

Answer 3

更新SSL证书使您的网站上的安全性与您的验证身份保持一致。更新的延迟可能会在您的网站上引起警告，并警告您的客户离开您的网站。

这取决于SSL提供程序，您应该继续使用旧的CSR或生成新的CSR，但是建议创建一个新的CSR来消除错误配置。但是，您的服务器在更新SSL证书时将面临停机时间，这是一个神话。

证书更新和再颁发都是不同的术语。证书更新在证书到期后发生，而在私钥丢失的情况下重新颁发证书时，希望更改域/组织名称或添加新的SAN名称。

大多数证书提供商在证书到期前经常发送更新提醒邮件。因此，最好提前更新您的证书，您可以利用提前更新获得的额外有效期。

本文可以帮助您了解证书更新过程。https://www.ssl2buy.com/wiki/how-to-renew-ssl-certificate/