更新中级CA证书？

Question

今晚我更新了我们的TSL证书。我们部署在haproxy后面，使用一个与中间CA、crt和.pem文件格式的私钥捆绑在一起的证书。下载了域更新的证书后，我只更新了前一年.pem文件的相应部分，创建了一个新的.pem文件。好像很好用。

然而，我在一封电子邮件中注意到，我们也得到了一个新的中级CA证书。是否需要更新.pem文件以反映此新证书，还是可以保持原样？就像我说的，它似乎工作得很好，但是我不想在这条路上遇到问题，因为旧的中间CA证书在几个月后到期，或者类似的东西。

很抱歉，如果这是一个愚蠢的问题-我真的是一个初级的web开发人员按下-加入到这种服务器管理的必要性.在此之前，非常感谢您。

编辑:可能相关:上次我检查的时候，我们的ssl安装程序在Qualys上得到了一个A，但是现在它只得到一个B，抱怨它不能正确地验证这个链。今晚我会更新到新的CA。我不能只靠一个代表投票，但要感谢那些花时间回应的人。

编辑:我已经更新了中级证书，但它不是我的Qualys问题的来源。再次感谢。

Answer 1

一般来说，中间ca很少改变，但是用新的ca包代替旧的ca包是很好的做法。下载新的包并将其放置在旧包的顶部--使用相同的名称。您将需要重新启动that和使用证书的任何其他内容。