Linux
更新 SSL 證書需要新的 CSR
我在 Centos 上有一個可用的 Tomcat 應用程序,它使用即將到期的 SSL 證書。
我使用 keytool 創建了一個 CSR:
keytool -certreq -keyalg RSA -alias my_alias -keystore keystore.jks -file nov19.csr
然後將 CSR 粘貼到 Gandi 以獲取新的 SSL 證書。
然而,Gandi 現在堅持要我提供一個新的(即不同於上次更新的)CSR。
所以我理解這意味著我必須生成一個新的私鑰/公鑰對 - 這是正確的嗎?
如何在不中斷對應用程序的訪問的情況下執行此操作?
是的,您需要生成一個新的密鑰對。
為了使服務中斷最小化,將密鑰對放入一個新的密鑰庫中,注意使用與以前相同的別名。當您擁有新證書時,只需切換磁碟上的密鑰庫文件。
Tomcat 不會立即重新載入文件。為了觸發重新載入,您需要通過JMX訪問 Tomcat 實例。如果您可以使用
ssh
X 轉發訪問伺服器,只需執行:jconsole
使用 Tomcat 使用者的憑據。您需要在 MBeans 選項卡上找到一個名為類似的 bean
Catalina:type=ThreadPool,name="jsse-nio-443"
並執行操作reloadSslHostConfigs
。如果不能使用 jconsole,還有其他方式可以訪問 JMX(Tomcat Manager 中也有一個 JMXProxy servlet)。