Linux

更新 SSL 證書需要新的 CSR

  • November 12, 2019

我在 Centos 上有一個可用的 Tomcat 應用程序,它使用即將到期的 SSL 證書。

我使用 keytool 創建了一個 CSR:

keytool -certreq -keyalg RSA -alias my_alias -keystore keystore.jks -file nov19.csr

然後將 CSR 粘貼到 Gandi 以獲取新的 SSL 證書。

然而,Gandi 現在堅持要我提供一個新的(即不同於上次更新的)CSR。

所以我理解這意味著我必須生成一個新的私鑰/公鑰對 - 這是正確的嗎?

如何在不中斷對應用程序的訪問的情況下執行此操作?

是的,您需要生成一個新的密鑰對。

為了使服務中斷最小化,將密鑰對放入一個新的密鑰庫中,注意使用與以前相同的別名。當您擁有新證書時,只需切換磁碟上的密鑰庫文件。

Tomcat 不會立即重新載入文件。為了觸發重新載入,您需要通過JMX訪問 Tomcat 實例。如果您可以使用sshX 轉發訪問伺服器,只需執行:

jconsole

使用 Tomcat 使用者的憑據。您需要在 MBeans 選項卡上找到一個名為類似的 beanCatalina:type=ThreadPool,name="jsse-nio-443"並執行操作reloadSslHostConfigs

如果不能使用 jconsole,還有其他方式可以訪問 JMX(Tomcat Manager 中也有一個 JMXProxy servlet)。

引用自:https://serverfault.com/questions/991523