更新 SSL 證書需要新的 CSR

我在 Centos 上有一個可用的 Tomcat 應用程序，它使用即將到期的 SSL 證書。

我使用 keytool 創建了一個 CSR：

keytool -certreq -keyalg RSA -alias my_alias -keystore keystore.jks -file nov19.csr

然後將 CSR 粘貼到 Gandi 以獲取新的 SSL 證書。

然而，Gandi 現在堅持要我提供一個新的（即不同於上次更新的）CSR。

所以我理解這意味著我必須生成一個新的私鑰/公鑰對 - 這是正確的嗎？

如何在不中斷對應用程序的訪問的情況下執行此操作？

是的，您需要生成一個新的密鑰對。

為了使服務中斷最小化，將密鑰對放入一個新的密鑰庫中，注意使用與以前相同的別名。當您擁有新證書時，只需切換磁碟上的密鑰庫文件。

Tomcat 不會立即重新載入文件。為了觸發重新載入，您需要通過JMX訪問 Tomcat 實例。如果您可以使用sshX 轉發訪問伺服器，只需執行：

jconsole

使用 Tomcat 使用者的憑據。您需要在 MBeans 選項卡上找到一個名為類似的 beanCatalina:type=ThreadPool,name="jsse-nio-443"並執行操作reloadSslHostConfigs。

如果不能使用 jconsole，還有其他方式可以訪問 JMX（Tomcat Manager 中也有一個 JMXProxy servlet）。

引用自：https://serverfault.com/questions/991523