情况:我们无法更新客户端设备上的der 文件。并且我们网络服务器上的 SSL 证书即将过期。
是否可以在不替换客户端证书的情况下更新服务器的 SSL 证书?
我们想遵循这个指南:https://www.smashingmagazine.com/how-to-issue-a-new-ssl-certificate-with-an-old-ssl-key/
但是,我们不确定它是否有帮助。
问题是:
der 文件(在客户端)是否仅包含公钥并且使用上面链接中描述的技术更新 SSL 证书是安全的(保持相同的公钥/私钥)。
它是否可以在不替换 der 文件的情况下在客户端设备上运行?或者 der 文件不仅包含 SSL 证书的公钥,还包含一些其他信息?
最佳答案
恐怕,但根据您的原始帖子和说明,客户端会期望从 Web 服务器获得与存储在客户端设备上的 DER 文件中的相同服务器证书。客户端执行精确的二进制副本比较(不仅是公钥)。
任何替换服务器证书的尝试都将导致客户端连接失败。如果您计划更换 Web 服务器上的证书,则还必须更新客户端设备。
不幸的是,有很多有缺陷的 HPKP 实现(老实说,没有看到任何可靠的实现)在更改服务器证书之前工作正常。为了正确处理服务器证书替换,客户端必须能够存储至少两个服务器证书,现有的和新的。下面是高级服务器证书替换过程:
- 提前从 CA 获取新的服务器证书。
- 通过同时包含新证书来更新应用程序。当客户端更新其设备上的应用程序时,客户端应用程序将信任现有证书和新证书。
- 给客户时间在他们的设备上更新应用程序。理想情况下,您应该等到所有客户端都更新了带有更新证书的应用程序版本。
- 更改服务器绑定(bind)中的 SSL 证书。
- 一段时间后,您可以通过从信任库中删除过期的证书来对客户端证书进行另一次更新。
只有这个步骤顺序可以保证不间断的证书固定更新。
关于ssl - 旧客户端的 SSL 证书和具有相同公钥/私钥的新证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53100500/