將apache2 SSL切換到下一年的證書的最佳做法

Question

從去年的SSL證書切換到下一年的最佳做法是什麼？是否有可能在同一站點/ IP的啓用站點配置中聲明兩個證書？

如果我必須在證書過期前一分鐘手動開關，那麼是否有任何腳本或提示可以在Linux（ubuntu）中自動執行？

我有一個標準的設置與虛擬主機聲明當前證書

SSLEngine on 
    SSLCertificateFile ...crt.2012 
    SSLCertificateKeyFile ...key.2012 

Answer 1

通常你希望你的新證書具有開始舊的有效期結束前一段時間的有效期。這樣，您有時間更改SSLCertificateFile（和SSLCertificateKeyFile，如果需要的話），做一個優雅的重新加載和測試。如果某些東西不能正常工作，則可以進行回滾（因爲舊證書仍然有效），並且如果需要可能會發布新證書。