更新SSL證書是否需要重新頒發證書？

Question

我有一個SSL證書，用於保護在Ubuntu上運行的nginx服務器上的端口443（HTTPS）大約10個月。

當我買了證書，我得到了一年，所以我有大約2個月的證書。 我的問題是：「當我續簽此證書時，是否需要支付續訂費用？還是必須重新頒發新CSR的證書，並且在安裝期間有潛在停機時間？

我需要從現在開始計劃對任何停機時間。提前

謝謝您的回答。

Answer 1

一旦發佈，就不可能延長現有證書的到期日期。唯一的辦法是頒發新證書。

大多數證書頒發機構提供了「更新」概念，與新購買相比，它提供了一些優勢。例如，您可以提前續訂證書到期，他們將從前一個到期發出新證書，而不是從新證書籤發之日起。

重新發行或重新密鑰是不同的事情。它通常意味着使用不同的私鑰和/或CSR重新鍵入現有的證書訂單。它通常不會更改證書的到期日，因此它不是續約。更新和重新生成一個新的證書（再次，不可能一旦發佈就更改現有的證書），但重新生成密鑰僅更改證書信息而不是過期。

可以使用相同的原始CSR和密鑰或使用全新的CSR進行更新。隨你便。

由於在所有情況下都會頒發新證書，因此您必須更換現有證書。更換證書通常是非停機時間任務。您只需上傳新服務器，更改服務器設置並重新加載它們（或重新啓動服務器）即可。

包括Nginx在內的大多數網絡服務器都支持熱重新加載，因此您不需要重新啓動服務器並等待它重新啓動。

如果計劃正確，續訂將是非停機時間任務。

Answer 2

要獲得新的，你可能會或可能不會需要提交新的CSR，取決於CA.但在任何情況下，你獲取新的證書文件，並需要用新的證書文件替換服務器上的現有證書。另請參見 https://www.digicert.com/ssl-certificate-renewal.htm

Answer 3

SSL證書的更新可確保您網站上的安全以及您的驗證身份。更新失敗可能會在您的網站上發出警告，並警告您的客戶離開您的網站。

它依賴於SSL提供商，您應該繼續使用舊的CSR或生成新的CSR，但建議您創建一個新的來解決錯誤配置。但是，您的服務器在更新SSL證書時將面臨停機時間，這是一個神話。

證書更新和重新發放都是不同的條款。證書更新發生在證書到期之後，而證書重新發放時，如果丟失私鑰，則要更改域/組織名稱或添加新的SAN名稱。

大多數證書提供商經常在證書到期前發送續訂提醒電子郵件。因此，建議您儘早更新證書，您可以利用從提前續訂獲得額外的有效期。

本文可能會幫助您瞭解證書更新過程。 https://www.ssl2buy.com/wiki/how-to-renew-ssl-certificate/

Answer 4

即將回答，不更新SSL證書不需要重新頒發證書，只是因爲重新簽發和續訂是兩種不同的SSL證書操作。

正如你解釋你的情況，你留下2個月與您現有的證書，並在此之後，它將到期，所以需要更新。重發（撤銷&替換）是完全不同的，因爲您因任何理由和新請求而取消當前有效的SSL/TLS證書。

補發：

補發證書就是證明有必要時要與證書頒發機構的再生過程。例如，如果你丟失了你的私鑰。爲此，CA從證書列表中查看證書的詳細信息，然後重新頒發證書。

此外，過程與激活將發生類似的方式非常相似，例如粘貼相同域名的CSR，選擇批准電子郵件的&。重新發放證書更改其證書ID &新的證書記錄也添加到帳戶中。

更新：

在證書的另一方面續約可能看起來幾乎一樣購買新的證書，但它是不同的。更新功能完全集成在模塊中。如果在創建產品時將「付款類型」設置設置爲「重複發生」，則會自動生成續訂發票。一旦付款，SSL證書的續訂也將自動創建。雖然有一點需要注意的是，在SSL更新後仍然需要通過CSR激活。

現在一件重要的事情是，如果您在實際到期日期前續約，例如您在2個月前的情況下，新證書的到期日期將有一個（或多個），如果您選擇的持續時間超過一年）從最初的SSL證書到期日算起，所以您不會失去任何時間。