SLL sertifikaatIN uusiminen käytännössä

[Mato]

Laitoin vuosi sitten Mini-palvelimen (Server 10.6.2) pystyyn (postipalvelin, web ym.) Ssl sertifikaatti on umpeutumassa viikon päästä. Uusimisessa Applen dokumentaatiosta täytyy kyllä käyttää ilmaisua niukka. Aikaisemmasta poiketen kuitenkin graafinen käyttöliittymä näyttäisi toimivan eli tätä ei kai tarvitse tehdä komentoriviltä (?). Applen keskustelusivujen vuodatuksista saa sen käsityksen, että sertifikaattia ei varsinaisesti uusita vaan tehdään aina uusi ja kannattaa käyttää täsmälleen samaa nimeä kuin vanhassa. Mutta kun Applen ohjeiden mukaan vanha eli uusittava sertifikaatti pitäisi sitten korvata raahaamalla uusi sertifikaatti ruutuun (replace certificate with signed or renewed certificate), niin herjaa (luonnollisesti) sitä, että private key on erilainen. Eli nyt minulla on kaksi samannimistä (self-signed) sertifikaattia, joista toinen vanhenee viikon ja toinen 5 vuoden päästä. Riittääkö, että tuon vanhan poistaa kokonaan vai toimiiko jollakin tuo uusiminen ?

[JHirvi]

Eikös sen vanhan keyn voisi myös heittää mäkeen ja laittaa uuden tilalle?

Itse olen tehnyt tuon vain komentorivillä.

Alla joskus aikaa sitten saamani pikaohje. Siinä puhutaan Apachesta, mutta sama proseduuri sopii mihin tarkoitukseen vain.

# Aloitetaan luomalla avain, pituudeltaan 1024 bit
openssl genrsa -out mydomain.com.key 1024

# Seuraaksi sorvataan kysely joka ei taida olla valttamatta pakollinen
openssl req -new -key mydomain.com.key -out mydomain.com.csr

# Viimeiseksi tehdaan varsinainen sertti 365 paivaa ja rukataan luottamusta lisaa
openssl x509 -req -in mydomain.com.csr -extfile openssl.cnf -extensions v3_ca -signkey mydomain.com.key -out mydomain.com.crt -days 365 -trustout

# Sitten kaikki /etc/httpd/conf/ssl.*** hakemistoihin kohdalleen ja serverin uudelleen kaynnistys.