apache - apache上的SSL续订证书继续使用旧证书文件

Question

我正在尝试更新我的 SSL 证书，但我可能遗漏了一些问题。在我完成以下步骤后，服务器 继续使用旧证书 ，我不知道为什么。
这是我所做的:

创建新的 csr 文件 (domain.csr) + key 文件 (domain.key)

openssl req -new -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr

复制 csr 文件内容并将其粘贴到我的 ssl 提供商 + 获得批准。

从中获取 5 个文件 并将它们上传到服务器 (domain.der,domain.pem
,domain.cer, chain.cer, domain.p7b )

在 apache ssl.conf 文件 上设置，
SSLCertificateFile (domain.cer) SSLCertificateKeyFile (domain.key)。

重启 apache

出于某种原因，我的服务器仍在使用我的旧证书。

是我做错了什么？

Answer 1

好吧，你自己想通了，但如果其他人处于同样的情况，这里有一些你可以检查的事情。

首先通过在服务器上运行以下 openssl 命令在本地检查这是否有效(我们跳过了一个关键步骤!):

openssl s_client -connect localhost:443

这将显示从 Apache 提交给客户端的证书。如果那不是正确的，那么您就知道 Apache 配置有问题。如果它是正确的，那么下游的某些东西就是一个问题。

在您的情况下，您在负载均衡器处终止 SSL 并忘记更改那里的证书。另一个问题可能是浏览器缓存 SSL 证书(重新启动它，Ctrl+F5 强制刷新或更好地尝试另一个浏览器或第三方网站，如 ssllabs.com )。

假设这是 Apache 的问题，那么您需要检查配置以检查证书的所有实例是否已被替换。以下命令将显示所有虚拟主机以及它们的配置:

/usr/local/apache2/bin/apachectl -S

或者，只需使用标准 find 和 grep unix 命令来搜索旧证书或新证书的 Apache 配置:

find /usr/local/apache2/conf -name "*.conf" -exec grep olddomain.cer {} \; -print

这两个命令都假设 apache 安装在/usr/local/apache2 中，但根据需要更改路径。

如果一切看起来都不错并且您确实已经重新启动了 Apache，那么您可以尝试完全停止并重新启动，因为我注意到有时 Apache 的正常重新启动并不总是会选择新的配置。在再次启动 Web 服务器备份之前，请检查您是否无法从浏览器连接(以确保您正在连接到您认为正在连接的服务器)，并且该进程已使用以下命令关闭:

ps -ef | grep httpd

然后终于开始了。

要检查的另一件事是您正在安装的证书是您认为的那个，使用此 openssl 命令打印出证书详细信息(假设证书是 x509 格式，但其他格式也有类似的命令):

openssl x509 -in domain.cer -text

最后但并非最不重要的是检查 Apache 日志文件以查看其中是否有任何错误。虽然预计这意味着没有加载证书，而不仅仅是旧证书。