Миграция SSL-сертификата с одного хоста на другой во время миграции сайта

Предположительно, текущий сертификат, для которого у вас нет доступа к закрытому ключу, был выдан, по крайней мере, с использованием валидации домена (т. Е. Электронное письмо с запросом подтверждения должно было быть отправлено по электронной почте на адрес, с которого домен зарегистрирован, получен через whois).

Когда вы говорите "Наш клиент владеет доменным именем", ключом является обеспечение того, чтобы ваш клиент получал электронные письма со всеми необходимыми контактами (в частности, чтобы эти сообщения не отправлялись на хостинг, который вы хотите Покидать).

Я бы предложил следующий порядок действий (в таком порядке):

• Обратитесь в центр сертификации, выдавший текущий сертификат. Ознакомьтесь со своими условиями, они могут отозвать текущий сертификат и повторно выдать новый сертификат в том же пакете, иногда без дополнительной оплаты.
• В противном случае получите новый сертификат с другим центром сертификации (или, возможно, тем же).

В обоих случаях:

• Вам нужно будет сгенерировать новый запрос сертификата (CSR), который даст вам доступ к закрытому ключу. (В идеале, это то, что должен сделать ваш клиент, если у него есть технический персонал для этого.)
• Вы должны действительно связаться с текущим CA и объяснить ситуацию. Как законный владелец домена (с которым сертификат был предположительно проверен), ваш клиент должен иметь возможность аннулировать текущий сертификат. Вы должны эффективно рассматривать текущий сертификат как скомпрометированный, чтобы любой, у кого есть текущий закрытый ключ, не запускал этот сайт параллельно (хотя, по-видимому, вы по крайней мере изменили DNS на свой новый хост).

Что касается ваших проблем в комментариях:

Они общаются между собой или с удовольствием выдают сертификаты, если их можно установить в течение определенного периода времени? Меня беспокоит то, что мы пойдем и получим еще один SSL-сертификат, и он будет аннулирован, потому что днс не будет переключаться в течение недели или 10 дней после того, как мы установим его на новом сервере.

CA выдаст сертификат для имени хоста, которым вы управляете. Обычно это их дело, чтобы убедиться, что вы контролируете имя хоста по крайней мере (через whois зарегистрироваться), но это не имеет ничего общего с конкретной записью DNS, которая преобразует это имя хоста в IP-адрес. Вы можете изменить IP-адрес и / или не подключать сервер к сети: это не касается CA.

Учитывая, что у нашего клиента есть доменное имя, могут ли они просто перейти к другому провайдеру SSL и получить другой сертификат? (что может помешать мне просто купить ssl-сертификат для какого-то случайного веб-сайта в этом случае) Я беспокоюсь об отзыве и выдаче нового сертификата, если это не удастся сделать в течение нескольких часов. Мы можем позволить себе пару часов простоя в одночасье, но не более того.

Вы можете определенно иметь два разных сертификата для одного и того же имени хоста от двух разных ЦС одновременно. Как правило, имеет смысл переключать провайдера, поскольку вы можете установить только один сервер на данный момент времени. Там не должно быть никаких простоев вообще. (Самое длительное время простоя может возникнуть из-за глобального распространения обновлений DNS при переключении на нового поставщика.)

что остановит меня, просто купив ssl сертификат для какого-то случайного сайта в этом случае?

Это все о том, кто контролирует домен (и для сертификатов EV, есть немного больше документов): проверьте ваш клиент whois запись.

Вы должны быть в состоянии сгенерировать новый ключ ssl и получить новый сертификат, который отвечает на имя хоста, о котором идет речь, если вы контролируете домен dns. Конечные пользователи не заметят это изменение, пока действует новый сертификат ssl - IE, выпущенный центром сертификации, таким как Entrust

Зависит от поставщика SSL.

Вы определенно должны быть в состоянии получить сертификат от хостинг-провайдера (обратитесь к юристам!), Но если это не удастся, некоторые компании центра сертификации отзовут старый и выпустят новый сертификат (с той же датой истечения срока действия) без дополнительной платы.,

Конечно, если хост купил сертификат SSL, а не клиент, он может оказаться не в лучшем положении, чтобы запросить новый сертификат, чем получить текущий.

Если я правильно понимаю ваш вопрос, ваша ситуация такова, что старый хостинг-провайдер не даст вам SSL-сертификат и закрытый ключ, который вы используете в настоящее время? Это кажется ОЧЕНЬ тенистым для меня.
Поработав с поставщиком услуг Интернета /MSP, который занимался хостингом и регистрацией SSL-сертификатов, я не вижу законной причины, по которой они не дали бы вам пару ключей для вашего сертификата (при условии, что ваша учетная запись не имеет задолженностей).

В этом случае я бы сделал два шага:

1. Свяжитесь с центром сертификации, выдавшим исходный сертификат (информация будет доступна, если вы посмотрите на сведения о сертификате в веб-браузере), и сообщите им, что происходит.
   Попросите выдать новый сертификат, но оставить старый действующим до тех пор, пока вы не сообщите им иначе.
   Если они не могут этого сделать, обратитесь в другой центр сертификации и получите новый сертификат.

2. При переносе сайта на новый хост (с использованием нового сертификата) свяжитесь с центром сертификации, выдавшим исходный сертификат, и попросите его посчитать этот сертификат взломанным и отозвать его.
   Это не позволит вашему предыдущему хосту использовать этот сертификат для любой вредоносной деятельности.

Экспортируйте SSL-сертификат с сервера с закрытым ключом и любыми промежуточными сертификатами. Преобразуйте сертификат в другой формат, если вы помещаете его на сервер другого типа. Импортируйте сертификаты SSL и закрытый ключ на новый сервер и настройте свои сайты для их использования.