Как сделать плавным переход на Let's Encrypt?

[papakota]

Здравствуйте,

У меня LAMP на Ubuntu 14.04
Почти год назад я установил SSL (TLS 1.2) сертификат для веб сервера, чтоб мой сайт работал только с протоколом HTTPS. 8 октября старый сертификат закончится. Я теперь хочу начать пользоваться Let's Encrypt'ом. У них есть неплохие объяснялки и я надеюсь у меня всё нормально получится. Но я не знаю, как правильно в моем случае будет поступить. То ли мне надо обязательно сначала дождаться пока мой старый сертификат не закончится. То ли не ждать и как можно скорей перейти на новый. И что тогда делать со старым? Как от него избавиться? Ведь, наверное, так нельзя, чтобы и старый, и новый вместе функционировали параллельно? Короче говоря, слишком много чего мне неясно.

[MrClon]

Какие-нибудь штуки вроде certificate pinning настроены? Если нет то можно просто заменить сертификат. let's encryptом можно при желании подписать ключ от старого сертификата, что-бы public key pinning не возбуждался (если он есть).
Тянуть с переходом не стоит, лучше оставить себе время на манёвры и решение проблем, чем лихорадочно разбираться с неожиданной траблой за пять минут до протухания сертификата.
Старый сертификат сохрани как минимум до момента его протухания, на всякий случай. Когда будет понятно что он уже точно не понадобится (скажем после успешного перехода на let's encrypt и протухания старого сертификата) его по хорошему стоит удалить.

[papakota]

Да нет, ничего особенного я не делал со старым сертификатом. Собственно, я не настолько во всем этом разбираюсь, чтобы что-то еще делать. Я рад, что хоть всё нормально работает уже почти год в этом плане.

А в каком порядке лучше всё делать? Сначала удалить старые файлы? Я в свое время положил crt и root_bundle.crt в директорию /etc/ssl/certs и .key файл в директорию /etc/ssl/private Кроме физического удаления этих файлов, что-то еще надо делать, чтобы полностью избавиться от старого сертификата? Например, может в терминале какую команду ввести? К примеру, когда я устанавливал год назад старый сертификат, я вводил тогда длинную команду, начинающуюся с «openssl req -new -newkey и т.д. и т.п» А уже потом устанавливать Let's Encrypt?

К примеру, у меня в файле /etc/apache2/sites-available/000-default.conf стоит ссылка на те 3 файла, о которых я писал выше в строках, где «SSLCertificateFile», «SSLCertificateKeyFile» и «SSLCertificateChainFile» Как с этим всем быть?

[Bizdelnick]

Сначала получите новый сертификат, а потом уже занимайтесь перенастройкой.

[papakota]

Сначала получите новый сертификат, а потом уже занимайтесь перенастройкой.

Вы имеете в виду, что покамест физически ничего не удалять (в смысле файлов старого сертификата) и не трогать эти ссылки на них в этом файле:

/etc/apache2/sites-available/000-default.conf

SSLCertificateFile /etc/ssl/certs/my_domain.com.crt
SSLCertificateKeyFile /etc/ssl/private/my_domain.com.key
SSLCertificateChainFile /etc/ssl/certs/root_bundle.crt

[Bizdelnick]

Да, не надо ничего физически удалять. Получите новый сертификат, положите файлы рядом со старыми, исправьте пути в конфиге и перезапустите сервис. Всё.

[papakota]

Ясно, спасибо!