Forum IT Tranquillo

Salve,

il certificato SSL del mio server WAPT sta per scadere.
A causa di un cambio di provider, il nuovo certificato che ho ottenuto non proviene dalla stessa autorità di certificazione del primo (generato due anni fa).

Come posso installare questo nuovo certificato sul mio server senza perdere la connessione con i miei client WAPT?

Attualmente, sto verificando il certificato del server utilizzando un bundle di certificati contenente le CA del vecchio provider...

Grazie per l'aiuto.

Peccato, nessuna risposta.
Quindi risponderò io stesso (potrebbe essere utile a qualcun altro).

Il mio piano:

proverò a distribuire un pacchetto che disabilita il pinning (verify_cert = 1) sui client.
Dato che i certificati non sono autofirmati, manterrò una crittografia SSL valida.

Una volta che questa modifica sarà propagata a tutti i client, cambierò i certificati della mia nuova CA sul mio server WAPT e verificherò che tutto continui a comunicare correttamente.

Cordiali saluti,

La procedura ha funzionato correttamente; fortunatamente avevo una o due settimane per implementare la nuova configurazione sui client, altrimenti, con il certificate pinning e la modifica della CA, la perdita di connessione con tutti i client sarebbe stata inevitabile.


Attenzione al bundle di certificati in nginx :
il bundle di certificati pubblici (/opt/wapt/waptserver/ssl/cert.pem) deve includere, in ordine, prima il certificato del server, poi i certificati intermedi e infine il certificato radice. Il mio provider (GEANT) li ha forniti in ordine inverso.

La mia conclusione personale: niente certificate pinning se si utilizzano certificati validi (non autofirmati).