为了方便,自己弄了个私有的PKI,没想到多年过去,根证书快要到期了,还好看过 Let's Encrypt 更新证书,要平滑轮转的话: 用老根证书 OldCA 把新根证书 NewCA 当作中间证书给签一下得到证书 NewCA2 用 NewCA 签发所有需要的证书文件 example.com.crt 将 example.com.crt 和 NewCA2 合并到一起更新到 nginx 上 此时,无论客户端有 OldCA 还是 NewCA 都可以正常访问 接下来给所有客户端安装新的根证书 NewCA 最后删除 nginx 上的过渡证书 NewCA2 第一步的签署命令用openssl的如下  […]