不同服务器上单个域的多个SSL证书

我们的网站由托管公司HA在共享托管计划中的域D下托管。我想将托管服务提供商改为HB公司，并愿意为此目的购买新的SSL证书。我明确不想迁移现有证书，因为我无权访问HA上的服务器。

我的问题是，对于相同的域D，HA和HB能否同时具有独立的证书？

如果是这样，我将域切换到HB后，新站点是否可以在SSL下无缝运行，还是必须以某种方式在HA上“取消注册”证书才能在HB上安装新证书？

使用沼泽标准SSL，就可以了。HA提供经过有效签名的旧证书，并且使用来自DNS的旧A记录并连接到该服务器的客户端将继续接受它。HB将提供新证书，获得新A记录的客户将连接到该证书并接受新证书。他们可以和平共处。

也就是说，SSL的某些扩展可能会使此操作更加棘手。诸如SSL Patrol之类的浏览器插件（用于缓存SSL证书）将标记更改，并且如果客户端在验证新记录后（如果用户将笔记本电脑从工作场所（旧DNS）移至新环境）不够幸运而无法获得旧记录。网吧（新的DNS），然后恢复工作），该插件会发出抱怨。

我想起了另一个分布式系统，该系统允许多个用户通过合并在任何给定服务器上看到的证书的许多客户端视图来避免MITM认证攻击。尽管我现在找不到对此的引用，但这绝对会导致您的方案出现问题。

但是这些还不是很普遍，所以您可能会没事的。

完全可能同时为同一主机名拥有两个单独的证书。例如，当您需要续订证书时，您希望在旧证书过期之前获得新证书，并且您不希望旧证书在安装新证书之前失效。

确切的操作方式取决于购买证书的CA。我曾与Verisign合作；他们可以选择在到期后90天内订购更新（“更新的”）证书。如果您的CA这样做，我建议您只要在允许的时间范围内简单地更新证书即可。这样做的好处是，旧证书过期后将停止工作。

否则，您将需要订购新证书，该证书可能会替换旧证书，从而将旧证书标记为无效（但由于大多数浏览器不进行检查，因此它仍然适用于大多数用户）。但是您的CA应该能够为您提供建议。