旅行的記憶

工作上一個需求，要更換某個域名的 SSL 憑證。

由於時間緊迫，先用簡單但未必是正統的方式處理，記錄一下。

首先搞懂拿到的 SSL 憑證檔案的組成：有一把 key 和一個 crt 檔案。

服務 ㄈㄈㄈㄈㄈ 的介面是要先把檔案上傳上去，上傳 key 和 crt 時要提供放在 ㄈㄈㄈㄈㄈ 上面的名字，兩者檔名要一樣但副檔名要留著，會自己把 crt 和 key 組成同一組設定。

另一個服務 ㄈㄈㄈ 的介面比較舊，原本拿到的 key 和 crt 因為是 ECDSA 格式，太新了不支援；重新拿到 RSA 格式的 key 和 crt 以後上傳時， ㄈㄈㄈ 上面的名字反而不能輸入副檔名 (.crt, .key) 。

接下來處理 GCE ;。

首先把 https proxies 列出來：

  
gcloud compute target-https-proxies list

  
xxxxx
SSL_CERTIFICATES: xxxxx
xxxxx

把新的憑證傳到 GCP 上：

  
gcloud compute ssl-certificates create yyyyy \
  --certificate=new.crt \
  --private-key=new.key

然後把原本用到即將到期的憑證的服務指過去新的憑證：

  
gcloud compute target-https-proxies update zzzzz
  --ssl-certificates=yyyyy

再來要換的是服務ㄏ上面的憑證，意外的簡單：把 crt 和 key 用 Visual Studio 打開來，複製貼上到對應的儲存格，儲存等生效。

最後是換掉 GKE 上的憑證，採取的是貍貓換太子的手法。

檢查的步驟倒是都一樣：找到服務對應的子域名，用 curl -Iv 去看憑證是否生效；或者直接用 Chrome 打開域名中的已知網頁，然後按 Chrome 放在網址前的按鈕檢查憑證。