一个域上有多个SSL证书

我们使用nginx终止SSL，并每年轮换SSL证书。但是，每当我们轮换时，我们都会向用户发送通知，告知我们将应用更改的日期和时间，并且用户必须在同一时间进行更改。很少有客户使用的企业工具很少，他们需要在信任存储中加载相同的证书

所以我想检查是否有任何方法可以在一个域上临时部署两个证书，比如一周。在这段时间内，两个证书都有效，因此客户可以在这段时间内使用更新的证书。可能是某种证书链接或可以帮助我们解决此问题的东西

PS：如果听起来太愚蠢，我很抱歉，只是想听听别人对这个问题的看法

谢谢，

---

GG

虽然可以向对等方发送任意数量的证书（这是您在发送中间证书时所做的），但与主机名匹配的证书应该是第一个，以下是按正确顺序排列的链证书。客户机不会只查看所有证书，然后选择看起来最好的证书

但是，您应该可以提前向客户端提供新证书，客户端可以将此证书添加到受信任证书列表中，而无需替换旧证书。只要您提供旧证书，客户端就会发现它是可信的，一旦您转到新证书，客户端也会发现它是可信的

---

更好的方法可能是使用您自己的CA颁发所有证书。然后，客户端只需一次即可将此CA安装为受信任的，然后它将自动信任此CA颁发的任何新证书，无论您是每年轮换还是每天轮换。这就是它在浏览器中的工作方式，在浏览器中，google或其他任何东西不需要将新证书发送到所有浏览器，而是由浏览器信任的CA签名。

证书完全绑定到用户在地址栏上键入的FQDN。如果您从Symantec、Digicert、Thawte等公司获得公共SSL证书，则您的客户无需更新其证书存储，因为您是公共证书颁发机构（CA）根证书和中间证书是众所周知的，并且是所有主流操作系统证书存储的一部分。

Stack Overflow是一个解决编程和开发问题的网站。这个问题似乎离题了，因为它与编程或开发无关。请参见帮助中心中的。也许或者会是一个更好的提问的地方。你所说的拥有CA是什么意思？我们使用digicert颁发所有证书，因此，如果digicert被添加为受信任的CA，那么新的证书将自动工作？那么，为什么在您旋转证书时，所有客户端都需要更新其配置？如果他们信任digicert，那么他们应该信任你的新证书，而不需要在他们的网站上进行任何更新。这很酷，很有意义，这就是我的假设。谢谢你的帮助。