Установка SSL-сертификата для использования в IIS7, установка «работает», но список сертификатов исчезает

13

Windows Server 2008 R2, IIS7. У нас есть сертификат SSL от Go Daddy. Это сертификат с подстановочными знаками, поэтому он будет работать во всех поддоменах (например, * .domain.com). Я следовал инструкциям, расположенным по адресу http://support.godaddy.com/help/article/4801/install-an-ssl-certificate-in-microsoft-iis-7 для установки сертификата. Я попадаю на шаг IIS, где я:

  • Нажмите на «Сертификаты безопасности», когда сервер выбран в левой панели.
  • Нажмите «Полный запрос сертификата»
  • Перейдите к файлу .crt в файловой системе.
  • Дайте ему "дружественное" имя, нажмите "Готово"

Сертификат теперь отображается в главной панели этой панели «Сертификаты сервера». Но если я обновлю страницу или уйду и вернусь, она исчезнет. И сертификат не указан в качестве жизнеспособной привязки при попытке привязать сайт к https.

Это кажется довольно простым процессом, но я явно что-то здесь упускаю. Есть идеи?

РЕДАКТИРОВАТЬ: я нашел этот пост, который, кажется, подразумевает, что такое поведение происходит, когда вы пытаетесь использовать промежуточный сертификат. Когда я скачал файлы с GoDaddy, их было 2 в zip-файле. 1 был gd_iis_intermediates, другой был назван для домена. Я установил домен один (расширение .crt). Похоже, не было никакой другой опции - установка другого из IIS выдает ошибку «Не удается найти запрос сертификата, связанный с этим файлом сертификата. Запрос сертификата должен быть выполнен на компьютере, где был создан запрос».

При этом, похоже, нет другой загрузки, которую я могу использовать.

В комментариях (и в других местах после поиска в Google) также упоминалось об «экспорте» сертификата в формате pfx и его установке. Но я не могу понять, как его экспортировать - даже через certmgr.msc.

Я должен также упомянуть, что этот сертификат установлен на другом компьютере под управлением IIS6 (эта установка IIS7 предназначена для переключения при отказе, плюс основная, когда мы обновляем IIS6 до IIS7). Но я не могу понять, как экспортировать его с этого компьютера.

windows-server-2008 iis-7 ssl ssl-certificate Matt
источник

Ответы:

5

Сертификат нельзя было экспортировать, поэтому я не смог воспользоваться предложением Робертса. В конечном итоге мне пришлось заново ввести сертификат на странице управления учетной записью Go Daddy и снова установить его на обоих серверах. Некоторые параметры мастера установки на IIS6 были недоступны для меня, и моя первоначальная попытка на этом сервере не удалась. В итоге я установил сертификат на новом сервере (IIS7), а затем экспортировал этот сертификат в формате .pfx, а затем импортировал эту версию в установку IIS6. В этот момент все начало работать.

Matt
источник
1

Попробуйте экспортировать сертификат с сервера IIS6, используя следующие инструкции: http://www.sslshopper.com/move-or-copy-an-ssl-certificate-from-a-windows-server-to-another-windows-server. HTML

Это гарантирует, что сертификат имеет закрытый ключ.

Роберт
источник
Параметр экспорта закрытого ключа недоступен, поскольку он помечен как «неэкспортируемый»
Мэтт,
Если подумать, то, что он был помечен как неэкспортируемый, возможно, поэтому этот сертификат не был перенесен во время миграции сервера msdeploy ... хмм
Мэтт
Если вы не можете найти сервер, на котором сертификат может быть экспортирован, вам нужно будет сгенерировать новый CSR и попросить GoDaddy переиздать / повторно набрать его, чтобы получить новый соответствующий сертификат.
Роберт
1

Попробуйте импортировать в промежуточные хранилища сертификатов. Если вы посмотрите сертификат там, вы обнаружите, что «у вас есть закрытый ключ, соответствующий этому сертификату». Просто экспортируйте в .pfx, затем импортируйте в IIS. Работал для меня :)

Jonson
источник
0

Я обнаружил, что проблема может быть воспроизведена, если листовой сертификат был установлен в промежуточных центрах сертификации. Удаление его (и оставление любого реального промежуточного звена, если применимо), а затем завершение мастера устраняет проблему.


источник
0

Я столкнулся с этой проблемой также. Повторное использование сертификата решило проблему, но причина была в том, что я использовал сертификат UCC, и SAR были изменены ПОСЛЕ того, как сертификат был последний раз изменен . Повторный ввод сертификата снова решил проблему. Я провел 2 часа на телефоне с техником, прежде чем я узнал об этом <:(

gillonba
источник
0

Насколько я могу судить по сегодняшним проблемам, если у вас есть сертификат с несколькими сетями SAN (или, я полагаю, подстановочный знак) и несколько серверов, вам необходимо повторно вводить ключ в Godaddy при каждой установке на другой компьютер.

Это достаточно просто - сгенерируйте CSR (2048-битное шифрование), вставьте его на страницу Rekey в Godaddy, и вы сможете загрузить новый сертификат. Там нет ожидания для одобрения.


источник
Нет, вам не нужно повторно вводить ключ для установки на разные машины. Импортируйте в машину, из которой вы сгенерировали CSR (убедитесь, что вы импортировали промежуточный сертификат перед импортом .crt), затем экспортируйте в .pfx, и вы сможете импортировать в другие.
Рори
0

У меня была та же проблема сегодня, и я исправил ее, исправив хранилище ключей и предоставив серийный номер общедоступного сертификата. Смотрите мой ответ здесь или перейдите непосредственно по этой ссылке, которая объясняет, как восстановить хранилище ключей

drizin
источник