Заменить старый сертификат SSL в IIS6

9

Я должен обновить свой сертификат SSL для IIS6 на Windows 2003 Server. Поставщик (Thawte) говорит мне, что мой запрос на подпись сертификата не подлежит повторной отправке, что означает, что мне нужно сгенерировать запрос на новый сертификат. Однако в диспетчере IIS, если у меня установлен текущий сертификат, единственные параметры:

  • Обновить текущий сертификат
  • Удалить текущий сертификат
  • Заменить текущий сертификат
  • Экспортируйте текущий сертификат в файл .pfx
  • Скопируйте или переместите текущий сертификат на сайт удаленного сервера.

Я думал, что «Заменить» будет очевидным вариантом, но он не дает мне выбора для создания нового запроса на замену текущего сертификата; Я могу выбирать только между уже установленными сертификатами на сервере. Если я «удалю» текущий сертификат, чтобы запросить новый, приведет ли это к тому, что моим клиентам сразу скажут, что мой сервер не защищен? Или я неправильно понимаю документацию Thawte, и я действительно могу продлить? Я обновлял сертификаты в прошлом, и я не могу себе представить, что нет никакого способа сделать это без нарушения статуса «SSL secure». Заранее спасибо.

ssl iis-6 kcrumley
источник

Ответы:

15

Я пытался сделать обновление на основе существующих ранее, и это всегда приводило к небольшому беспорядку (в моем случае это было с Verisign, но я не могу представить, что процесс Thawte работает намного лучше, хотя я полностью готов обвинить мое собственное невежество SSL в то время). Во всяком случае, способ, который мы разработали, заключается в следующем:

  • Создать временный сайт в IIS. Назовите это «продлением SSL» или как-то еще - он никогда не увидит Интернет, поэтому это не имеет большого значения.

  • Создайте CSR для нового сайта, используя ТОЧНО те же параметры, что и для сертификата вашего реального сайта; название сайта, орг. информация, длина ключа, все.

  • Пройдите процесс обновления Thawte, предоставив вам новый блестящий CSR.

  • Когда вы получите обратно подписанный ответ, обработайте и установите его на временную. сайт. Сертификат теперь находится в хранилище сертификатов локальной учетной записи компьютера, так что IIS может увидеть его - посмотрите, куда мы идем с этим?

  • Теперь, когда новый сертификат установлен, перейдите в свойства SSL реального сайта и выберите «заменить текущий сертификат». В списке используемых сертификатов вы должны увидеть свой новый. Выберите его, и все готово. Не стесняйтесь удалить старый после этого, и не забудьте сделать резервную копию вашего сертификата и закрытого ключа!

    • RainyRat
    источник
    Нет проблем - я хотел бы, чтобы этот сайт был рядом, когда я столкнулся с этой проблемой ...
    RainyRat
    Спасибо за этот пост. Как раз то, что мне было нужно, и это прекрасно работало.
    Hondalex
    Этот вопрос возник как предложение, когда я начал писать свой собственный вопрос по теме, и это был мой ответ.
    pjmorse
    6

    Этот KB на веб-сайте comodo описывает, как это сделать:

    По сути, вы будете заново создавать свой сайт в IIS и генерировать запрос от него. Затем вы удаляете его и заменяете сертификат на своем текущем сайте.

    MathewC
    источник
    Спасибо. Извините, пришлось выбрать более подробный ответ, хотя они оба говорят в основном одно и то же.
    kcrumley
    1
    Это отстой. Я ответил первым. Я мог бы вырезать и вставить текст в Интернете, но дал кредит, где это было необходимо.
    MathewC
    Правильно, и если бы я выбрал твой, я бы оценил немного более быстрый ответ по сравнению с личным одобрением техники, с большим количеством усилий, вложенных в нее. Ни один из способов не идеален. Я дал тебе голос.
    kcrumley