Instalowanie certyfikatu SSL do użytku w IIS7, instalacja „działa”, ale lista certyfikatów znika

13

Windows Server 2008 R2, IIS7. Mamy certyfikat SSL od Go Daddy. Jest to znak wieloznaczny, więc będzie działał w subdomenach (np. * .Domain.com). Postępowałem zgodnie z instrukcjami podanymi na stronie http://support.godaddy.com/help/article/4801/installing-an-ssl-certificate-in-microsoft-iis-7 w celu zainstalowania certyfikatu. Przechodzę do kroku IIS, w którym:

  • Kliknij opcję „Certyfikaty bezpieczeństwa”, gdy serwer zostanie wybrany w lewym okienku
  • Kliknij „Zakończ żądanie certyfikatu”
  • Przejdź do pliku .crt w systemie plików
  • Nadaj mu „przyjazną” nazwę, kliknij „Zakończ”

Certyfikat zostanie teraz wymieniony w głównym okienku tego panelu „Certyfikaty serwera”. Ale jeśli odświeżę stronę lub przejdę i wrócę, zniknie. I certyfikat nie jest wymieniony jako realne powiązanie podczas próby powiązania witryny z https.

Wydaje się to dość prostym procesem, ale najwyraźniej czegoś mi brakuje. Jakieś pomysły?

EDYCJA: Znalazłem ten post, co sugeruje, że takie zachowanie występuje, gdy próbujesz użyć certyfikatu pośredniego. Kiedy pobierałem pliki z GoDaddy, w pliku zip były 2. 1 to gd_iis_intermediates, drugi został nazwany dla domeny. Zainstalowałem domenę pierwszą (rozszerzenie .crt). Wydaje się, że nie ma innej opcji - instalacja drugiej z IIS powoduje błąd „Nie można znaleźć żądania certyfikatu powiązanego z tym plikiem certyfikatu. Żądanie certyfikatu musi zostać zakończone na komputerze, na którym żądanie zostało utworzone”.

Biorąc to pod uwagę, wydaje się, że nie ma innego pobrania, którego mógłbym użyć.

Wspomniano także w komentarzach (i gdzie indziej po googlowaniu) o „eksportowaniu” certyfikatu jako pliku pfx i jego instalacji. Ale nie mogę wymyślić, jak go wyeksportować - nawet przez certmgr.msc.

Powinienem również wspomnieć, że ten certyfikat jest zainstalowany na innym komputerze z uruchomionym IIS6 (ta instalacja IIS7 ma być przełączeniem awaryjnym oraz podstawowym podczas aktualizacji IIS6 do IIS7). Ale nie umiem też wyeksportować go z tego komputera.

Matt
źródło

Odpowiedzi:

5

Certyfikatu nie można eksportować, więc nie mogłem skorzystać z sugestii Robertsa. Ostatecznie musiałem ponownie wygenerować certyfikat na stronie zarządzania kontem Go Daddy i ponownie zainstalować go na obu serwerach. Niektóre opcje kreatora instalacji na IIS6 były dla mnie wyszarzone, a moja pierwsza próba na tym serwerze nie powiodła się. Skończyłem instalowanie certyfikatu na nowym serwerze (IIS7), a następnie eksportowanie tego certyfikatu w formacie .pfx, a następnie importowanie tej wersji do instalacji IIS6. W tym momencie wszystko zaczęło działać.

Matt
źródło
1

Spróbuj wyeksportować certyfikat z serwera IIS6, postępując zgodnie z następującymi instrukcjami: http://www.sslshopper.com/move-or-copy-an-ssl-certificate-from-a-windows-server-to-another-windows-server. HTML

To zapewni, że certyfikat ma klucz prywatny.

Robert
źródło
Opcja wyeksportowania klucza prywatnego jest wyszarzona, co oznacza, że ​​oznaczono go jako „nieeksportowalny”
Mat.
Pomyśl o tym, fakt, że został on oznaczony jako nieeksportowalny, jest prawdopodobnie przyczyną, dla której ten certyfikat nie został migrowany podczas migracji msdeploy serwera ... hmm
Matt
Jeśli nie możesz znaleźć serwera, na którym certyfikat można eksportować, musisz wygenerować nowy raport CSR i poprosić GoDaddy o ponowne wydanie / ponowne wprowadzenie klucza, aby uzyskać nowy pasujący certyfikat.
Robert
1

spróbuj zaimportować do pośrednich magazynów certyfikatów. Jeśli zobaczysz tam certyfikat, zobaczysz, że „masz klucz prywatny, który odpowiada temu certyfikatowi”. Po prostu wyeksportuj do .pfx, a następnie zaimportuj do IIS. Pracował dla mnie :)

Jonson
źródło
0

Odkryłem, że problem można odtworzyć po zainstalowaniu certyfikatu liścia w pośrednich urzędach certyfikacji. Usunięcie go (i pozostawienie dowolnego pośredniego, jeśli dotyczy), a następnie ukończenie kreatora rozwiązuje problem.


źródło
0

Wpadłem również na ten problem. Ponowne odtworzenie certyfikatu rozwiązało problem, ale powodem było to, że korzystałem z certyfikatu UCC, a współczynniki SAR zostały zmienione PO ostatnim kluczowaniu certyfikatu. Ponowne wpisanie klucza ponownie rozwiązało problem. Spędziłem 2 godziny na telefonie z technologią, zanim się zorientowałem <:(

gillonba
źródło
0

O ile mogę stwierdzić, że mam dzisiaj te problemy, jeśli masz certyfikat z wieloma sieciami SAN (lub chyba symbolem wieloznacznym) i zarządzasz wieloma serwerami, musisz ponownie uruchamiać program Godaddy za każdym razem, gdy instalujesz na innym komputerze.

Jest to dość łatwe - wygeneruj CSR (szyfrowanie 2048 bitów), wklej go na stronie Rekey w Godaddy, a następnie możesz pobrać nowy certyfikat. Nie trzeba czekać na zatwierdzenie.


źródło
Nie, nie trzeba ponownie uruchamiać się, aby zainstalować na różnych komputerach. Zaimportuj do komputera, z którego wygenerowałeś CSR (upewnij się, że importujesz certyfikat pośredni przed zaimportowaniem pliku .crt), a następnie eksportuj do pliku .pfx i możesz zaimportować do innych.
Rory
0

Miałem dzisiaj ten sam problem i naprawiłem go, naprawiając magazyn kluczy i podając numer seryjny certyfikatu publicznego. Zobacz moją odpowiedź tutaj lub przejdź bezpośrednio do tego linku, który wyjaśnia, jak naprawić magazyn kluczy

drizin
źródło