Встановлення SSL-сертифіката для використання в IIS7, установка "працює", але список cert зникає

13

Windows Server 2008 R2, IIS7. У нас є сервер SSL від Go Daddy. Це символічна карта, тому вона буде працювати в субдоменах (наприклад, * .domain.com). Я дотримувався інструкцій, розміщених на веб-сторінці http://support.godaddy.com/help/article/4801/installing-an-ssl-certificate-in-microsoft-iis-7 щодо встановлення сертифіката. Я переходжу до кроку IIS, де:

  • Клацніть на "Сертифікати безпеки", коли сервер обраний у лівій області
  • Натисніть "Повний запит на сертифікат"
  • Перейдіть до файлу .crt у файловій системі
  • Дайте йому "дружнє" ім'я, натисніть кнопку "Завершити"

Серт потрапляє до списку на головній панелі цієї панелі "Сертифікати сервера". Але, якщо я оновлю сторінку або перейду назад і повернусь, вона пропала. І cert не вказаний як життєздатне зв'язування при спробі прив’язати сайт до https.

Це здається досить прямим вперед процесом, але явно щось тут мені не вистачає. Будь-які ідеї?

EDIT: Я знайшов цю публікацію, яка, начебто, означає, що така поведінка відбувається, коли ви намагаєтесь використовувати проміжний сертифікат. Коли я завантажував файли з GoDaddy, у zip-файлі було 2. 1 був gd_iis_intermediates, інший був названий для домену. Я встановив домен один (розширення .crt). Здавалося, не існує жодного іншого варіанту - встановлення іншого з IIS видає помилку "Неможливо знайти запит на сертифікат, пов'язаний з цим файлом сертифікатів. Запит на сертифікат повинен бути виконаний на комп'ютері, де створено запит".

Незважаючи на це, схоже, не існує жодної іншої завантаження, яку я можу використовувати.

У коментарях (і в інших місцях після гуглінгу) також згадувалося про "експорт" cert як pfx та встановлення цього. Але я не можу зрозуміти, як його експортувати - навіть через certmgr.msc.

Я також повинен зазначити, що цей серт встановлений на іншому комп'ютері під керуванням IIS6 (ця інсталяція IIS7 призначена для відмови, плюс первинна, коли ми оновлюємо IIS6 до IIS7). Але я не можу зрозуміти, як експортувати його з цього комп'ютера.

windows-server-2008  iis-7  ssl  ssl-certificate 
Метт
джерело

Відповіді:

5

Сертифікат не можна експортувати, тому я не зміг використати пропозицію Робертса. Зрештою, мені довелося переробити сертифікат на сторінці управління обліковим записом Go Daddy та встановити його на обох серверах знову. Деякі параметри під час роботи майстра встановлення на IIS6 були для мене сірими, і моя початкова спроба на цьому сервері не вдалася. Я закінчив встановити сертифікат на новому сервері (IIS7), а потім експортував цей сертифікат у форматі .pfx, а потім імпортував цю версію в установку IIS6. У цей момент все почало працювати.

Метт
джерело
1

Спробуйте експортувати сертифікат з сервера IIS6, скориставшись цими інструкціями: http://www.sslshopper.com/move-or-copy-an-ssl-certificate-from-a-windows-server-to-another-windows-server. html

Це забезпечить наявність у сертифіката приватного ключа.

Роберт
джерело
Варіант експорту приватного ключа недосвідчений, кажучи, що він був позначений як "неможливо виконати"
Метт
Подумайте, факт, що він був позначений як незрозумілий, ймовірно, тому цей сертифікат не перемістився під час міграції msdeploy сервера ... хм
Мт
Якщо ви не в змозі знайти сервер, на якому сертифікат експортується, вам потрібно буде створити новий CSR і перезапустити / повторно ввести GoDaddy, щоб отримати новий відповідний сертифікат.
Роберт
1

спробуйте імпортувати до проміжних магазинів сертифікатів. Якщо ви переглянете там сертифікат, то виявите, що "у вас є приватний ключ, який відповідає цьому сертифікату". Просто експортуйте в .pfx, а потім імпортуйте в IIS. Для мене працювали :)

Джонсон
джерело
0

Я виявив, що проблема може бути відтворена, коли листовий сертифікат встановлено в межах органів проміжних сертифікацій. Видалення його (і залишення будь-якого реального проміжного, якщо це можливо), а потім завершення роботи майстра виправляє проблему.

0

Я також зіткнувся з цим питанням. Повторне введення cert вирішило проблему, але причиною було те, що я використовував kert UCC, і SAR були змінені ПІСЛЯ, коли cert востаннє був повторно введений. Повторна клавіша cert знову вирішила проблему. Я провів 2 години по телефону з технікою, перш ніж дізнався, що це <:(

гіллонба
джерело
0

Наскільки я можу сказати з цих проблем сьогодні, якщо у вас є сертифікат з декількома SAN (або, мабуть, підстановка) та запущено декілька серверів, вам потрібно переробляти в Godaddy кожен раз, коли ви встановлюєте на іншу машину.

Це досить просто - згенеруйте CSR (2048 бітове шифрування), вставте його на сторінку Rekey в Godaddy, а потім можете завантажити новий серт. Немає очікування затвердження.

Ні, вам не потрібно повторно встановлювати для встановлення на різних машинах. Імпортуйте в машину, з якої було створено CSR (переконайтесь, що ви імпортуєте проміжний сертифікат перед імпортом .crt), потім експортуйте до .pfx і можете імпортувати в інші.
Рорі
0

У мене була така ж проблема сьогодні, і виправили її, відремонтувавши сховище ключів та надавши порядковий номер публічного сертифіката. Дивіться мою відповідь тут або перейдіть за цим посиланням, де пояснюється, як відремонтувати магазин ключів

дризин
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.