ssl сертифікати зникають IIS

Я намагаюся імпортувати сертифікат до IIS. На MMC (Windows Console) все гаразд. Я закінчив майстрів і, здається, це все в порядку. Але коли я оновлюю список сертифікатів або переходжу на інший екран IIS, сертифікат зникає зі списку.

Я поняття не маю, в чому проблема. Що я можу зробити?

Ця проблема виникає, коли імпортований сертифікат не пов’язаний із приватним ключем. Якщо хтось намагається імпортувати сертифікат рівня домену до IIS, ми не можемо імпортувати, якщо сертифікат не пов’язаний із приватним ключем і призведе до того, що сертифікат зникає під час оновлення.

Рішенням було б імпортувати .CER файл у вашу систему (звідки вимагається сертифікат) personel зберігати та експортувати його за допомогою приватного ключа. Потім скопіюйте .pfx файл на потрібний сервер та імпортуйте його з параметра сертифіката сервера під IIS. Це дозволило б вирішити проблему.

У мене була ця проблема кілька разів. Якщо використовується SSL NetworkSolutions, виправлення:

1. Перейдіть до менеджера сертифікатів MMC.
2. Перегляньте особисті сертифікати та видаліть сертифікат, який "Зникає".
3. Потім перегляньте "Запити на реєстрацію сертифікатів" та натисніть правою кнопкою миші, щоб експортувати.
4. Виберіть "Так, експортувати за допомогою приватного ключа.

Це дозволить вам експортувати .pfx файл, який ви можете імпортувати з менеджера IIS 7. Не забудьте повернутися до менеджера сертифікатів MMC і вибрати "Особисті сертифікати", а в межах властивостей додати "Дружнє ім'я" назад, щоб воно відображалося в Менеджері IIS.

Це в IIS 6 чи IIS 7? Ви імпортували його в консоль MMC або в IIS? Спробуйте спочатку імпортувати його в консоль MMC, а потім вибрати в IIS. Також переконайтеся, що файл, який ви імпортуєте, - це .pfx файл, який містить приватний ключ.

У мене була ця проблема, і я її вирішив, використовуючи OpenSSL для створення правильного .pfx-файлу. Інструкції до цього можна знайти тут

Якщо сервер не має приватного ключа, пов'язаного з імпортованим сертифікатом, сертифікат зникає під час оновлення (а також він не буде доступний для прив’язки).

Ви можете перевірити mmc - Сертифікати - Персональний магазин і підтвердити, що сертифікат встановлений, але в ньому відсутній приватний ключ.

Якщо у вас є PFX (приватний ключ) та пароль, ви можете імпортувати його (як було сказано іншим), але якщо ви тільки що зробили запит на сертифікат, ймовірно, у вас його не буде.

Припустимо, що ви перебуваєте на правильному сервері (той самий, де ви запитали сертифікат), ймовірно, приватний ключ якось пошкоджений . Ви можете відкрити відкритий сертифікат, отримати серійний номер та спробувати відновити приватний ключ із сховища ключів, як описано тут .

Використовуйте диспетчер cert, щоб імпортувати файл. Звідти спробуйте експортувати. Якщо ви не можете експортувати як файл PFX, я вважаю, що це означає, що в cert немає приватного ключа. Можливо, ви скачали неправильний з Вашого ЦА. Зараз я маю справу з нашим КА, тому я ще не впевнений у цьому на 100%.

Отож, боровшись з цим протягом декількох годин, перезавантажуючи cert, проводячи час по телефону за технічною підтримкою, і переглядаючи кожен блог, який я міг знайти, я був спотиканий. Я спробував повторно подати запит cert на відновлення cert (не пощастило). З останнім зусиллям канави я відновив запит на церт і відхилив церт, і тепер він працює добре. Я не знаю, що сталося, і я дуже обережно вводив свої дані обидва рази. Моє рішення полягало в тому, щоб просто генерувати новий запит і переробляти сертифікат.

У мене така ж проблема з сертом IIS (w / приватний ключ, .pfx) після імпорту в вузол MMC Local / Personal / Certificate на машині Windows Server 2008R2.

Серт імпортує штрафи, каже, що це добре з CA, що також добре. Потім я можу налаштувати проксі-сервер (TMG 2010) для використання cert у веб-слухачі. Все чудово працює, а веб-слухач та наступні правила, які використовують слухача, працюють добре.

Через деякий час я ще не намагався це встигнути, cert зникає з вузла MMC L / P / C. Мій слухач TMG все ще показує, що cert є тим, яким він налаштований для використання, але фактичного cert вже немає.

Я виявив, що проблема може бути відтворена, коли листовий сертифікат встановлено в межах органів проміжних сертифікацій. Видалення його (і залишення будь-якого реального проміжного, якщо це можливо), а потім завершення роботи майстра виправляє проблему.

Як сказав Сандіп, IIS видаляє ваш сертифікат, якщо у нього немає приватного ключа. Це часто трапляється, якщо ви використовуєте IIS для створення запиту на сертифікат з CA. У вашого ЦА немає вашого приватного ключа (у вас є), тому файл не містить приватного ключа. Він є точними кроками, які вам потрібно зробити:

Ви спочатку створили Запит на сертифікат від IIS на своєму сервері. Ви надіслали файл TXT запиту до вашого сертифікаційного органу, щоб вони могли створити сертифікат для вас.

Ваш сертифікаційний орган надіслав вам файл .CRT На тому самому сервері Windows, який ви використовували для створення запиту на сертифікат. У Провіднику Windows клацніть правою кнопкою миші на файлі .CRT, який вам надіслав сертифікаційний орган.

Виберіть Встановити сертифікат Запускається майстер імпорту сертифікатів

У Майстрі імпорту сертифікатів у магазині Місце розташування виберіть Місцева машина

Далі Виберіть Розмістити всі сертифікати в наступному магазині та виберіть Довірені авторизовані кореневі сертифікати

ОК. Це призводить до того, що Windows імпортує сертифікат у Windows (а не в IIS). Тепер вам потрібно отримати файл PFX, який містить приватний ключ:

Запустіть Mmc

Файл - додавання та видалення оснащення…

Сертифікати (локальний комп'ютер)

З сертифікатів (локальний комп'ютер) - розширена сертифікація довіреного кореня

Папка повноважень

Selected Certificates

Noticed my imported certificate with a key logo displayed on it

Відкрийте сертифікат

Зауважте, що на ньому відображається "У вас є приватний ключ, який відповідає цьому сертифікату."

Добре

Клацніть правою кнопкою миші на сертифікаті.

All Tasks --> Export

Далі

На сторінці "Експорт приватного ключа" майстра виберіть "Так, експортувати приватний ключ"

Далі

Запрошує майстра експорту сертифікатів - Експортувати формат файлу PKCS №12 (.PFX)

Далі

Майстер експорту сертифікатів вимагає, щоб ви захистили файл паролем:

Введіть пароль, за допомогою якого захистити файл.

Далі

Перейдіть до місця та вкажіть ім’я файлу. Файл матиме розширення .PFX.

Потім відкрийте IIS 7

Виберіть IIS-сервер у лівій області (З'єднання)

Клацніть Відкрити сертифікати сервера у вікні функцій

У правій частині панелі "Дії" натисніть Імпортувати ...

Виберіть файл PFX, який ви експортували

Укажіть пароль, який ви використовували для його захисту

Натисніть кнопку ОК

У мене була та сама проблема цього ранку, де я зміг додати cert, але як тільки натиснути оновити, він зникав. Ось як я це вирішив:

Скористайтеся наведеними нижче кроками для встановлення ssl cert на поле розробки-: Використовуйте файл .pfx. У вікні розробки перейдіть до Інструмент адміністратора-> Менеджер IIS-> Сертифікати сервера. Клацніть на Імпорт з правої області. Перейдіть до завантаженого файлу .pfx, використовуйте пароль. Переконайтесь, що ви поставили прапорець "Дозволити експортувати цей сертифікат", інакше пізніше ви отримаєте помилку прив’язки. Перейдіть на веб-сайти, знайдіть свій веб-сайт, натисніть прив’язки та відредагуйте https, щоб використовувати новий сервер ssl.

Рішення Ніка Олсена працювало для мене (сертифікат RapidSSL), і я включу тут точні кроки (є декілька посилань, одне порушено):

1. Встановіть OpenSSL звідси

2. Створіть такі файли в каталозі установки OpenSSL (за замовчуванням: OpenSSL-Win32 \ bin):

   • privatekey.txt - Скопіюйте та вставте вміст приватного ключа
   • certificate.txt - Скопіюйте та вставте текст розділу сертифіката
   • intermediate.txt - Скопіюйте та вставте текст проміжного розділу (необов'язковий крок)

3. Створіть .pfx файл за допомогою наступної команди

   openssl pkcs12 -export -out certificate.pfx -inkey privatekey.txt -in certificate.txt -certfile intermediate.txt
   

4. Імпортуйте файл у Сертифікати сервера (IIS)

Багато людей потраплять сюди, не розуміючи, що вони роблять процедуру сертифікації неправильно для додавання SSL на свої загальнодоступні веб-сайти. Вони завантажили сертифікат у когось, як богиня, і не зрозуміли, що зробили це в неправильному порядку! Вони не отримають жодних повідомлень про помилки. Все, що трапиться, - це те, що сертифікат у IIS зникне, як тільки ви перейдете до іншого розділу.

Правильний процес такий:

1. У IIS ви вимагаєте сертифікат (ЛІС ЛЮДЕЙ ВІДМОВАЄТЬСЯ ЦУ ЧАСТИНУ)
2. Ви використовуєте код, який вимагається від IIS, щоб запитувати сертифікат на загальнодоступному сайті (наприклад, godaddy). Дуже багато людей не роблять перший крок і використовують випадково генерований ключ
3. Завантажте сертифікати, створені за допомогою вашого запиту.
4. ви додаєте проміжний сертифікат у місцевому органі сертифікації (використовуйте MMC)
5. Ви додаєте інший сертифікат у IIS
6. Ви налаштовуєте прив’язки

Ось посилання. Створіть запит на сертифікат

https://www.instantssl.com/ssl-certificate-support/csr-generation/iis-ssl-certificate-7x.html

https://uk.godaddy.com/help/iis-8-install-a-certificate-4951

Обробляти, якщо сертифікат активований.

1. Увійдіть у свій V Daddy VPS через віддалений робочий стіл.
2. Відкрийте IIS Manager / виділіть серверний вузол (ліва панель, IP вашої VPS) / двічі клацніть Сертифікати сервера (центральна панель) / натисніть Створити запит / заповнити сертифікат (загальне ім'я - FQDN, yourdomain.com) / виберіть Microsoft RSA SChannel і 2048 бітова довжина / зберегти як файл yourdomain.txt на робочому столі.
3. Відкрийте файл yourdomain.txt, який ви тільки що створили / Скопіюйте весь текст.
4. Увійдіть, щоб зайти тато з вашого браузера всередині VPS за допомогою віддаленого робочого столу / Мої продукти / SSL / Використовуйте активований кредит SSL / центр клацання сірий квадрат Перейміть клавішу та керуйте / Вставте текст у текстове поле / Зберегти / Надіслати збережені зміни.
5. Після підтвердження власника домену поверніться до Go Daddy / My Products / SSL сертифікати / виберіть Домен, до якого буде застосовано сертифікат / виберіть Тип сервера (IIS) / Завантажити / витягнути на робочий стіл.
6. Запустіть mmc / Файл / Додати видалити оснащення / Сертифікати / Додати / Обліковий запис комп'ютера / Локальний комп'ютер / Завершити / ОК
7. Розгорніть сертифікати (локальний комп'ютер) / клацніть правою кнопкою миші проміжні органи сертифікації / клацніть правою кнопкою миші / Усі завдання / Імпортувати / імпортувати файл із PKCS7 # 7 зі спадного меню, і цей файл відобразиться у вікні / Далі / Поставте прапорець "Розмістити всі сертифікати в наступному магазині" Виберіть "Проміжний орган сертифікації" / Завершити / Закрити / Зберегти "Ні" / Закрити консоль mmc.
8. Поверніться до менеджера IIS / виберіть веб-сайт, призначений для сертифіката (ліва панель) / прив'язки (права панель) / Додати / ввести (https), IP-адресу (IP вашого VPS), порт (443), додати своє доменне ім'я (вашдомен .com) / сертифікат повинен відображатися у спадному меню, показуючи yourdomain.com.

Примітка. Я також перевірив YouTube / Sachin Sammy про те, як зробити сценарій переадресації з http на https.