Sostituisci il vecchio certificato SSL in IIS6

9

Devo aggiornare il mio certificato SSL per IIS6 su Windows 2003 Server. Il venditore (Thawte) mi dice che la mia richiesta di firma del certificato non è rassegnabile, cosa che intendo per indicare che devo generare una richiesta per un nuovo certificato. In Gestione IIS, tuttavia, finché ho installato il certificato corrente, le mie uniche opzioni sono:

  • Rinnova il certificato corrente
  • Rimuovi il certificato corrente
  • Sostituisci il certificato corrente
  • Esporta il certificato corrente in un file .pfx
  • Copia o sposta il certificato corrente su un sito del server remoto

Ho pensato che "Sostituisci" sarebbe l'opzione ovvia, ma non mi dà la possibilità di creare una nuova richiesta per sostituire il certificato corrente; Posso solo scegliere tra i certificati già installati sul server. Se "Rimuovi" il certificato corrente per richiederne uno nuovo, ciò comporterebbe che i miei clienti venissero immediatamente informati che il mio server non era protetto? O sto fraintendendo la documentazione di Thawte e posso davvero rinnovare? Ho rinnovato i certificati in passato e non riesco a immaginare che non ci sia alcun modo per riuscirci senza interrompere lo stato "SSL protetto". Grazie in anticipo.

ssl  iis-6 
kcrumley
fonte

Risposte:

15

Ho già provato a fare la cosa basata sul rinnovo in base al cert esistente, e ha sempre provocato un po 'di confusione (è stato con Verisign nel mio caso, ma non riesco a immaginare che il processo di Thawte funzioni molto meglio, anche se al momento sono pronto a dare la colpa alla mia ignoranza SSL). Ad ogni modo, il modo per risolvere questo problema è di:

  • Creare un sito temporaneo in IIS. Chiamalo "rinnovo SSL" o qualcosa del genere: non vedrà mai Internet, quindi non importa.

  • Genera un CSR per il nuovo sito, usando ESATTAMENTE gli stessi parametri che hai fatto per il certificato del tuo sito reale; nome del sito, org. informazioni, lunghezza chiave, tutto.

  • Passa attraverso il processo di rinnovo di Thawte, fornendo il nuovo brillante CSR che hai generato.

  • Quando si ottiene la risposta firmata, elaborarla e installarla sul temp. luogo. Il certificato è ora nell'archivio certificati dell'account del computer locale, quindi può essere visto da IIS - vedi dove stiamo andando con questo?

  • Ora che il nuovo certificato è installato, vai nelle proprietà SSL del sito reale e seleziona "Sostituisci il certificato corrente". Nell'elenco dei certificati da utilizzare, dovresti vedere quello nuovo. Selezionalo e il gioco è fatto. Sentiti libero di eliminare quello vecchio in seguito, e non dimenticare di eseguire il backup del certificato e della chiave privata!

    • RainyRat
    fonte
    Nessun problema - Vorrei che questo sito fosse stato presente quando mi sono imbattuto in questo problema ...
    RainyRat
    Grazie per questo post Proprio quello di cui avevo bisogno e ha funzionato alla grande.
    Hondalex,
    Questa domanda è emersa come suggerimento quando ho iniziato a scrivere la mia domanda sull'argomento, e questa era la mia risposta.
    pjmorse,
    6

    Questo sito Web KB in comodo descrive come farlo:

    Fondamentalmente dovrai ricreare il tuo sito in IIS e generare una richiesta da quello. Quindi lo elimini e sostituisci il certificato sul tuo sito attuale.

    MathewC
    fonte
    Grazie. Mi dispiace, ho dovuto scegliere la risposta più dettagliata, anche se entrambi dicono sostanzialmente la stessa cosa.
    Kcrumley,
    1
    Che schifo Ho risposto prima io. Avrei potuto tagliare e incollare il testo online, ma ho dato credito dove era dovuto.
    MathewC,
    Giusto, e se avessi scelto il tuo, avrei valutato una risposta leggermente più rapida rispetto a un'approvazione personale della tecnica, con più impegno. In nessun caso è perfetto. Ti ho dato un voto.
    Kcrumley,
    Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
    Licensed under cc by-sa 3.0 with attribution required.