Instalando o certificado SSL para uso no IIS7, a instalação "funciona", mas a lista de certificados desaparece

13

Windows Server 2008 R2, IIS7. Temos um certificado SSL da Go Daddy. É um certificado curinga, portanto funcionará em subdomínios (por exemplo, * .domínio.com). Eu segui as instruções localizadas em http://support.godaddy.com/help/article/4801/installing-an-ssl-certificate-in-microsoft-iis-7 para instalar o certificado. Chego à etapa do IIS, onde:

  • Clique no recurso "Certificados de segurança" quando o servidor estiver selecionado no painel esquerdo
  • Clique em "Solicitação de certificado completa"
  • Navegue para o arquivo .crt no sistema de arquivos
  • Dê um nome "amigável", clique em Concluir

O certificado é listado no painel principal agora neste painel "Certificados do servidor". Mas, se eu atualizar a página ou navegar e voltar, ela desapareceu. E o certificado não é listado como uma ligação viável ao tentar vincular um site a https.

Parece um processo bastante direto, mas claramente estou perdendo algo aqui. Alguma ideia?

Edição: Encontrei este post, o que parece implicar que esse comportamento ocorre quando você tenta usar o certificado intermediário. Quando baixei os arquivos do GoDaddy, havia 2 em um arquivo zip. 1 foi o gd_iis_intermediates, o outro foi nomeado para o domínio. Eu instalei o domínio um (extensão .crt). Não parecia haver outra opção - a instalação do outro no IIS gera um erro "Não é possível encontrar a solicitação de certificado associada a este arquivo de certificado. Uma solicitação de certificado deve ser concluída no computador em que a solicitação foi criada".

Dito isto, não parece haver nenhum outro download que eu possa usar.

Também houve menção, nos comentários (e em outros lugares após pesquisar no Google), de "exportar" o certificado como um PFX e instalá-lo. Mas não consigo descobrir como exportá-lo - mesmo através do certmgr.msc.

Devo mencionar também que este certificado está instalado em outro computador executando o IIS6 (esta instalação do IIS7 deve ser um failover, além do primário, enquanto atualizamos o IIS6 para o IIS7). Mas também não consigo descobrir como exportá-lo desse computador.

Matt
fonte

Respostas:

5

Como o certificado não era exportável, não pude usar a sugestão de Roberts. Por fim, tive que redigitar o certificado na página de gerenciamento de contas Go Daddy e instalá-lo nos dois servidores novamente. Algumas das opções durante o assistente para a instalação no IIS6 foram desativadas para mim e minha tentativa inicial nesse servidor falhou. Acabei instalando o certificado no novo servidor (IIS7), exportando esse certificado em um formato .pfx e importando essa versão para a instalação do IIS6. Nesse ponto, tudo começou a funcionar.

Matt
fonte
1

Tente exportar o certificado do servidor IIS6 usando estas instruções: http://www.sslshopper.com/move-or-copy-an-ssl-certificate-from-a-windows-server-to-another-windows-server. html

Isso garantirá que o certificado tenha uma chave privada.

Robert
fonte
A opção para exportar a chave privada é acinzentado, dizendo que foi marcado como "unexportable"
Matt
Venha para pensar sobre isso, o fato de que foi marcado como unexportable é provavelmente por isso que este certificado não se migrados durante a migração msdeploy do servidor ... hmm
Matt
Se você não conseguir encontrar um servidor onde o certificado é exportável, será necessário gerar um novo CSR e solicitar que o GoDaddy o reemita / digite novamente para obter um novo certificado correspondente.
Robert
1

tente importar para armazenamentos intermediários de certificados. Se você visualizar o certificado, verá que "você possui uma chave privada que corresponde a este certificado". Simplesmente exporte para .pfx e depois importe para o IIS. Trabalhou para mim :)

Jonson
fonte
0

Descobri que o problema pode ser reproduzido quando o certificado em folha foi instalado sob as Autoridades de Certificação Intermediárias. Removê-lo (e deixar qualquer intermediário real, se aplicável) e concluir o assistente corrige o problema.


fonte
0

Também encontrei esse problema. A nova verificação do certificado resolveu o problema, mas o motivo era que eu estava usando um certificado UCC e as SARs foram alteradas APÓS a última certificação do certificado . A redigitação do certificado novamente resolveu o problema. Passei duas horas no telefone com uma tecnologia lá antes de descobrir isso <:(

gillonba
fonte
0

Tanto quanto posso dizer, hoje em dia, com esses problemas, se você possui um certificado com várias SANs (ou acho que seja um curinga) e executa vários servidores, precisará digitar novamente o Godaddy sempre que instalar em uma máquina diferente.

Isso é fácil - gere um CSR (criptografia de 2048 bits), cole-o na página Rekey em Godaddy e você poderá fazer o download de um novo certificado. Não há uma espera para aprovação.


fonte
Não, você não precisa reescrever para instalar em máquinas diferentes. Importe para a máquina da qual você gerou o CSR (certifique-se de importar o certificado intermediário antes de importar o .crt), depois exporte para um .pfx e você pode importar para os outros.
Rory
0

Tive o mesmo problema hoje e o corrigi reparando o armazenamento de chaves e fornecendo o número de série do certificado público. Veja minha resposta aqui ou acesse diretamente este link, que explica como reparar o armazenamento de chaves

drizin
fonte