Substituir certificado SSL antigo no IIS6

9

Eu tenho que atualizar meu certificado SSL para IIS6 no Windows 2003 Server. O fornecedor (Thawte) me diz que minha Solicitação de Assinatura de Certificado não é resignável, o que considero necessário gerar um pedido de um novo certificado. No Gerenciador do IIS, no entanto, desde que eu tenha o certificado atual instalado, minhas únicas opções são:

  • Renove o certificado atual
  • Remova o certificado atual
  • Substitua o certificado atual
  • Exportar o certificado atual para um arquivo .pfx
  • Copiar ou mover o certificado atual para um site de servidor remoto

Eu pensei que "Substituir" seria a opção óbvia, mas não me deu a opção de criar uma nova solicitação para substituir o certificado atual; Só posso escolher entre os certificados já instalados no servidor. Se eu "remover" o certificado atual para solicitar um novo, isso faria com que meus clientes soubessem imediatamente que meu servidor não estava protegido? Ou estou entendendo mal a documentação de Thawte e posso realmente renovar? Renovei certificados no passado e não consigo imaginar que não haja maneira de fazer isso sem interromper o status "SSL protegido". Desde já, obrigado.

ssl iis-6 kcrumley
fonte

Respostas:

15

Eu tentei fazer a coisa baseada em renovação com base em certificado existente antes e sempre resultava um pouco de confusão (isso aconteceu com a Verisign no meu caso, mas não posso imaginar que o processo de Thawte funcione muito melhor, embora esteja totalmente preparado para culpar minha própria ignorância de SSL na época). De qualquer forma, a maneira que resolvemos isso é:

  • Crie um site temporário no IIS. Chame isso de "renovação SSL" ou algo assim - nunca vai ver a Internet, então isso realmente não importa.

  • Gere um CSR para o novo site, usando EXATAMENTE os mesmos parâmetros que você criou para o certificado do seu site real; nome do site, organização. informação, comprimento da chave, tudo.

  • Siga o processo de renovação da Thawte, fornecendo o novo e brilhante CSR que você gerou.

  • Quando você receber a resposta assinada de volta, processe e instale-a no temp. local. O certificado agora está no repositório de certificados da conta do computador local, para que possa ser visto pelo IIS - veja para onde estamos indo com isso?

  • Agora que o novo certificado está instalado, acesse as propriedades SSL do site real e selecione "substituir o certificado atual". Na lista de certificados a serem usados, você deverá ver o seu novo. Selecione e pronto. Sinta-se à vontade para excluir o antigo posteriormente e não se esqueça de fazer backup do seu certificado e da sua chave privada!

    • RainyRat
    fonte
    Não há problema - eu desejo que este site tinha sido em torno de quando eu corri para este problema ...
    RainyRat
    Obrigado por este post. Apenas o que eu precisava e funcionou muito bem.
    27509 Hondalex
    Essa pergunta surgiu como uma sugestão quando comecei a escrever minha própria pergunta sobre o tópico, e essa foi a minha resposta.
    Pjmorse
    6

    Este KB no site da comodo descreve como fazê-lo:

    Basicamente, você recriará seu site no IIS e gerará uma solicitação a partir dele. Em seguida, você a exclui e substitui o certificado em seu site atual.

    MathewC
    fonte
    Obrigado. Desculpe, tive que escolher a resposta mais detalhada, embora ambos estejam dizendo basicamente a mesma coisa.
    22412 kcrumley
    1
    Isso é péssimo. Eu respondi primeiro. Eu poderia ter recortado e colado o texto on-line, mas dado crédito onde deveria.
    MathewC 23/06/09
    Certo, e se eu tivesse escolhido o seu, estaria avaliando uma resposta um pouco mais rápida do que o endosso pessoal da técnica, com mais esforço. Nenhuma das maneiras é perfeita. Eu te dei uma votação.
    22610 kcrumley