替换IIS6中的旧SSL证书

9

我必须在Windows 2003 Server上更新IIS6的SSL证书。供应商(Thawte)告诉我我的证书签名请求不可撤消,这意味着我需要生成一个全新证书的请求。但是,在IIS管理器中,只要我安装了当前证书,我唯一的选择是:

  • 续订当前证书
  • 删除当前证书
  • 替换当前证书
  • 将当前证书导出到.pfx文件
  • 将当前证书复制或移动到远程服务器站点

我以为“替换”将是显而易见的选择,但是它没有让我选择创建新请求来替换当前证书;我只能在服务器上已安装的证书之间进行选择。如果我“删除”当前证书以请求新证书,是否会导致我的客户立即被告知我的服务器不安全?还是我误解了Thawte的文档,我真的可以续订吗?我过去曾续签过证书,而且我无法想象没有任何方式可以在不破坏“ SSL安全”状态的情况下实现这一目标。提前致谢。

ssl  iis-6 
克鲁姆利
source

Answers:

15

我以前曾尝试过根据现有证书进行续签,但总会造成一些混乱(就我而言,这与Verisign有关,但我无法想象Thawte的流程会更好,尽管我已经完全准备好责备自己当时对SSL的无知)。无论如何,我们解决的方法是:

  • 在IIS中创建一个临时站点。称其为“ SSL更新”之类的东西-它永远不会出现在Internet上,因此这并不重要。

  • 使用与实际站点证书完全相同的参数为新站点生成CSR;网站名称,组织。信息,密钥长度,一切。

  • 完成Thawte的更新过程,提供您生成的闪亮的新CSR。

  • 当您收到签名的响应时,请在临时服务器上进行处理并将其安装。现场。该证书现在位于本地计算机帐户的证书存储中,因此IIS可以看到该证书-知道我们要怎么做?

  • 现在已经安装了新证书,请进入真实站点的SSL属性,然后选择“替换当前证书”。在要使用的证书列表中,您应该看到新的证书。选择它,您就完成了。之后,随时删除旧的,不要忘记备份您的证书和私钥!

    • 雨鼠
    source
    没问题-当我遇到这个问题时,我希望这个网站已经存在...
    RainyRat
    感谢这篇文章。正是我所需要的,而且效果很好。
    Hondalex
    当我开始就该主题写自己的问题时,提出了这个问题作为建议,这就是我的答案。
    pjmorse 2011年
    6

    comodo网站中的此KB描述了如何执行此操作:

    基本上,您将在IIS中重新创建站点并从该站点生成请求。然后,将其删除,并替换当前站点上的证书。

    马修
    source
    谢谢。抱歉,必须选择更详细的答案,尽管他们都说的基本上是同一回事。
    kcrumley
    1
    糟透了 我先回答。我本可以在网上剪切和粘贴文本,但应归功于此。
    MathewC
    是的,如果我选择了您的技术,那么我会花费更多的精力来评估该技术对个人认可的响应速度。两种方法都不完美。我给你投票了。
    kcrumley
    By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
    Licensed under cc by-sa 3.0 with attribution required.