Ersetzen Sie das alte SSL-Zertifikat in IIS6

9

Ich muss mein SSL-Zertifikat für IIS6 unter Windows 2003 Server aktualisieren. Der Anbieter (Thawte) teilt mir mit, dass meine Zertifikatsignierungsanforderung nicht kündbar ist. Dies bedeutet, dass ich eine Anforderung für ein brandneues Zertifikat generieren muss. Im IIS-Manager sind jedoch nur folgende Optionen verfügbar, solange ich das aktuelle Zertifikat installiert habe:

  • Erneuern Sie das aktuelle Zertifikat
  • Entfernen Sie das aktuelle Zertifikat
  • Ersetzen Sie das aktuelle Zertifikat
  • Exportieren Sie das aktuelle Zertifikat in eine PFX-Datei
  • Kopieren oder Verschieben des aktuellen Zertifikats auf einen Remoteserverstandort

Ich dachte, dass "Ersetzen" die naheliegende Option wäre, aber ich habe nicht die Wahl, eine neue Anforderung zum Ersetzen des aktuellen Zertifikats zu erstellen. Ich kann nur zwischen den bereits auf dem Server installierten Zertifikaten wählen. Wenn ich das aktuelle Zertifikat "entferne", um ein neues anzufordern, würde dies dazu führen, dass meinen Clients sofort mitgeteilt wird, dass mein Server nicht gesichert ist? Oder verstehe ich Thawtes Dokumentation falsch und kann sie wirklich erneuern? Ich habe in der Vergangenheit Zertifikate erneuert, und ich kann mir nicht vorstellen, dass es überhaupt keine Möglichkeit gibt, dies ohne Unterbrechung des Status "SSL gesichert" durchzuführen. Danke im Voraus.

kcrumley
quelle

Antworten:

15

Ich habe schon früher versucht, die Erneuerung basierend auf dem vorhandenen Zertifikat durchzuführen, und es hat immer zu einem gewissen Durcheinander geführt (in meinem Fall war es bei Verisign, aber ich kann mir nicht vorstellen, dass Thawtes Prozess viel besser funktioniert). obwohl ich voll und ganz bereit bin, meine eigene SSL-Ignoranz zu beschuldigen). Wie auch immer, der Weg, den wir ausgearbeitet haben, ist:

  • Erstellen Sie eine temporäre Site in IIS. Nennen Sie es "SSL-Erneuerung" oder so - es wird nie das Internet sehen, also spielt es keine Rolle.
  • Generieren Sie eine CSR für die neue Site, indem Sie genau die gleichen Parameter verwenden, die Sie für das Zertifikat Ihrer realen Site verwendet haben. Site-Name, org. Info, Schlüssellänge, alles.
  • Führen Sie den Erneuerungsprozess von Thawte durch und liefern Sie die glänzende neue CSR, die Sie generiert haben.
  • Wenn Sie die signierte Antwort zurückerhalten, verarbeiten und installieren Sie sie auf der temporären Seite. Seite? ˅. Das Zertifikat befindet sich jetzt im Zertifikatspeicher des lokalen Computerkontos, sodass es von IIS angezeigt werden kann. Sehen Sie, wohin wir damit gehen?
  • Nachdem das neue Zertifikat installiert wurde, rufen Sie die SSL-Eigenschaften der realen Site auf und wählen Sie "Aktuelles Zertifikat ersetzen". In der Liste der zu verwendenden Zertifikate sollte Ihr neues Zertifikat angezeigt werden. Wählen Sie es aus und Sie sind fertig. Löschen Sie das alte anschließend und vergessen Sie nicht, Ihr Zertifikat und Ihren privaten Schlüssel zu sichern!
  • RainyRat
    quelle
    Kein Problem - Ich wünschte, diese Seite wäre da gewesen, als ich auf dieses Problem
    gestoßen
    Danke für diesen Beitrag. Genau das, was ich brauchte und es hat super funktioniert.
    Hondalex
    Diese Frage kam als Vorschlag auf, als ich anfing, meine eigene Frage zu diesem Thema zu schreiben, und dies war meine Antwort.
    pjmorse
    6

    Diese KB in comodo-Website beschreibt, wie es geht:

    Grundsätzlich erstellen Sie Ihre Site in IIS neu und generieren daraus eine Anfrage. Dann löschen Sie es und ersetzen das Zertifikat auf Ihrer aktuellen Site.

    MathewC
    quelle
    Vielen Dank. Entschuldigung, ich musste die ausführlichere Antwort wählen, obwohl beide im Grunde dasselbe sagen.
    Kcrumley
    1
    Das ist Scheiße. Ich antwortete zuerst. Ich hätte den Text online ausschneiden und einfügen können, gab aber Kredit, wo er fällig war.
    MathewC
    Richtig, und wenn ich Ihre gewählt hätte, würde ich eine etwas schnellere Antwort gegenüber einer persönlichen Bestätigung der Technik mit mehr Aufwand schätzen. Keiner der Wege ist perfekt. Ich habe dir eine Gegenstimme gegeben.
    Kcrumley