在 IIS6 中替换旧的 SSL 证书

tag-icon tag-icon ssl iis-6
在 IIS6 中替换旧的 SSL 证书

我必须更新 Windows 2003 Server 上 IIS6 的 SSL 证书。供应商 (Thawte) 告诉我,我的证书签名请求不可签名,我认为这意味着我需要生成一个全新证书的请求。但是,在 IIS 管理器中,只要我安装了当前证书,我唯一的选择就是:

  • 续订当前证书
  • 删除当前证书
  • 替换当前证书
  • 将当前证书导出到 .pfx 文件
  • 将当前证书复制或移动到远程服务器站点

我以为“替换”是显而易见的选择,但它并没有让我选择创建新的请求来替换当前证书;我只能在服务器上已安装的证书之间进行选择。如果我“删除”当前证书以请求新证书,是否会导致我的客户立即被告知我的服务器不安全?还是我误解了 Thawte 的文档,我真的可以续订?我过去曾续订过证书,我无法想象在不破坏“SSL 安全”状态的情况下完全没有办法做到这一点。提前致谢。

答案1

我以前尝试过基于现有证书进行续订,但总是会弄得一团糟(我的情况是使用 Verisign,但我无法想象 Thawte 的流程会更好,尽管我完全准备责怪自己当时对 SSL 的无知)。无论如何,我们解决这个问题的方法是:

  • 在 IIS 中创建一个临时站点。将其称为“SSL 更新”或其他名称 - 它永远不会出现在互联网上,因此这并不重要。

  • 为新站点生成 CSR,使用与真实站点证书完全相同的参数:站点名称、组织信息、密钥长度等所有内容。

  • 完成 Thawte 的更新流程,提供您生成的全新 CSR。

  • 当您收到签名的响应后,处理并安装到临时站点上。证书现在位于本地计算机帐户的证书存储中,因此 IIS 可以看到它 - 明白我们要做什么了吗?

  • 现在新证书已安装完毕,请进入真实网站的 SSL 属性并选择“替换当前证书”。在要使用的证书列表中,您应该会看到新证书。选择它,就大功告成了。之后您可以随意删除旧证书,不要忘记备份您的证书和私钥!

    • 答案2

    comodo 网站上的知识库描述了如何做:

    基本上,您将在 IIS 中重新创建站点并从该站点生成请求。然后删除它并替换当前站点上的证书。

    相关内容