如何在不停机的情况下在 IIS7 上更新 SSL?

如何在不停机的情况下在 IIS7 上更新 SSL?

我们的 Windows 2008 IIS7 Web 服务器有一个即将过期的通配符 SSL。自动生成的 CSR 太长,我的 CA 不接受 - 我对此无能为力。我主要担心的是避免任何停机时间。我的次要担心是我不是网络/服务器管理员,因此我非常担心要遵循冗长的手动流程。

当我转到 IIS 中的服务器证书时,我看到了 2 个列表。一个是“我的” SSL,另一个是来自服务器的自签名证书。如果我通过“创建证书请求”向导并创建一个具有相同详细信息的新 CSR,会发生什么?它会自动禁用现有证书吗?还是会将新证书保持待定状态,将旧证书保持活动状态,直到我完成该过程并交换它们?

如果解释得没有像我希望的那样清楚,请原谅。

答案1

生成新的 CSR 对当前证书没有影响。它们仍将绑定到站点并继续有效,直到它们过期或直到您用新证书替换它们。

答案2

这曾经是 IIS 6 的一个问题,但 IIs 7 不存在停机风险。只需生成一个新的 CSR,安装它,当您准备切换到新证书时,更改站点绑定。IIS 将继续使用旧证书,直到您更改绑定。

此外,IIs 7 更新过程中的一个错误会生成非常大的 CSR。您只需创建一个新的 CSR,而不是使用“更新”选项。

相关内容