为了安装证书,我需要同时安装根证书和中间证书。Firefox 和 IIS 立即识别出此问题(在 IIS 重置后),但 IE、Opera 或全网。物理重启后,它被所有人认可。
我的问题是:如何在不重新启动整个服务器的情况下安装根证书和中间证书?(而且,不太重要的是,Firefox 立刻就识别出了这一点,而其他的却没有)?
答案1
我认为你看到 Firefox 工作是因为 Firefox 很可能已经拥有根目录的副本和中间证书安装在自己的存储中(我对此有复杂的感觉)。现在浏览器似乎经常将中间证书和根证书导入到自己的密钥存储中。这就是为什么我每次替换证书时都使用 cURL 和 CA 提供的证书验证工具来验证安装的原因之一。
如果我在安装中级证书之前安装了证书,我就会遇到您描述的 IIS 问题,但如果在导入服务器证书之前导入中级证书,则从未出现过问题。不幸的是,根据 CA 的不同,人们并不总是意识到中级证书已被替换,直到执行服务器证书验证。
答案2
我花了一天时间尝试在 Windows 2008 R2 服务器上配置正确的证书链,几个小时后我意识到,在我的情况下,唯一的 IIS 重启没有起作用。
正确的解决方案是使用根证书颁发机构和中级证书颁发机构中的 MMC snap 导入正确的证书,重新启动 Web 服务器,证书链就开始工作了。
这是在 IIS 7.5 Windows 2008 R2 上。
答案3
在 Windows 上安装根证书永远不需要重新启动。这里发生了其他事情。
最坏的情况是,注销/登录应该可以工作 - 您描述的应用程序看起来都像是客户端/用户空间应用程序,终止该过程并重新启动它就足够了。