我收到以下消息The STARTTLS certificate will expire soon。现在我尝试创建新证书,但目前仍在使用旧证书。
问题:
- 我可以以某种方式备份旧证书吗(以防我删除一个但遗漏了什么)?
- 一个服务是否只能分配给一个证书?(我总是收到另一个证书具有优先权的通知)我可以删除具有相同分配服务的另一个证书吗?
- 我可以删除状态为 的证书
DateInvalid吗? - 我可以删除未分配服务的证书吗?
现在必须更换证书。
情况1:
旧版本:
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {Sites, servername.domain.local}
HasPrivateKey : True
IsSelfSigned : False
Issuer : CN=domain-servername-CA
NotAfter : 24.08.2012 08:55:23
NotBefore : 25.08.2010 08:55:23
PublicKeySize : 2048
RootCAType : Registry
SerialNumber : 486D0BC600000000500C
Services : IIS, SMTP
Status : Valid
Subject : CN=Sites
Thumbprint : 5XY3E4589CDEE54C1FB9C1745XC351D8C74D
替代品:
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
ssControl.CryptoKeyAccessRule}
CertificateDomains : {Sites, servername.domain.local}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=Sites
NotAfter : 30.07.2017 12:41:34
NotBefore : 30.07.2012 12:41:34
PublicKeySize : 2048
RootCAType : None
SerialNumber : AAFC94772E6BFF8E4AE9812226240927
Services : IIS, SMTP
Status : Valid
Subject : CN=Sites
Thumbprint : 98732EASYDFGC4336430DEDE729EE0D575C0
显着差异:
- 自签名是真的
- 发行人不同
- 两次:System.Security.AccessControl.CryptoKeyAccessRule
案例 2:
旧版本:
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {mail.domain.com, many further domains}
HasPrivateKey : True
IsSelfSigned : False
Issuer : CN=servername-domain-CA
NotAfter : 17.08.2012 15:37:50
NotBefore : 18.08.2010 15:37:50
PublicKeySize : 2048
RootCAType : Registry
SerialNumber : 56329D6600000000000D
Services : IMAP, POP, SMTP
Status : Valid
Subject : CN=mail.domain.com, OU=Technics, O=Organisation, L=Location, C
=CC
Thumbprint : A8329DCD493FLIE2E3C9AF2E7577ADD6EF669
替代品:
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
ssControl.CryptoKeyAccessRule}
CertificateDomains : {mail.domain.com, many further domains}
HasPrivateKey : True
IsSelfSigned : True
Issuer : C=CC, L=Location, O=Organisation, OU=Technics, CN=mail.domain
.com
NotAfter : 30.07.2017 12:17:33
NotBefore : 30.07.2012 12:17:33
PublicKeySize : 2048
RootCAType : None
SerialNumber : A9A4E319D016B296488457C8FB7DF8B7
Services : IMAP, POP, SMTP
Status : Valid
Subject : C=CC, L=Location, O=Organisation, OU=Technics, CN=mail.domain
.com
Thumbprint : 83EKDFKLIO483ZH94F2C84B7DA16DC3C05875D
显着差异:
- 自签名是真的
- 发行人不同
- 两次:System.Security.AccessControl.CryptoKeyAccessRule
- 主题顺序不同
现在我对这些证书有疑问:
- 我可以忽略这些差异吗?
- 对于替换:我可以删除旧证书并且所有证书仍然能正常工作吗(例如 Outlook Web Access)?
答案1
对于 Exchange 2007,您可以使用 U-BTech 的这个工具来管理您的证书。他们有一个屏幕截图指南。 http://www.u-btech.com/products/certificate-manager-for-exchange-2007.html
回答你的问题:
- 你能忽略差异吗?不能。
- 您可以删除旧的证书吗?您不应该删除来自第三方提供商的旧证书并将其替换为自签名证书。
您可能希望保留 IsSelfSigned: False 的证书以使 TLS 正常工作。此外,您必须更新证书提供商颁发的第三方证书(旧证书),因为它将在一周后到期。
附言:你不应该在 Tubes 上发布你的证书序列号和指纹 :)