明天我网站的 SSL 证书将过期,我想知道我应该现在用旧证书替换新证书还是应该等旧证书过期?我不希望访问者访问我的网站时看到安全警告,但我也想充分利用旧证书。我应该采用什么流程来更改我的 SSL,以便可以管理这两个问题,请提供建议。
编辑:
我有带密码的 pfx 文件
谢谢
答案1
我建议在到期前更换。证书将通常在到期日的早上到期,例如,2013 年 9 月 3 日到期的证书通常从 2013 年 9 月 2 日午夜(当地服务器时间)起不再有效。
我还建议您查看您的网站的峰值使用情况,以找到更换证书的最佳时间(更换证书时可能会出现非常短暂的中断)。理想情况下,您应该在对用户群影响最小的时候进行更换。
安装证书并绑定到 IIS6 网站的过程
安装证书(使用 .PFX 文件)请注意,我在以下指南中使用了更手动的过程,因为我支持的一些站点有复杂的设置。
预检
启动 IIS 管理器
展开服务器名称(本地计算机)
展开网站选项
查找您的网站 - 它将位于默认网站或您命名的网站
右键单击您的网站并选择属性
在下面网站选项卡,验证网站标识以及是否启用了 TCP 端口和 SSL 端口选项(仔细检查您是否在正确的网站上)
我记下 IP、网站 URL 和 SSL 端口,并使用服务器的本地浏览器进行测试,并验证所出示的证书(包括其有效期)。我在更改结束时重复此过程,以确认 Web 服务器出示的证书正确。
- 关闭属性对话框。
安装
从“开始”菜单中选择“运行”命令并输入 mmc
单击“确定”
从 MMC 小程序中选择控制台菜单,然后单击添加/删除管理单元
点击添加按钮
选择证书选项
点击添加按钮
选择计算机帐户选项,然后单击下一步
接受默认的本地计算机并点击完成按钮。
点击关闭按钮
点击“确定”按钮
展开证书选项
展开个人证书存储
单击证书文件夹,它将显示个人存储中已安装的证书。您现有的证书应列在此处,以及其颁发机构和到期日期。
如果您想显示其详细信息和认证路径,可以双击现有证书。
我们现在要安装新的证书。
右键单击个人存储中的证书文件夹。
选择所有任务
选择导入
证书导入向导现在将启动。
点击下一步
我们现在要选择已提供的证书。单击“浏览”按钮以显示一个对话框,该对话框将允许我们导航到文件的位置。
选择“个人信息交换文件类型 (*.pfx, .p12)”并浏览到包含证书文件的驱动器和文件夹。
您应该会看到要安装的证书
单击它并选择打开
文件的路径将显示在浏览对话框中。单击下一步
如果证书有密码(几乎所有服务器证书都肯定有密码),请输入或粘贴密码。确保将此密钥标记为可导出做不是勾选反对 - 您不希望任何有直接访问权限的人能够导出您的证书并冒充您的网站。单击下一步
接受默认的个人存储并单击下一步。
单击“完成”后文件将被导入。
您将收到一条消息,表明导入是否成功。
在个人证书存储区中,您将看到已安装的新证书及其到期日期。您还将看到存储区中存在的旧证书,如前所述。
我通常会双击新证书并确认它报告该证书有效,以确保万无一失。
启动或切换到 Internet 信息服务管理器
选择要替换证书的网站的属性(右键单击该网站并选择“属性”)
选择目录安全选项卡
在“安全通信”部分下,单击“服务器证书”
IIS 证书向导将出现,提供各种选项。
选择替换当前证书选项
点击下一步
对话框将显示可与网站关联的可用证书列表。在本例中,我们选择新安装的证书及其新的到期日期。
突出显示文件并单击下一步
将显示证书详细信息。仔细检查这是否是您要与网站关联的证书,然后单击“下一步”。
然后,IIS 证书向导将报告是否已成功完成网站上的证书替换。
技术实施后验证 (PIV)
本地服务器测试(假设您没有禁用浏览器)
在服务器上启动浏览器并输入安全连接、IP 地址和端口号(例如
https://mywebsiteaddress:443)检查您是否可以连接到该站点的 SSL 端口。
如果您通过 IP 地址连接或输入的地址与证书详细信息不匹配,则可能会看到证书错误。继续访问该站点,然后显示证书详细信息以确认 IIS 提供的证书具有新的到期日期。
- 从用户用于访问网站的普通设备进行检查,并确认向您的浏览器提供了正确的证书。
清理
一旦您确认您的证书已更新并可在本地服务器和远程客户端级别运行。
关闭 IIS 管理器小程序。
在证书 MMC 中选择旧证书(首先仔细检查它是否正确!!)并将其删除。这可确保将来不会意外将旧证书绑定到网站。
如果您需要将证书绑定到网站的特定服务帐户,建议在绑定到服务帐户之前删除旧证书。我没有提到这一点,因为您的问题并未表明您的应用与网站一起使用服务帐户。
关闭证书 MMC 并且不要保存它(除非您想在将来使用它。)