如何在 Windows NLB 群集中为网站安装(更新)SSL 证书

如何在 Windows NLB 群集中为网站安装(更新)SSL 证书

我想问一下在运行 IIS6 且处于 NLB 负载平衡配置的两台服务器上安装 SSL 证书的正确步骤是什么。

昨天,我按照我认为正确的程序安装了证书。此后不久,我的 iPhone 上出现了证书错误(但其他地方没有 - Chrome、IE、Firefox 都正常)

从那时起,该网站的 SSL 就不会在我的 iPhone 上产生错误(Safari、Chrome),但我不确定我是否已经正确完成了这件事……

  • 在 IIS 6 中使用更新选项请求证书。

  • 使用生成的 CSR 获取证书(来自 godaddy)

根证书....

  • 使用获取的证书,在IIS6中完成待处理的请求。

  • 仍然在 IIS6 中导出证书。

  • 在另一台服务器上 - 将证书导入 MMC 中证书管理单元中的“个人证书”存储区。

  • 在IIS6(仍然是其他服务器)中选择“更改证书”选项,然后选择新导入的证书。

中级证书

  • 将中级证书导入“中级证书颁发机构”

  • 这是我不确定我是否做了正确的事情的地方——我没有导出导入的中间证书,然后将其导入到另一台服务器上。相反,我只是再次导入了同一个文件。我这样做是因为我记得过去学过,中间证书不需要导出导入。(此外,直到今天,我仍然不完全理解中间证书的用途/意义。我相信它是为了支持非常旧的浏览器而提供的?)

所以我的问题是 - 我做对了吗?这是在运行 IIS6 的负载平衡服务器上更新 SSL 的有效程序吗?

编辑: 经过进一步调查(在以下人员的帮助下)https://www.ssllabs.com/ssltest/)我发现第一台服务器上没有中级证书(我可以发誓我安装了它们但显然我没有)我现在已经安装了它们并且我的网站通过了每台服务器的“附加证书”测试。

答案1

中级证书不需要导出/导入,只需要导入(它不包含私钥)

只要您使用私钥在 ServerA 上导出证书,并使用私钥将其导入 ServerB,您就做对了一切。但情况似乎如此,因为 IIS 接受了证书 - 一切正常。

相关内容