我已决定为 IIS 生成 SSL。我有自己的 CSR 和私钥。CloudFlare 生成的 SSL 为 pcks7 格式。我想将其合并为一个 pfx 格式,以便将其导入 iis。
我曾经使用过 Start SSL 证书 - 我总是使用 3 个文件 - 我的 ssl crt、私钥和中间 crt。
使用cloudflare时,中间缺少一个。我尝试在使用OpenSSL生成pfx时跳过它,但是当我将它与IIS服务器一起使用时,我收到警告:
中间链中缺少一个或多个证书...
Start SSL pfx 没有这样的消息。我可以忽略它吗?我应该使用什么中间件?或者如何确保连接正确加密?
编辑
获得 PCKS7 详细信息
发行人:加利福尼亚州旧金山,CloudFlare Origin SSL 证书颁发机构,CloudFlare, Inc.,美国
主题:CloudFlare Origin 证书、CloudFlare Origin CA、CloudFlare, Inc.
证书状态:无法找到该证书的颁发者。
答案1
为了解决问题,我需要在 MMC(Microsoft 管理控制台)中的“证书”管理单元中将“CloudFlare Origin SSL”证书作为受信任的证书导入。
不知道为什么将其嵌入 PFX 文件不起作用 - 也许是由于不受信任的 CA 证书。
答案2
我使用了 Cloudflare 的“SSL/TLS”“原始服务器”“原始证书”下的“创建证书”。我获得了一个 PEM 格式的证书和一个私钥。
我使用以下命令将 CloudFlare 提供的源服务器证书 PEM 文件、CloudFlare 提供的私钥 KEY 文件以及 CloudFlare 提供的源根证书组合起来创建了一个 PFX 文件:
“C:\Program Files\OpenVPN\bin\openSSL.exe” pkcs12 -export -out xyz.net.pfx -inkey xyz.net.key -in xyz.net.pem -certfile origin_ca_rsa_root.pem
我将 .pfx 文件导入 Internet 信息服务器 (IIS)。我确实收到了消息“中间链中缺少一个或多个证书”。我忽略了该消息。CloudFlare 继续使用选项“您的 SSL/TLS 加密模式为完整(严格)”来处理我的网站,也就是使用我服务器上的 Cloudflare Origin CA 证书进行端到端加密。
只要 CloudFlare 信任该证书,在这种情况下这才是最重要的。