我们有一个 IIS ARR 服务器,它可以将负载平衡到两个不同的单独的 IIS 服务器。
有问题的服务器是我们的内部临时服务器。三个月前,我创建了一个免费的 Let's Encrypt SSL 证书,用于这些服务器。与 Let's Encrypt 的情况一样,该证书在 3 个月后过期。所以今天我抽空创建了一个新证书,并在 ARR 服务器和两个负载平衡服务器上替换了旧证书。
执行此操作后,再使用任何浏览器(包括隐身模式)返回该网站,它仍然显示旧的无效证书。我甚至用以前从未访问过该网站的笔记本电脑访问该网站,只是为了看看旧证书是否缓存在我的浏览器中。甚至那些笔记本电脑加载该网站时也显示“不安全”警告。
以下是我已采取的步骤:
在ARR服务器上:
- 在服务器上的 IIS 中,打开“服务器证书”
- 删除旧证书
- 导入新证书
- 确认新的到期日期为 3 个月
- IIS重置
在两台负载平衡服务器上:
- 在服务器上的 IIS 中,打开“服务器证书”
- 删除旧证书
- 导入新证书
- 确认新的到期日期为 3 个月
- 在网站上,进入绑定
- 深入研究 SSL 并验证 SSL 证书是否是新的
- IIS重置
然而,尽管旧证书的所有痕迹都被删除了,包括删除了实际文件,但无论我做什么,它都会在每台计算机上的每个浏览器(即 chrome、ff)中加载,并且仍然显示旧证书。
我不知道还能做什么。
如果这有帮助:
(我应该补充一下……在许多不同的论坛上都有很多完全相同的问题。我已经阅读了几十个。但没有一个能给我提供解决方案。)
答案1
您需要在 https 443 端口的默认网站下选择新的证书。(绑定)
答案2
如果您的负载均衡器正在卸载 SSL,那么它将是终止 SSL 连接并执行握手的设备。您需要确保负载均衡器具有正确的证书。
答案3
就像我读过的很多其他帖子一样,人们遇到了同样的问题,这里的解决方案最终与安装新的 SSL 证书(有点)无关。
简短回答:需要重新启动所有三台服务器(负载平衡器和实际内容服务器)。这似乎最终清除了服务器缓存中的旧证书。
详细回答:其中一个 IIS 内容服务器(不是 ARR 负载平衡服务器)似乎有一个错误的 IP 地址。这意味着,我们为其提供的静态 IP 地址显然在网络上的其他地方使用。这导致 ARR 服务器仅使用其他内容服务器。所有这些都导致网站总体上出现奇怪的问题(偶尔出现 502 错误),我将其归咎于新的 SSL 证书,并且这也使得重新启动后很难使整个网站重新上线。
归根结底……安装新的 SSL 证书并不是真正的问题。一旦我们解决了真正的问题,并重新启动所有服务器后,问题就解决了。
答案4
这个命令对我有用。我花了 3-4 天的时间才解决安装新 SSL 证书后旧 SSL 证书仍显示在浏览器中的问题。
netsh http 删除 sslcert ipport={服务器私有 ip}:443