客户拥有来自 godaddy 的现有 SSL,具有多个 SAN,我们正在迁移到 2012 服务器上的 IIS 8.5。为此 Windows 服务器生成了用于 godaddy 的 sha256 CSR,并为 IIS 下载了两个文件。将中间文件放在 MMC 中间文件夹中,将 .cer 文件导入其 SSL 证书所在的 IIS 顶层。请注意,我已从 Personal 中删除所有证书并将其导入 WebHosting。查看 godaddy 证书,我可以确认“您有一个与此证书相对应的私钥”。然而,所有浏览器最终都会报告此错误。这是 MSIE 的响应:
该网站的安全证书已被吊销,因此您目前无法访问该网站。错误代码:ERROR_INTERNET_SEC_CERT_REVOKED
我在搜索结果的顶部找到了该指南,以下是我的故障排除结果: https://support.microsoft.com/en-us/help/294305/iis-returns-http-403-13-client-certificate-revoked-error-message-altho
我应该检查 Win2012 框中证书路径中每个证书的 CDP 或 URL,看看连接到每个 URI 时是否存在问题。这些是
- http://crl.godaddy.com/gdroot.crl
- http://crl.godaddy.com/gdroot-g2.crl
- http://crl.godaddy.com/gdig2s1-879.crl
我可以确认,在 Win2012 机器上使用 MSIE 解析并下载了这些文件。使用 Powershell,我可以对每个 URI 使用 curl 并返回结果。
该外部工具可验证证书是否有效、是否被接受以及是否未被撤销。https://www.sslshopper.com/ssl-checker.html
那么,为什么我仍然遇到这个问题?上面链接的指南建议从 IIS6 开始使用 Webfetch。它确认这些返回了所需的结果。
基于 GoDaddy 已撤销此证书的理论(该证书有效并与其他 SAN 在 GoDaddy Apache 服务器上运行),我使用它来获取此 CRL 的人性化形式以查看它是否已被撤销。
certutil -dump gdig2s1-879.crl > c:\gdig-output.txt
在 IIS 上检索证书(带密钥)的 10 位序列号,并尝试在下载的 CRL 中找到它。我完全希望在这个撤销列表中找到它,但没有找到。这个列表是在这些错误开始出现后一周下载的,所以它应该是最新的。
此时,我不确定下一步该尝试什么来解决这种明显的脱节。