Remplacer l'ancien certificat SSL dans IIS6


9

Je dois mettre à jour mon certificat SSL pour IIS6 sur Windows 2003 Server. Le fournisseur (Thawte) me dit que ma demande de signature de certificat n'est pas résignable, ce qui signifie que je dois générer une demande pour un nouveau certificat. Dans le gestionnaire IIS, cependant, tant que j'ai le certificat actuel installé, mes seules options sont:

  • Renouveler le certificat actuel
  • Supprimer le certificat actuel
  • Remplacer le certificat actuel
  • Exportez le certificat actuel vers un fichier .pfx
  • Copiez ou déplacez le certificat actuel vers un site de serveur distant

Je pensais que "Remplacer" serait l'option évidente, mais cela ne me donne pas le choix de créer une nouvelle demande pour remplacer le certificat actuel; Je ne peux que choisir entre les certificats déjà installés sur le serveur. Si je «supprime» le certificat actuel pour en demander un nouveau, est-ce que cela signifierait immédiatement à mes clients que mon serveur n'était pas sécurisé? Ou est-ce que je comprends mal la documentation de Thawte, et je peux vraiment renouveler? J'ai renouvelé des certificats dans le passé, et je ne peux pas imaginer qu'il n'y ait aucun moyen de retirer cela sans perturber le statut "SSL sécurisé". Merci d'avance.

Réponses:


15

J'ai déjà essayé de faire le renouvellement basé sur l'existant-cert, et cela a toujours causé un peu de gâchis (ça a été avec Verisign dans mon cas, mais je ne peux pas imaginer que le processus de Thawte fonctionne beaucoup mieux, même si je suis tout à fait prêt à blâmer ma propre ignorance SSL à l'époque). Quoi qu'il en soit, le moyen de contourner ce problème est de:

  • Créez un site temporaire dans IIS. Appelez ça "renouvellement SSL" ou quelque chose comme ça - ça ne verra jamais Internet, donc ça n'a pas vraiment d'importance.
  • Générez une CSR pour le nouveau site, en utilisant EXACTEMENT les mêmes paramètres que vous avez fait pour le certificat de votre site réel; nom du site, org. info, longueur de clé, tout.
  • Suivez le processus de renouvellement de Thawte, en fournissant la nouvelle CSR brillante que vous avez générée.
  • Lorsque vous obtenez la réponse signée, traitez-la et installez-la sur le temp. site. Le certificat est maintenant dans le magasin de certificats du compte d'ordinateur local, donc il peut être vu par IIS - voir où nous allons avec cela?
  • Maintenant que le nouveau certificat est installé, allez dans les propriétés SSL du site réel et sélectionnez "remplacer le certificat actuel". Dans la liste des certificats à utiliser, vous devriez voir votre nouveau certificat. Sélectionnez-le et vous avez terminé. N'hésitez pas à supprimer l'ancien par la suite, et n'oubliez pas de sauvegarder votre certificat et votre clé privée!

  • Pas de problème - j'aurais aimé que ce site existe depuis que j'ai rencontré ce problème ...
    RainyRat

    Merci pour ce post. Juste ce dont j'avais besoin et cela a très bien fonctionné.
    Hondalex

    Cette question est venue comme une suggestion quand j'ai commencé à écrire ma propre question sur le sujet, et c'était ma réponse.
    pjmorse

    6

    Ce site Web de KB in comodo décrit comment procéder:

    Fondamentalement, vous allez recréer votre site dans IIS et générer une demande à partir de celui-ci. Ensuite, vous le supprimez et remplacez le certificat sur votre site actuel.


    Merci. Désolé, j'ai dû choisir la réponse la plus verbeuse, bien qu'ils disent tous deux la même chose.
    kcrumley

    1
    Ça craint. J'ai répondu en premier. J'aurais pu couper et coller le texte en ligne, mais rendre hommage à l'endroit où il était dû.
    MathewC

    D'accord, et si j'avais choisi la vôtre, j'évaluerais une réponse un peu plus rapide plutôt qu'une approbation personnelle de la technique, avec plus d'efforts. Aucune des deux façons n'est parfaite. Je t'ai donné un vote positif.
    kcrumley
    En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
    Licensed under cc by-sa 3.0 with attribution required.