les certificats SSL disparaissent IIS


19

J'essaie d'importer un certificat dans IIS. Tout va bien sur la MMC (console Windows). J'ai terminé les sorciers et semble que ça va. Mais, lorsque je rafraîchis la liste des certificats ou que je passe à un autre écran d'IIS, le certificat disparaît de la liste.

Je ne sais pas quel est le problème. Que puis-je faire?


La plupart des réponses couvrent les points clés (cette clé privée est manquante), et j'ai un article de blog pour révéler plus d'informations de fond blog.lextudio.com/…
Lex Li

Réponses:


13

Ce problème se produit lorsque le certificat importé n'a pas de clé privée associée. Si quelqu'un essaie d'importer un certificat de niveau de domaine vers IIS, nous ne pouvons pas importer si le certificat n'a pas de clé privée associée et entraînera la disparition du certificat lors de l'actualisation.

La solution serait d'importer le fichier .CER dans votre système (d'où le certificat est demandé) et de l'exporter avec une clé privée. Copiez ensuite le fichier .pfx sur le serveur requis et importez-le depuis l'option de certificat de serveur sous IIS. Cela résoudrait le problème.


1
Certaines personnes n'utilisent pas Windows pour demander leurs certificats, il est donc possible que la solution ne les aide pas. Ils doivent se référer à d'autres réponses pour générer un fichier .pfx, avec des outils comme OpenSSL.
Lex Li

3

J'ai eu ce problème plusieurs fois. Si vous utilisez un SSL NetworkSolutions, le correctif est:

  1. Accédez à MMC Certificate Manager.
  2. Affichez les certificats personnels et supprimez le certificat qui "disparaît".
  3. Affichez ensuite les «demandes d'inscription de certificats» et cliquez avec le bouton droit pour exporter.
  4. Sélectionnez "Oui, exporter avec une clé privée.

Cela vous permettra d'exporter un fichier .pfx que vous pouvez importer à partir du gestionnaire IIS 7. N'oubliez pas de revenir au Gestionnaire de certificats MMC et de sélectionner "Certificats personnels" et, dans les propriétés, ajoutez le "Nom convivial" pour qu'il s'affiche dans le Gestionnaire IIS.


Ma solution consiste à faire glisser les certificats qui ont une clé privée de "Autorité de certification intermédiaire" vers "Certificats personnels" dans mmc en appuyant sur Ctrl (Copier le certificat)
Bruce

J'ai pu exporter le .pfx, (il m'a demandé d'utiliser un mot de passe pour protéger la clé privée). L'exportation a fonctionné, mais quand j'ai essayé de l'importer dans IIS, il a dit qu'il n'a pas réussi à décrypter le fichier
Alejandro Lozdziejski

1

Est-ce dans IIS 6 ou IIS 7? L'avez-vous importé dans la console MMC ou dans IIS? Essayez d'abord de l'importer dans la console MMC, puis de le sélectionner dans IIS. Assurez-vous également que le fichier que vous importez est un fichier .pfx qui inclut la clé privée.


1

J'ai également rencontré ce problème et l'ai résolu en utilisant OpenSSL pour créer le fichier .pfx correct. Les instructions pour cela peuvent être trouvées ici


1
C'est la seule solution qui a fonctionné pour moi
Shiko

1

Si le serveur n'a pas de clé privée associée au certificat importé, le certificat disparaît lors de l'actualisation (et il ne sera pas non plus disponible pour les liaisons).

Vous pouvez vérifier dans le magasin mmc - Certificats - Personnel et confirmer que le certificat a été installé mais qu'il lui manque une clé privée.

Si vous avez un PFX (clé privée) et un mot de passe, vous pouvez l'importer (comme d'autres l'ont dit), mais si vous venez de faire une demande de certificat, vous ne l'aurez probablement pas.

En supposant que vous êtes sur le bon serveur (le même que celui où vous avez demandé le certificat), la clé privée a probablement été corrompue d'une manière ou d'une autre . Vous pouvez ouvrir le certificat public, obtenir le numéro de série et essayer de restaurer la clé privée à partir du magasin de clés comme décrit ici .


0

Utilisez le gestionnaire de certificats pour importer le fichier. De là, essayez d'exporter. Si vous ne pouvez pas exporter en tant que fichier PFX, je pense que cela signifie qu'il n'y a pas de clé privée dans le certificat. Vous avez peut-être téléchargé la mauvaise depuis votre autorité de certification. Je traite avec notre CA maintenant, donc je ne suis pas encore sûr à 100% à ce sujet.


0

Donc, après avoir lutté avec cela pendant quelques heures, retéléchargé le temps passé au téléphone avec le support technique et consulté tous les blogs que j'ai pu trouver, j'étais perplexe. J'ai essayé de soumettre à nouveau la demande de certificat pour régénérer le certificat (pas de chance). Avec un dernier effort, j'ai régénéré la demande de certificat et retapé le certificat et maintenant cela fonctionne bien. Je ne sais pas ce qui s'est passé et j'ai été très prudent en saisissant mes données à chaque fois. Ma solution consistait simplement à générer une nouvelle demande et à recréer le certificat.


Je veux juste appuyer ce que Dave a écrit: retaper le certificat. J'ai eu le problème qui était probablement dû à l'importation d'un mauvais certificat dans MMC (Un certificat de l'autorité de certification intermédiaire est censé être importé à l'aide de MMC, mais j'ai plutôt importé le certificat pour le site Web). Je l'ai supprimé après l'avoir réalisé, mais rien n'a aidé jusqu'à ce que je régénère un CSR selon les instructions de notre autorité de certification (godaddy dont le support technique est excellent) et que j'importe le certificat rekeyed dans IIS.

0

J'ai le même problème avec un cert IIS (avec clé privée, .pfx) après l'importation dans le nœud MMC Local / Personal / Certificate sur une machine Windows Server 2008R2.

Le certificat importe bien, dit que c'est bien avec CA, c'est aussi bien. Je peux ensuite configurer mon serveur proxy (TMG 2010) pour utiliser le certificat dans un écouteur Web. Tout fonctionne très bien et l'écouteur Web et les règles suivantes qui utilisent l'écouteur fonctionnent tous très bien.

Après un certain temps, je n'ai pas encore essayé de le chronométrer, le certificat disparaît du nœud MMC L / P / C. Mon écouteur TMG montre toujours que le certificat est celui qu'il est configuré pour utiliser, mais le certificat réel a disparu.


0

J'ai trouvé que le problème peut être reproduit lorsque le certificat feuille a été installé sous Autorités de certification intermédiaires. Le supprimer (et laisser tout véritable intermédiaire, le cas échéant) puis terminer l'assistant corrige le problème.


0

Comme l'a dit Sandeep, IIS supprime votre certificat s'il ne possède pas de clé privée. Cela se produit souvent si vous utilisez IIS pour créer une demande de certificat à partir d'une autorité de certification. Votre autorité de certification n'a pas votre clé privée (vous en avez), donc le fichier ne contient pas la clé privée. Il s'agit des étapes exactes que vous devez effectuer:

Vous avez initialement créé une demande de certificat à partir d'IIS sur votre serveur. Vous avez envoyé le fichier TXT de demande à votre autorité de certification afin qu'elle puisse créer le certificat pour vous.

Votre autorité de certification vous a renvoyé un fichier .CRT Sur le même serveur Windows que vous avez utilisé pour créer la demande de certificat, dans l'Explorateur Windows, cliquez avec le bouton droit de la souris sur le fichier .CRT que votre autorité de certification vous a envoyé.

Sélectionnez Installer le certificat L'assistant d'importation de certificat s'exécute

Dans l'Assistant Importation de certificat, dans Emplacement du magasin, sélectionnez Machine locale

Sélectionnez ensuite Placer tous les certificats dans le magasin suivant et sélectionnez Autorités de certification racines de confiance

OK Cela oblige Windows à importer le certificat dans Windows (pas dans IIS). Vous devez maintenant obtenir le fichier PFX qui contient la clé privée:

Lancer Mmc

Fichier - Ajouter / supprimer un composant logiciel enfichable…

Certificats (ordinateur local)

Depuis les certificats (ordinateur local) - Certification racine de confiance étendue

Dossier des autorités

Selected Certificates

Noticed my imported certificate with a key logo displayed on it

Ouvrez le certificat

Notez qu'il affiche "Vous disposez d'une clé privée qui correspond à ce certificat."

D'accord

Clic droit sur le certificat.

All Tasks --> Export

Prochain

Dans la page "Exporter la clé privée" de l'assistant, sélectionnez "Oui, exporter la clé privée"

Prochain

L'assistant d'exportation de certificat vous invite - Exporter le format de fichier PKCS # 12 (.PFX)

Prochain

L'assistant d'exportation de certificat vous oblige à protéger le fichier avec un mot de passe:

Entrez un mot de passe avec lequel protéger le fichier.

Prochain

Accédez à un emplacement et indiquez le nom du fichier. Le fichier aura l'extension .PFX.

Ensuite, ouvrez IIS 7

Sélectionnez votre serveur IIS dans le volet gauche (Connexions)

Cliquez sur Ouvrir les certificats de serveur dans la vue Fonctionnalités

Dans le volet droit "Actions", cliquez sur Importer…

Sélectionnez le fichier PFX que vous avez exporté

Fournissez le mot de passe que vous avez utilisé pour le protéger

Cliquez sur OK


0

J'avais le même problème ce matin où j'ai pu ajouter un certificat mais dès que je clique sur Actualiser, il disparaissait. Voici comment je l'ai résolu:

Utilisez les étapes ci-dessous pour installer le certificat SSL sur la boîte de développement: utilisez le fichier .pfx. Dans votre boîte de développement, accédez à Outil d'administration-> Gestionnaire IIS-> Certificats de serveur. Cliquez sur Importer dans le volet droit. Accédez au fichier .pfx téléchargé, utilisez le mot de passe Assurez-vous de cocher «Autoriser l'exportation de ce certificat» sinon Si vous recevriez une erreur de liaison plus tard. Accédez à Sites, trouvez votre site, cliquez sur les liaisons et modifiez https pour utiliser le nouveau certificat SSL.


0

La solution de Nick Olsen a fonctionné pour moi (certificat RapidSSL) et je vais inclure les étapes exactes ici (il y a plusieurs liens, un est cassé):

  1. Installez OpenSSL à partir d' ici
  2. Créez les fichiers suivants dans le répertoire d'installation d'OpenSSL (C: \ OpenSSL-Win32 \ bin par défaut):

    • privatekey.txt - Copiez et collez le contenu de la clé privée
    • certificate.txt - Copiez et collez le texte de la section Certificat
    • intermediaire.txt - Copiez et collez le texte de la section intermédiaire (étape facultative)
  3. Créez un fichier .pfx à l'aide de la commande suivante

    openssl pkcs12 -export -out certificate.pfx -inkey privatekey.txt -in certificate.txt -certfile intermediate.txt
    
  4. Importez le fichier dans les certificats de serveur (IIS)


0

Beaucoup de gens arriveront ici sans se rendre compte qu'ils font mal le processus de certificat pour ajouter SSL à leurs sites Web publics. Ils auront téléchargé un certificat de quelqu'un comme godaddy et ne se seront pas rendu compte qu'ils l'ont fait dans le mauvais ordre! Ils n'obtiendront aucun message d'erreur, tout ce qui se passera, c'est que le certificat dans IIS disparaîtra dès que vous cliquez sur une autre section.

Le processus correct est le suivant:

  1. Dans IIS, vous demandez un certificat (DE NOMBREUX PERSONNES MANQUENT CETTE PARTIE)
  2. Vous utilisez le code demandé à IIS pour demander un certificat sur le site public (par exemple godaddy). Beaucoup de gens ne font pas la première étape et utilisent une clé générée aléatoirement
  3. Téléchargez les certificats créés à l'aide de votre code de demande.
  4. vous ajoutez le certificat intermédiaire dans l'autorité de certification locale (utilisez MMC pour y arriver)
  5. Vous ajoutez l'autre certificat dans IIS
  6. Vous configurez les liaisons

Voici des liens. Créer une demande de certificat

https://www.instantssl.com/ssl-certificate-support/csr-generation/iis-ssl-certificate-7x.html

https://uk.godaddy.com/help/iis-8-install-a-certificate-4951


0

Traitez si le certificat est activé.

  1. Connectez-vous à votre Go Daddy VPS via Remote Desktop.
  2. Ouvrez le Gestionnaire IIS / mettez en surbrillance le nœud du serveur (volet gauche, IP de votre VPS) / double-cliquez sur Certificats de serveur (volet central) / cliquez sur Créer une demande de certificat / Remplissez (le nom commun est un nom de domaine complet, votredomaine.com) / choisissez Microsoft RSA SChannel et Longueur de 2048 bits / enregistrement en tant que fichier votredomaine.txt sur le bureau.
  3. Ouvrez le fichier votredomaine.txt que vous venez de créer / Copiez tout le texte.
  4. Connectez-vous à Go Daddy à partir de votre navigateur dans VPS via Remote Desktop / Mes produits / SSL / Utilisez votre crédit SSL activé / cliquez sur le centre du carré gris Re-Key et Gérez / Collez le texte dans la zone de texte / Enregistrer / Soumettre les modifications enregistrées.
  5. Une fois le propriétaire du domaine vérifié, revenez à Go Daddy / Mes produits / Certificats SSL / choisissez le domaine auquel le certificat est appliqué / sélectionnez Type de serveur (IIS) / Télécharger / extraire sur le bureau.
  6. Exécutez mmc / Fichier / Ajouter supprimer le composant logiciel enfichable / Certificats / Ajouter / Compte d'ordinateur / Ordinateur local / Terminer / OK
  7. Développez Certificats (ordinateur local) / cliquez avec le bouton droit sur Autorités de certification intermédiaires / cliquez avec le bouton droit / Toutes les tâches / Importez / importez le fichier avec PKCS7 # 7 dans le menu déroulant et ce fichier s'affichera dans la fenêtre / Suivant / Cochez "Placer tous les certificats dans le magasin suivant" Sélectionnez "Autorité de certification intermédiaire" / Terminer / Fermer / Enregistrer "Non" / Fermer la console mmc.
  8. Revenez au Gestionnaire IIS / sélectionnez le site Web affecté au certificat (volet gauche) / Liaisons (panneau droit) / Ajouter / Type (https), Adresse IP (IP de votre VPS), Port (443), ajoutez votre nom de domaine (votre domaine .com) / le certificat devrait apparaître dans une liste déroulante montrant votredomaine.com.

Remarque: je voudrais également consulter YouTube / Sachin Sammy sur la façon de faire un script de redirection de http vers https.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.