certyfikaty ssl znikają IIS

19

Próbuję zaimportować certyfikat do IIS. Na konsoli MMC (Windows Console) wszystko jest w porządku. Skończyłem czarodziejów i wydaje się, że wszystko w porządku. Ale gdy odświeżam listę certyfikatów lub przechodzę do innego ekranu IIS, certyfikat znika z listy.

Nie mam pojęcia na czym polega problem. Co mogę zrobić?

iis  ssl 
studiohack
źródło
Większość odpowiedzi dotyczy kluczowych punktów (brakuje klucza prywatnego), a ja mam wpis na blogu, aby ujawnić więcej informacji na blog.lextudio.com/…
Lex Li

Odpowiedzi:

13

Ten problem występuje, gdy do importowanego certyfikatu nie jest powiązany klucz prywatny. Jeśli ktoś próbuje zaimportować certyfikat na poziomie domeny do IIS, nie możemy zaimportować, jeśli certyfikat nie ma powiązanego klucza prywatnego i spowoduje, że certyfikat zniknie podczas odświeżania.

Rozwiązaniem byłoby zaimportowanie pliku .CER do systemu (z którego żądany jest certyfikat) personel sklepu i wyeksportowanie go za pomocą klucza prywatnego. Następnie skopiuj plik .pfx na wymagany serwer i zaimportuj go z opcji certyfikatu serwera w IIS. To rozwiązałoby problem.

Sandeep Kalsuri
źródło
1
Niektóre osoby nie używają systemu Windows do żądania certyfikatów, więc rozwiązanie może im nie pomóc. Powinny odwoływać się do innych odpowiedzi w celu wygenerowania pliku .pfx za pomocą narzędzi takich jak OpenSSL.
Lex Li
3

Miałem ten problem wiele razy. Jeśli używasz protokołu NetworkSolutions SSL, poprawka jest następująca:

  1. Przejdź do Menedżera certyfikatów MMC.
  2. Wyświetl Certyfikaty osobiste i usuń certyfikat „Znikający”.
  3. Następnie przejrzyj „Żądania rejestracji certyfikatu” i kliknij prawym przyciskiem, aby wyeksportować.
  4. Wybierz „Tak, eksportuj za pomocą klucza prywatnego.

Umożliwi to wyeksportowanie pliku .pfx, który można zaimportować z menedżera IIS 7. Pamiętaj, aby wrócić do Menedżera certyfikatów MMC i wybrać „Certyfikaty osobiste”, a we właściwościach ponownie dodać „Przyjazna nazwa”, aby wyświetlała się w Menedżerze IIS.

Brian
źródło
Moje rozwiązanie polega na przeciąganiu certyfikatów, które mają klucz prywatny z „Pośredniego urzędu certyfikacji” do „Certyfikatów osobistych” w mmc, naciskając Ctrl (Copy Cert)
Bruce
Udało mi się wyeksportować plik .pfx (poprosił mnie o użycie hasła do ochrony klucza prywatnego). Eksport działał, ale kiedy próbowałem go zaimportować do IIS, napisano, że nie udało się odszyfrować pliku
Alejandro Lozdziejski
1

Czy to jest w IIS 6 lub IIS 7? Czy zaimportowałeś go w konsoli MMC lub w IIS? Spróbuj najpierw zaimportować go w konsoli MMC, a następnie wybrać w IIS. Upewnij się również, że importowany plik to plik .pfx zawierający klucz prywatny.

Robert
źródło
1

Miałem również ten problem i rozwiązałem go, używając OpenSSL do utworzenia poprawnego pliku .pfx. Instrukcje na ten temat można znaleźć tutaj

1
To jedyne rozwiązanie, które zadziałało dla mnie
Shiko
1

Jeśli serwer nie ma powiązanego klucza prywatnego z importowanym certyfikatem, certyfikat znika podczas odświeżania (a także nie będzie dostępny dla powiązań).

Możesz sprawdzić w mmc - Certyfikaty - Osobisty sklep i potwierdzić, że certyfikat został zainstalowany, ale brakuje mu klucza prywatnego.

Jeśli masz PFX (klucz prywatny) i hasło, możesz je zaimportować (jak powiedziano inaczej), ale jeśli właśnie złożyłeś wniosek o certyfikat, prawdopodobnie nie będziesz go mieć.

Zakładając, że znajdujesz się na właściwym serwerze (tym samym, na którym prosiłeś o certyfikat), prawdopodobnie klucz prywatny został w jakiś sposób uszkodzony . Możesz otworzyć certyfikat publiczny, uzyskać numer seryjny i spróbować przywrócić klucz prywatny z magazynu kluczy, jak opisano tutaj .

drizin
źródło
0

Użyj menedżera certyfikatów, aby zaimportować plik. Stamtąd spróbuj wyeksportować. Jeśli nie możesz wyeksportować jako plik PFX, uważam, że oznacza to, że nie ma klucza prywatnego w certyfikacie. Być może pobrałeś niewłaściwy plik z urzędu certyfikacji. Mam teraz do czynienia z naszym CA, więc nie jestem jeszcze w 100% pewien.

0

Więc po kilku godzinach borykania się z tym problemem, ponownym pobraniu certyfikatu spędzającego czas na telefonie z pomocą techniczną i patrząc na każdy blog, jaki mogłem znaleźć, byłem zaskoczony. Próbowałem ponownie przesłać żądanie certyfikatu, aby zregenerować certyfikat (bez powodzenia). Z ostatnim wysiłkiem po równi zregenerowałem żądanie certyfikatu i ponownie wygenerowałem certyfikat, a teraz działa dobrze. Nie wiem, co się stało, i bardzo ostrożnie wpisywałem swoje dane za każdym razem. Moim rozwiązaniem było po prostu wygenerowanie nowego żądania i ponowne wygenerowanie certyfikatu.

Chcę tylko poprzeć to, co napisał Dave: ponowne uzyskanie certyfikatu. Miałem problem, który prawdopodobnie został spowodowany przez zaimportowanie niewłaściwego certyfikatu do MMC (certyfikat pośredniego urzędu certyfikacji powinien zostać zaimportowany za pomocą MMC, ale zamiast tego zaimportowałem certyfikat dla strony internetowej). Usunąłem go, gdy zdałem sobie z tego sprawę, ale nic nie pomogło, dopóki nie zregenerowałem CSR zgodnie z instrukcjami naszego CA (cholernie, które wsparcie techniczne jest świetne) i nie zaimportowałem ponownie wygenerowanego certyfikatu do IIS.
0

Mam ten sam problem z certyfikatem IIS (w / klucz prywatny, .pfx) po zaimportowaniu do węzła MMC Local / Personal / Certificate na komputerze z systemem Windows Server 2008R2.

Certyfikat importuje się dobrze, mówi, że jest dobry z CA, który jest również dobry. Następnie mogę skonfigurować mój serwer proxy (TMG 2010) do używania certyfikatu w nasłuchiwaniu sieciowym. Wszystko działa świetnie, a program nasłuchujący i kolejne reguły, które go używają, działają poprawnie.

Po pewnym czasie nie próbowałem jeszcze tego ustalić, cert znika z węzła MMC L / P / C. Mój odbiornik TMG nadal pokazuje ten certyfikat jako ten, z którego jest skonfigurowany, ale faktyczny certyfikat zniknął.

0

Odkryłem, że problem można odtworzyć po zainstalowaniu certyfikatu liścia w pośrednich urzędach certyfikacji. Usunięcie go (i pozostawienie dowolnego pośredniego, jeśli dotyczy), a następnie ukończenie kreatora rozwiązuje problem.

0

Jak powiedział Sandeep, IIS usuwa twój certyfikat, jeśli nie ma klucza prywatnego. Dzieje się tak często, jeśli używasz usług IIS do utworzenia żądania certyfikatu z urzędu certyfikacji. Twój urząd certyfikacji nie ma twojego klucza prywatnego (tak), więc plik nie zawiera klucza prywatnego. To są dokładne kroki, które musisz zrobić:

Pierwotnie utworzyłeś żądanie certyfikatu z IIS na swoim serwerze. Wysłałeś plik TXT żądania do urzędu certyfikacji, aby mógł utworzyć dla Ciebie certyfikat.

Urząd certyfikacji odesłał Ci plik .CRT W tym samym systemie Windows Server, którego użyto do utworzenia żądania certyfikatu, w Eksploratorze Windows kliknij prawym przyciskiem myszy plik .CRT, który przesłał Ci Urząd certyfikacji.

Wybierz Zainstaluj certyfikat Uruchomi się Kreator importu certyfikatów

W Kreatorze importu certyfikatów w lokalizacji sklepu wybierz Komputer lokalny

Dalej Wybierz Umieść wszystkie certyfikaty w następującym magazynie i wybierz Zaufane główne urzędy certyfikacji

OK Powoduje to, że system Windows importuje certyfikat do systemu Windows (nie do IIS). Teraz musisz uzyskać plik PFX, który zawiera klucz prywatny:

Uruchom Mmc

Plik - Dodaj / Usuń przystawkę…

Certyfikaty (komputer lokalny)

Z certyfikatów (komputer lokalny) - rozszerzona Zaufana główna certyfikacja

Folder organów

Selected Certificates

Noticed my imported certificate with a key logo displayed on it

Otwórz certyfikat

Zauważ, że wyświetla się komunikat „Masz klucz prywatny, który odpowiada temu certyfikatowi”.

Dobrze

Kliknij certyfikat prawym przyciskiem myszy. 

All Tasks --> Export

Kolejny

Na stronie kreatora „Eksportuj klucz prywatny” wybierz „Tak, eksportuj klucz prywatny”

Kolejny

Kreator eksportu certyfikatów wyświetla monit - Format pliku eksportu PKCS # 12 (.PFX)

Kolejny

Kreator eksportu certyfikatów wymaga ochrony pliku hasłem:

Wprowadź hasło, za pomocą którego chcesz chronić plik.

Kolejny

Przejdź do lokalizacji i podaj nazwę pliku. Plik będzie miał rozszerzenie .PFX.

Następnie otwórz IIS 7

Wybierz serwer IIS w lewym panelu (Połączenia)

Kliknij Otwórz certyfikaty serwera w widoku Funkcje

W prawym panelu „Działania” kliknij Importuj…

Wybierz wyeksportowany plik PFX

Podaj hasło użyte do jego ochrony

Kliknij OK

Martin Cox
źródło
0

Tego samego ranka miałem ten sam problem, w którym mogłem dodać certyfikat, ale gdy tylko kliknąłem przycisk odśwież, znikał. Oto jak to rozwiązałem:

Wykonaj poniższe kroki, aby zainstalować ssl cert na dev box-: Użyj pliku .pfx. Z okna dewelopera przejdź do Narzędzia administracyjne-> Menedżer IIS-> Certyfikaty serwera. Kliknij Importuj z prawego panelu. Przejdź do pobranego pliku .pfx, użyj hasła Upewnij się, że zaznaczono opcję „Zezwól na eksport tego certyfikatu”, w przeciwnym razie Jeśli później pojawi się błąd powiązania. Przejdź do Witryn, znajdź swoją witrynę, kliknij powiązania i edytuj https, aby użyć nowego certyfikatu ssl.

Mr. Wonderful
źródło
0

Rozwiązanie Nicka Olsena zadziałało dla mnie (certyfikat RapidSSL) i przedstawię tutaj dokładne kroki (istnieje wiele linków, jeden jest zepsuty):

  1. Zainstaluj tutaj OpenSSL

  2. Utwórz następujące pliki w katalogu instalacyjnym OpenSSL (domyślnie C: \ OpenSSL-Win32 \ bin):

    • privatekey.txt - Skopiuj i wklej zawartość klucza prywatnego
    • certyfikat.txt - Skopiuj i wklej tekst sekcji Certyfikatu
    • intermed.txt - Skopiuj i wklej tekst sekcji pośredniej (krok opcjonalny)

  3. Utwórz plik .pfx za pomocą następującego polecenia

    openssl pkcs12 -export -out certificate.pfx -inkey privatekey.txt -in certificate.txt -certfile intermediate.txt

  4. Zaimportuj plik w ramach certyfikatów serwera (IIS)

Aleksiej
źródło
0

Wiele osób przyjedzie tutaj, nie zdając sobie sprawy, że nieprawidłowo przeprowadzają proces certyfikacji, dodając SSL do swoich publicznych stron internetowych. Pobiorą certyfikat od kogoś takiego jak chrzestny i nie zdadzą sobie sprawy, że zrobili to w niewłaściwej kolejności! Nie dostaną żadnych komunikatów o błędach, wszystko, co się stanie, to zniknięcie certyfikatu w IIS, gdy tylko klikniesz inną sekcję.

Prawidłowy proces jest następujący:

  1. W IIS żądasz certyfikatu (BRAK LUDZI BRAKUJE TEJ CZĘŚCI)
  2. Korzystasz z kodu żądanego od IIS, aby poprosić o certyfikat na stronie publicznej (np. Chrzestny). Wiele osób nie robi kroku pierwszego i używa losowo generowanego klucza
  3. Pobierz certyfikaty utworzone za pomocą kodu żądania.
  4. dodajesz certyfikat pośredni w lokalnym urzędzie certyfikacji (aby się tam dostać, użyj MMC)
  5. Dodaj drugi certyfikat w IIS
  6. Konfigurujesz powiązania

Oto linki. Utwórz żądanie certyfikatu

https://www.instantssl.com/ssl-certificate-support/csr-generation/iis-ssl-certificate-7x.html

https://uk.godaddy.com/help/iis-8-install-a-certificate-4951

Christopher Vickers
źródło
0

Przetwarzaj, jeśli certyfikat jest aktywowany.

  1. Zaloguj się do urządzenia Go Daddy VPS za pośrednictwem pulpitu zdalnego.
  2. Otwórz Menedżera usług IIS / zaznacz węzeł serwera (lewy panel, adres IP twojego VPS) / kliknij dwukrotnie Certyfikaty serwera (środkowy panel) / kliknij Utwórz żądanie certyfikatu / Wypełnij (nazwa zwykła to FQDN, twojadomena.com) / wybierz Microsoft RSA SChannel i 2048 bitów długości / zapisz jako plik twojadomena.txt na pulpicie.
  3. Otwórz plik twojadomena.txt, który właśnie utworzyłeś / Skopiuj cały tekst.
  4. Zaloguj się do Go Daddy z przeglądarki wewnątrz VPS za pośrednictwem pulpitu zdalnego / Moje produkty / SSL / Użyj aktywowanego kredytu SSL / kliknij centrum szary kwadrat Ponownie wprowadź klucz i Zarządzaj / Wklej tekst do pola tekstowego / Zapisz / Prześlij zapisane zmiany.
  5. Po zweryfikowaniu właściciela domeny wróć do Go Daddy / My Products / SSL Certificates / wybierz domenę, do której certyfikat zostanie zastosowany / wybierz Typ serwera (IIS) / Pobierz / rozpakuj na pulpit.
  6. Uruchom mmc / Plik / Dodaj usuń przystawkę / Certyfikaty / Dodaj / Konto komputera / Komputer lokalny / Zakończ / OK
  7. Rozwiń Certyfikaty (komputer lokalny) / kliknij prawym przyciskiem myszy Pośrednie urzędy certyfikacji / kliknij prawym przyciskiem myszy / Wszystkie zadania / Importuj / importuj plik za pomocą PKCS7 # 7 z listy rozwijanej, a plik pojawi się w oknie / Dalej / Zaznacz „Umieść wszystkie certyfikaty w następującym magazynie” Wybierz „Pośredni urząd certyfikacji” / Zakończ / Zamknij / Zapisz „Nie” / Zamknij konsolę mmc.
  8. Wróć do Menedżera IIS / wybierz stronę internetową przypisaną do certyfikatu (lewy panel) / Wiązania (prawy panel) / Dodaj / Typ (https), Adres IP (IP twojego VPS), Port (443), dodaj swoją nazwę domeny (twojadomena .com) / certyfikat powinien zostać wyświetlony w menu rozwijanym pokazującym twoja_domena.com.

Uwaga: sprawdziłbym również YouTube / Sachin Sammy, jak wykonać skrypt przekierowujący z http na https.

seanmac4477
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.