Substituir o certificado SSL antigo no IIS6

9

Eu tenho que atualizar meu certificado SSL para IIS6 no Windows 2003 Server. O fornecedor (Thawte) informa que minha solicitação de assinatura de certificado não é resignável, o que considero significar que preciso gerar uma solicitação para um novo certificado. No Gerenciador do IIS, no entanto, desde que eu tenha o certificado atual instalado, minhas únicas opções são:

  • Renovar o certificado atual
  • Remover o certificado atual
  • Substituir o certificado atual
  • Exporte o certificado atual para um arquivo .pfx
  • Copiar ou mover o certificado atual para um site de servidor remoto

Eu pensei que "Substituir" seria a opção óbvia, mas não me dá a opção de criar uma nova solicitação para substituir o certificado atual; Eu só posso escolher entre os certificados já instalados no servidor. Se eu "remover" o certificado atual para solicitar um novo, isso faria com que meus clientes soubessem imediatamente que meu servidor não estava seguro? Ou eu estou entendendo mal a documentação do Thawte, e eu realmente posso Renovar? Eu renovei certificados no passado, e não posso imaginar que não há como conseguir isso sem interromper o status "SSL secured". Agradecemos antecipadamente.

    
por kcrumley 23.06.2009 / 18:52

2 respostas

15

Eu tentei fazer a coisa baseada em renovação-no-existente-cert antes, e isso sempre resultou em uma bagunça (foi com a Verisign no meu caso, mas não consigo imaginar o processo de Thawte funciona muito melhor, embora eu esteja totalmente preparado para culpar minha própria ignorância SSL na época). De qualquer forma, a maneira como isso funcionou é:

  • Crie um site temporário no IIS. Chame isso de "renovação de SSL" ou algo assim - ele nunca verá a Internet, então isso não importa realmente.
  • Gere um CSR para o novo site, usando EXATAMENTE os mesmos parâmetros que você fez para o certificado do seu site real; nome do site, org. informação, tamanho da chave, tudo.
  • Passe pelo processo de renovação da Thawte, fornecendo o novo e brilhante CSR que você gerou.
  • Quando você receber a resposta assinada, processe e instale-a no temp. local. O certificado está agora na loja cert da conta de computador local, para que possa ser visto pelo IIS - veja onde estamos indo com isso?
  • Agora que o novo certificado está instalado, vá para as propriedades SSL do site real e selecione "substituir o certificado atual". Na lista de certificados a utilizar, deverá ver o seu novo. Selecione e pronto. Sinta-se à vontade para excluir o antigo depois, e não se esqueça de fazer o backup de seu certificado e chave privada!
  •     
    por 23.06.2009 / 19:04
    6

    Este KB no site da comodo descreve como fazer isso:

    Basicamente, você estará recriando seu site no IIS e gerando uma solicitação a partir dele. Em seguida, você o exclui e substitui o certificado no seu site atual.

        
    por 23.06.2009 / 19:01

    Tags