Eu tenho usado o LetsEncrypt para gerar certificados para meus sites no servidor Windows 2012 R2. Funcionou muito bem, até recentemente, quando renovei os certificados.
O LetsEncrypt fez uma alteração recente na qual eles trocaram o certificado intermediário pelo nome "Let's Encrypt Authority X1" para um com o nome "Let's Encrypt Authority X3". A questão é que a chave de autoridade para o certificado atualizado permaneceu a mesma.
link
Então, quando eu renovar por certificados de servidor, eles agora eram problemas pela autoridade "X3", no entanto, como a chave era a mesma, o Windows cert store parece criar a cadeia de certificados com o primeiro resultado (alfabeticamente?) acaba por ser o velho "X1" cert.
Aqui é onde o problema surge. Para alguns clientes / navegadores (como o Chrome), tudo bem, eles só olham para a chave do certificado intermediário. No entanto, outros clientes são mais rigorosos e também verificam o nome e, em seguida, falham (X1 em vez de X3).
Meu primeiro passo para consertar isso foi remover o certificado intermediário X1 e certificar-se de que todos os certificados do meu servidor foram atualizados para serem emitidos pelo X3. Agora, as coisas parecem corretas, pelo menos no armazenamento de certificados do Windows (a cadeia mostra corretamente a autoridade raiz - > X3 - > certificado do servidor).
O problema em que estou preso agora e que não consigo descobrir é por que os clientes continuam exibindo a cadeia de certificados errada (X1). Esse certificado intermediário nem existe mais no meu servidor que eu posso ver.
Eu tentei o servidor de reinicialização usual, e também deparei com este post semelhante, tentei as etapas lá algumas vezes sem qualquer sorte -
link
Alguma pista do que eu poderia estar perdendo? Parece haver algum problema com cadeias de certificados de cache do IIS, desde que eu tentei conectar em vários clientes / máquinas e todos têm o mesmo problema. Só não tenho idéia de como limpar esse "cache de cadeia cert", ou se existe mesmo.