Como corrigir problemas com cadeias de certificados LetsEncrypt no Windows Server?

5

Eu tenho usado o LetsEncrypt para gerar certificados para meus sites no servidor Windows 2012 R2. Funcionou muito bem, até recentemente, quando renovei os certificados.

O LetsEncrypt fez uma alteração recente na qual eles trocaram o certificado intermediário pelo nome "Let's Encrypt Authority X1" para um com o nome "Let's Encrypt Authority X3". A questão é que a chave de autoridade para o certificado atualizado permaneceu a mesma.

link

Então, quando eu renovar por certificados de servidor, eles agora eram problemas pela autoridade "X3", no entanto, como a chave era a mesma, o Windows cert store parece criar a cadeia de certificados com o primeiro resultado (alfabeticamente?) acaba por ser o velho "X1" cert.

Aqui é onde o problema surge. Para alguns clientes / navegadores (como o Chrome), tudo bem, eles só olham para a chave do certificado intermediário. No entanto, outros clientes são mais rigorosos e também verificam o nome e, em seguida, falham (X1 em vez de X3).

Meu primeiro passo para consertar isso foi remover o certificado intermediário X1 e certificar-se de que todos os certificados do meu servidor foram atualizados para serem emitidos pelo X3. Agora, as coisas parecem corretas, pelo menos no armazenamento de certificados do Windows (a cadeia mostra corretamente a autoridade raiz - > X3 - > certificado do servidor).

O problema em que estou preso agora e que não consigo descobrir é por que os clientes continuam exibindo a cadeia de certificados errada (X1). Esse certificado intermediário nem existe mais no meu servidor que eu posso ver.

Eu tentei o servidor de reinicialização usual, e também deparei com este post semelhante, tentei as etapas lá algumas vezes sem qualquer sorte -

link

Alguma pista do que eu poderia estar perdendo? Parece haver algum problema com cadeias de certificados de cache do IIS, desde que eu tentei conectar em vários clientes / máquinas e todos têm o mesmo problema. Só não tenho idéia de como limpar esse "cache de cadeia cert", ou se existe mesmo.

    
por David 31.03.2016 / 00:23

1 resposta

3

Acabei de passar por este problema no meu servidor. Isso foi no 2008R2.

  1. Verifique se todos os certs estão usando o novo certificado intermediário, pois vamos remover o antigo
  2. Remova o certificado intermediário X1 do computador local e de todas as contas de usuários locais
  3. Remova a ligação segura no IIS para cada certificado
  4. Adicione novamente cada uma das ligações seguras no IIS

Há talvez alguns problemas adicionais para o 2012R2, há uma solução publicada em link que muitas pessoas estão relatando para trabalhar

    
por 26.05.2016 / 02:36