Como instalar (atualizar) o certificado SSL para um site no cluster do Windows NLB

2

Eu queria perguntar qual é o procedimento adequado para instalar um certificado SSL em dois servidores executando o IIS6 que estão em uma configuração de balanceamento de carga do NLB.

Ontem eu instalei os certificados de acordo com o que eu acreditava ser o procedimento correto. Pouco depois disso, eu estava recebendo erros de certificação no meu iphone (mas em nenhum outro lugar - chrome, IE, firefox estavam todos bem)

Desde então, o SSL do site não está gerando erros no meu iPhone (Safari, Chrome), mas eu não me sinto confiante de que fiz isso corretamente ...

  • No IIS 6, solicite o certificado usando a opção de atualização.

  • Use o CSR resultante para obter os certificados (de godaddy)

Certificado raiz ....

  • Usando os certificados adquiridos, conclua a solicitação pendente no IIS6.

  • Ainda no IIS6, exporte o certificado.

  • No outro servidor - Importe o certificado para o armazenamento 'Certificados Pessoais' no snap-in de certificados no MMC.

  • No IIS6 (outro servidor ainda), escolha a opção 'alterar certificado' e escolha o certificado recém-importado.

Certificado intermediário ...

  • Importe o certificado intermediário para a "Autoridade de Certificação Intermediária"

  • É aqui que estou inseguro se fiz a coisa certa - eu não exportei o certificado intermediário importado e importei-o no outro servidor. Em vez disso, simplesmente importei o mesmo arquivo novamente. Eu fiz isso porque parece que lembro de aprender no passado que a importação / exportação não precisava ser feita para o certificado Intermediário. (Além disso, até hoje ainda não entendo completamente qual é o objetivo / ponto do certificado Intermediário. Acredito que ele seja fornecido para suportar navegadores muito antigos?)

Então, minha pergunta é: Eu fiz isso certo? Este é o procedimento válido para atualizar o SSL em servidores com carga balanceada executando o IIS6?

Editar: Após investigação adicional (com a ajuda de - link ), descobri que os certificados intermediários não estavam presentes no primeiro servidor (eu poderia ter jurado que os instalei, mas obviamente não o fiz) Agora os instalei e meu site passou no teste "Certificados adicionais" para cada servidor.

    
por MrVimes 21.05.2014 / 18:07

1 resposta

1

O certificado intermediário não precisa de exportação / importação, somente importação (ele não contém uma chave privada)

Você fez tudo certo, contanto que tenha exportado o certificado no ServerA COM a chave privada e o tenha importado para o ServerB WITH da chave privada. Mas este parece ser o caso, pois o IIS aceitou o certificado - tudo bem.

    
por 21.05.2014 / 18:58