Importando certificados SSL no Win2k3 / IIS 6.0

2

Como parte de uma grande migração de sites, preciso copiar vários certificados SSL (cerca de 50) para sites diferentes.

Eu tentei exportá-los no servidor atual e importá-los no novo servidor, sem sucesso. Eu posso obter tudo para carregar e funcionar corretamente, mas se eu executar SSLDiag no novo servidor, eu recebo o erro "#WARNING: você não tem uma chave privada que corresponde a este certificado".

Não consigo encontrar uma maneira de importar a chave junto com o certificado. Preciso renovar cada certificado e, em caso afirmativo, isso é algo que custaria dinheiro?

Editar: esses servidores não têm a conectividade necessária para usar a opção "copiar ou mover o certificado" nos assistentes SSL.

Edit2: Ao renovar o certificado, isso invalida aquele no servidor antigo?

    
por Zimmy-DUB-Zongy-Zong-DUBBY 05.10.2009 / 22:05

2 respostas

1

if I run SSLDiag on the new server, I get the error "#WARNING: You DON'T have a private key that corresponds to this certificate". [...] I can't find any way to import the key along with the certificate.

Eu não sei os detalhes do IIS, mas sim, você precisa de ambos o certificado TSL (público) (SSL) e a chave (privada). Se o servidor não tiver a chave privada, não poderá usar o certificado correspondente; é assim que o TLS funciona. Tem que haver uma maneira de exportar ambos, você terá que cavar nos manuais: -).

Do I need to renew each certificate, and if so, is this something that would cost money?

Não, a renovação de certificados não tem nada a ver com a movimentação de servidores. Você pode simplesmente copiar os certificados e chaves pulic e privadas. Obviamente, o certificado TSL está vinculado a um nome de domínio específico, portanto, se o nome do domínio for alterado, será necessário um novo certificado (não apenas uma renovação).

By renewing the cert, does it invalidate the one on the old server?

O que você quer dizer com "invalidar"? Um certificado TLS não pode ser invalidado; só pode ser revogado pela autoridade emissora. Isso é algo que eles poderiam fazer se você renovar, mas eu nunca ouvi falar de nenhum emissor que realmente faça isso. Assim, você pode continuar usando o certificado antigo mesmo depois de uma renovação.

    
por 06.10.2009 / 10:27
0

Basta seguir estas instruções para exportar o certificado com a chave privada para um arquivo .pfx e importá-lo no outro servidor: link

Se a opção de exportar a chave privada não estiver disponível, você precisará localizar o servidor original em que o certificado foi criado ou apenas criar um novo CSR no novo servidor e emitir novamente o certificado (ou comprar um novo ).

    
por 06.10.2009 / 18:46