web-dev-qa-db-ja.com

IIS6の古いSSL証明書を置き換える

Windows 2003 ServerでIIS6のSSL証明書を更新する必要があります。ベンダー(Thawte)は、私の証明書署名要求は署名不可であることを教えてくれます。つまり、新しい証明書の要求を生成する必要があるということです。 IIS Managerでは、現在の証明書がインストールされている限り、オプションは次のとおりです。

  • 現在の証明書を更新する
  • 現在の証明書を削除します
  • 現在の証明書を置き換える
  • 現在の証明書を.pfxファイルにエクスポートする
  • 現在の証明書をリモートサーバーサイトにコピーまたは移動する

「置換」は当然の選択肢だと思っていましたが、現在の証明書を置き換えるための新しいリクエストを作成することはできません。サーバーにインストール済みの証明書からのみ選択できます。新しい証明書を要求するために現在の証明書を「削除」すると、サーバーが保護されていないことがクライアントにすぐに通知されますか?または、Thawteのドキュメントを誤解していて、本当に更新できますか?私は過去に証明書を更新しましたが、「SSLで保護された」ステータスを乱さずにこれを実現する方法がまったくないとは想像できません。前もって感謝します。

9
kcrumley

私は以前に既存の証明書に基づいて更新を行うことを試みたことがあり、それは常に少し混乱を引き起こしました(私の場合、Verisignで発生していましたが、Thawteのプロセスがはるかにうまく機能するとは想像できません、当時は自分のSSLの無知を非難する準備ができていますが)。とにかく、これを解決した方法は次のとおりです。

  • IISで一時サイトを作成します。それを「SSL更新」または何かと呼んでください-それはインターネットを見るつもりはないので、それは本当に問題ではありません。
  • 実際のサイトの証明書に対して行ったのとまったく同じパラメーターを使用して、新しいサイトのCSRを生成します。サイト名、組織。情報、キーの長さ、すべて。
  • Thawteの更新プロセスを実行し、生成した光沢のある新しいCSRを提供します。
  • 署名された応答が返ってきたら、処理してtempにインストールします。地点。これで証明書はローカルコンピューターアカウントの証明書ストアにあるため、IIS-これでどこに行くのか確認できますか?
  • 新しい証明書がインストールされたので、実際のサイトのSSLプロパティに移動し、「現在の証明書を置き換える」を選択します。使用する証明書のリストに、新しい証明書が表示されます。それを選択すれば完了です。後で古いものを削除してもかまいません。証明書と秘密鍵をバックアップすることを忘れないでください。
  • 15
    RainyRat

    これは comodo WebサイトのKB で説明されています。

    基本的には、IIS)でサイトを再作成し、そのサイトからリクエストを生成します。次に、サイトを削除して、現在のサイトの証明書を置き換えます。

    6
    MathewC