web-dev-qa-db-ja.com

Windows ServerでLetsEncrypt証明書チェーンの問題を修正するにはどうすればよいですか?

LetsEncryptを使用して、Windows 2012 R2サーバー上のサイトの証明書を生成しています。最近、私が証明書を更新したときまで、それはうまくいきました。

LetsEncryptは最近の変更を行い、「Let's Encrypt Authority X1」という名前の中間証明書を「Let's Encrypt Authority X3」という名前の証明書に交換しました。問題は、更新された証明書の認証キーが同じままであるということです。

https://community.letsencrypt.org/t/upcoming-intermediate-changes/

したがって、サーバー証明書で更新したとき、それらは「X3」機関による問題でしたが、キーが同じだったため、Windows証明書ストアは最初に見つかった結果(アルファベット順?)で証明書チェーンを構築しているようです。古い「X1」証明書であること。

ここで問題が発生します。一部のクライアント/ブラウザ(Chromeなど)では、これは問題ありません。中間証明書のキーのみを確認します。ただし、他のクライアントはより厳密で、名前もチェックして失敗します(X3ではなくX1)。

これを修正するための最初のステップは、X1中間証明書を削除し、すべてのサーバー証明書がX3によって発行されるように更新されていることを確認することでした。これで、少なくともWindowsの証明書ストアでは、正しく見えます(チェーンはルート認証局-> X3->サーバー証明書を正しく示しています)。

私が今立ち往生していて、理解できないように見える問題は、クライアントが間違った証明書チェーン(X1)を表示し続ける理由です。その中間証明書は、私のサーバーにはもう存在していません。

私は通常の再起動サーバーを試してみましたが、この同様の投稿にも偶然遭遇しましたが、運が悪かったので、その手順を何度か試しました-

https://serverfault.com/a/706278/182874

私が見逃している可能性のある手がかりはありますか? IISキャッシング証明書チェーンに問題があるようです。私が複数のクライアント/マシンで接続しようとしましたが、すべて同じ問題があります。この「証明書チェーンをクリアする方法がわからないだけです。キャッシュ」、または存在する場合。

5
David

サーバーでこの問題を経験しました。これは2008R2でした。

  1. 古い証明書を削除するので、すべての証明書が新しい中間証明書を使用していることを確認します
  2. ローカルコンピューターとすべてのローカルユーザーアカウントからX1中間証明書を削除する
  3. 証明書ごとにIISのセキュアバインディングを削除します
  4. IISの各セキュアバインディングを再度追加する

2012R2にはいくつかの追加の問題があるかもしれません。解決策は https://community.letsencrypt.org/t/iis-8-5-building-incorrect-chain-with-lets-encrypt-authority-x3に投稿されています。/13320/84 かなりの数の人々が仕事をしていると報告している

3
Ginji