2 つの異なる個別の IIS サーバーに負荷分散する IIS ARR サーバーがあります。
問題のサーバーは、社内のステージング サーバーです。3 か月前に、これらのサーバーで使用するために無料の Let's Encrypt SSL 証明書を作成しました。Let's Encrypt の場合と同様に、3 か月後に有効期限が切れました。そこで、今日、新しい証明書を作成し、ARR サーバーと両方の負荷分散サーバーの古い証明書を置き換えました。
それを行った後、任意のブラウザ (シークレット モードを含む) でサイトに戻ると、古い無効な証明書がまだ表示されます。古い証明書がブラウザにキャッシュされているかどうかを確認するために、このサイトを一度もアクセスしたことのないラップトップでサイトにアクセスしました。それらのラップトップでも、サイトは「安全ではありません」という警告とともに読み込まれました。
私が実行した手順は次のとおりです。
ARR サーバー上:
- IISのサーバーで「サーバー証明書」を開きます。
- 古い証明書を削除する
- 新しい証明書をインポートする
- 新しい有効期限が3か月後であることを確認します
- IISリセット
2 つの負荷分散サーバーで:
- IISのサーバーで「サーバー証明書」を開きます。
- 古い証明書を削除する
- 新しい証明書をインポートする
- 新しい有効期限が3か月後であることを確認します
- サイト上でBindingsに移動します
- SSLをドリルダウンしてSSL証明書が新しいものであることを確認します
- IISリセット
しかし、実際のファイルを削除するなど、古い証明書の痕跡がすべて削除されたにもかかわらず、何をしても、すべてのコンピューターのすべてのブラウザー (Chrome、FF など) に読み込まれ、古い証明書がまだ表示されます。
他に何をすればいいのか分かりません。
これが役に立つ場合:
(付け加えておきますが、多くの異なるフォーラムにまったく同じ質問が山ほどあります。私は何十も読みました。どれも解決策に導いてくれるわけではありません。)
答え1
https 443 ポートの既定の Web サイトで新しい証明書を選択する必要があります。(バインディング)
答え2
ロード バランサが SSL オフロードを行っている場合は、SSL 接続を終了してハンドシェイクを実行するデバイスになります。ロード バランサに正しい証明書があることを確認する必要があります。
答え3
私が読んだ他の多くの投稿でも、同じ問題を抱えている人がいましたが、ここでの解決策は、新しい SSL 証明書のインストールとは (ある程度) 無関係であることがわかりました。
短い答え: 3 つのサーバー (ロード バランサーと実際のコンテンツ サーバー) すべてを再起動する必要がありました。これにより、最終的にサーバーの古い証明書のキャッシュがクリアされたようです。
長い答え: IIS コンテンツ サーバーの 1 つ (ARR ロード バランシング サーバーではありません) の IP アドレスが間違っているようでした。つまり、私たちが指定した静的 IP アドレスが、ネットワーク上の他の場所で使用されているようでした。このため、ARR サーバーは他のコンテンツ サーバーのみを使用するようになりました。このため、サイトの全般的なサービスに奇妙な問題が発生しました (502 エラーが時々発生)。これは新しい SSL 証明書のせいだと考えていましたが、再起動後にサイト全体をオンラインに戻すのも困難でした。
結論としては、新しい SSL 証明書のインストールは実際の問題ではありませんでした。実際の問題を解決し、すべてのサーバーを再起動すると、問題は解決しました。
答え4
このコマンドは私の場合はうまくいきました。新しい SSL 証明書をインストールした後もブラウザーに古い SSL 証明書が表示される問題を解決するのに 3 ~ 4 日間苦労しました。
netsh http delete sslcert ipport={サーバーのプライベートIP}:443