Morgen läuft das SSL-Zertifikat für meine Website ab. Ich frage mich, ob ich das neue Zertifikat jetzt durch das alte ersetzen oder warten soll, bis das alte abgelaufen ist. Ich möchte nicht, dass Besucher auf meiner Website die Sicherheitswarnung sehen, aber ich möchte auch das ältere Zertifikat vollständig nutzen. Welches Verfahren sollte ich anwenden, um mein SSL zu ändern, damit beide Probleme gelöst werden können? Bitte um Rat.
Bearbeiten:
Ich habe eine PFX-Datei mit Passwort
Danke
Antwort1
Ich würde empfehlen, es vor Ablauf zu ersetzen. Ein Zertifikat wirdnormalerweiselaufen am Morgen des Ablaufdatums ab. Ein Zertifikat, das beispielsweise am 3. September 2013 abläuft, ist in der Regel ab Mitternacht des 2. September 2013 (lokale Serverzeit) nicht mehr gültig.
Ich empfehle außerdem, die Spitzenauslastung Ihrer Website zu berücksichtigen, um den besten Zeitpunkt zum Ersetzen des Zertifikats zu ermitteln (während der Ersetzung kann es zu einer sehr kurzen Unterbrechung kommen). Idealerweise sollten Sie es zu einem Zeitpunkt ersetzen, zu dem die Auswirkungen auf Ihre Benutzer am geringsten sind.
Prozess zum Installieren des Zertifikats und zur Bindung an die IIS6-Website
Installieren des Zertifikats (mithilfe einer PFX-Datei) Beachten Sie, dass ich in der folgenden Anleitung einen eher manuellen Prozess verwende, da einige der von mir unterstützten Sites komplexe Setups haben.
Vorabprüfung
Starten Sie den IIS-Manager
Erweitern Sie den Servernamen (lokaler Computer).
Erweitern Sie die Option Websites
Suchen Sie nach Ihrer Site. Diese befindet sich entweder unterStandardwebsiteoder eine von Ihnen benannte Website
Klicken Sie mit der rechten Maustaste auf Ihre Site und wählen Sie „Eigenschaften“
Unter demWebseiteÜberprüfen Sie die Website-Identifikation und stellen Sie sicher, dass die TCP-Port- und SSL-Port-Optionen aktiviert sind (überprüfen Sie noch einmal, ob Sie sich auf der richtigen Site befinden).
Ich notiere mir die IP-Adressen, die URL der Website und den SSL-Port, teste sie mit dem lokalen Browser des Servers und überprüfe das angezeigte Zertifikat einschließlich seines Gültigkeitsdatums. Ich wiederhole diesen Vorgang am Ende der Änderung, um zu bestätigen, dass der Webserver das richtige Zertifikat anzeigt.
- Schließen Sie das Eigenschaftendialogfeld.
Installation
Wählen Sie im Startmenü den Befehl „Ausführen“ und geben Sie „mmc“ ein.
OK klicken
Wählen Sie im MMC-Applet das Menü Konsole und klicken Sie auf Snap-In hinzufügen/entfernen
Klicken Sie auf die Schaltfläche Hinzufügen
Wähle ausZertifikateMöglichkeit
Klicken Sie auf die Schaltfläche Hinzufügen
Wähle ausComputerkontound klicken Sie auf Weiter
Akzeptieren Sie die Standardeinstellung vonLokaler Computerund klicken Sie auf die Schaltfläche „Fertig stellen“.
Klicken Sie auf die Schaltfläche Schließen
Klicken Sie auf die Schaltfläche OK
Erweitern Sie die Option Zertifikate
Erweitern Sie den persönlichen Zertifikatspeicher
Klicken Sie auf den Ordner „Zertifikate“. Die installierten Zertifikate werden im persönlichen Speicher angezeigt. Ihr vorhandenes Zertifikat sollte hier ebenso aufgeführt sein wie die ausstellende Behörde und das Ablaufdatum.
Sie können auf das vorhandene Zertifikat doppelklicken, wenn Sie dessen Details und den Zertifizierungspfad anzeigen möchten.
Wir werden jetzt das neue Zertifikat installieren.
Klicken Sie mit der rechten Maustaste auf den Ordner „Zertifikate“ im persönlichen Speicher.
Alle Aufgaben auswählen
Wählen Sie Importieren
Jetzt wird der Zertifikatsimport-Assistent gestartet.
Weiter klicken
Wir möchten nun das bereitgestellte Zertifikat auswählen. Klicken Sie auf die Schaltfläche Durchsuchen, um einen Dialog anzuzeigen, der es uns ermöglicht, zum Speicherort der Dateien zu navigieren.
Wählen Sie Dateien vom Typ „Personal Information Exchange“ (*.pfx, .p12) und navigieren Sie zu dem Laufwerk und Ordner, der die Zertifikatsdateien enthält.
Sie sollten das zu installierende Zertifikat sehen
Klicken Sie darauf und wählen Sie „Öffnen“
Der Pfad zur Datei wird im Suchdialog angezeigt. Klicken Sie auf Weiter
Wenn das Zertifikat ein Passwort hat (was bei fast allen Server-Zertifikaten der Fall ist), geben Sie das Passwort ein oder fügen Sie es ein. Stellen Sie sicher, dass dasDiesen Schlüssel als exportierbar markierentutNICHTSetzen Sie ein Häkchen dagegen - Sie möchten nicht, dass jemand mit direktem Zugriff Ihr Zertifikat exportieren und sich als Ihre Site ausgeben kann. Klicken Sie auf Weiter
Akzeptieren Sie die Standardeinstellung „Persönlicher Speicher“ und klicken Sie auf „Weiter“.
Klicken Sie auf „Fertig“ und die Datei wird importiert.
Sie erhalten eine Meldung, ob der Import erfolgreich war.
Im persönlichen Zertifikatspeicher sehen Sie das neue installierte Zertifikat mit Ablaufdatum. Wie bereits erwähnt, sehen Sie auch das alte Zertifikat im Speicher.
Um sicherzugehen, doppelklicke ich normalerweise auf das neue Zertifikat und bestätige, dass die Meldung angezeigt wird, dass das Zertifikat gültig ist.
Starten Sie den Internet Information Service Manager oder wechseln Sie zum Internet Information Service Manager
Wählen Sie die Eigenschaften der Website aus, für die Sie das Zertifikat ersetzen möchten (klicken Sie mit der rechten Maustaste auf die Website und wählen Sie „Eigenschaften“).
Wählen Sie die Registerkarte „Verzeichnissicherheit“
Klicken Sie im Abschnitt „Sichere Kommunikation“ auf „Serverzertifikat“
Der IIS-Zertifikatsassistent wird angezeigt und bietet verschiedene Optionen.
Wähle ausErsetzen des aktuellen ZertifikatsMöglichkeit
Weiter klicken
In einem Dialogfeld wird die Liste der verfügbaren Zertifikate angezeigt, die einer Website zugeordnet werden können. In diesem Fall wählen wir das neu installierte Zertifikat mit seinem neuen Ablaufdatum aus.
Markieren Sie die Datei und klicken Sie auf Weiter
Die Zertifikatdetails werden angezeigt. Überprüfen Sie noch einmal, ob dies das Zertifikat ist, das Sie der Website zuordnen möchten, und klicken Sie dann auf Weiter.
Der IIS-Zertifikat-Assistent meldet dann, ob der Austausch des Zertifikats auf der Website erfolgreich abgeschlossen wurde.
Technische Validierung nach der Implementierung (PIV)
Lokaler Servertest (vorausgesetzt, Sie haben den Browser nicht deaktiviert)
Starten Sie Ihren Browser auf dem Server und geben Sie die sichere Verbindung, IP-Adresse und Portnummer ein (z. B.
https://mywebsiteaddress:443) .Überprüfen Sie, ob Sie eine Verbindung zum SSL-Port für die Site herstellen können.
Möglicherweise wird ein Zertifikatsfehler angezeigt, wenn Sie eine Verbindung über die IP-Adresse herstellen oder die eingegebene Adresse nicht mit den Zertifikatdetails übereinstimmt. Fahren Sie mit der Site fort und zeigen Sie dann die Zertifikatdetails an, um zu bestätigen, dass das von IIS angezeigte Zertifikat das neue Ablaufdatum hat.
- Überprüfen Sie von einem normalen Gerät aus, das Ihre Benutzer für den Zugriff auf die Website verwenden würden, und bestätigen Sie, dass Ihrem Browser das richtige Zertifikat vorgelegt wird.
Aufräumen
Sobald Sie dies bestätigt haben, wird Ihr Zertifikat erneuert und funktioniert auf der Ebene des lokalen Servers und des Remoteclients.
Schließen Sie das IIS-Manager-Applet.
Wählen Sie in der Zertifikat-MMC das alte Zertifikat aus (überprüfen Sie vorher noch einmal, ob es das richtige ist!!) und löschen Sie es. Dadurch wird sichergestellt, dass das alte Zertifikat in Zukunft nicht versehentlich an die Website gebunden wird.
Wenn Sie das Zertifikat an ein bestimmtes Dienstkonto für Ihre Website binden müssen, empfiehlt es sich außerdem, das alte Zertifikat zu löschen, bevor Sie es an ein Dienstkonto binden. Ich habe dies nicht erwähnt, da aus Ihrer Frage nicht hervorging, dass Sie eine App mit einem Dienstkonto in Verbindung mit der Website hatten.
Schließen Sie die Zertifikat-MMC und speichern Sie sie nicht (es sei denn, Sie möchten sie in Zukunft verwenden).