Verfahren zum Ersetzen des alten SSL-Zertifikats auf IIS 6?

Verfahren zum Ersetzen des alten SSL-Zertifikats auf IIS 6?

Morgen läuft das SSL-Zertifikat für meine Website ab. Ich frage mich, ob ich das neue Zertifikat jetzt durch das alte ersetzen oder warten soll, bis das alte abgelaufen ist. Ich möchte nicht, dass Besucher auf meiner Website die Sicherheitswarnung sehen, aber ich möchte auch das ältere Zertifikat vollständig nutzen. Welches Verfahren sollte ich anwenden, um mein SSL zu ändern, damit beide Probleme gelöst werden können? Bitte um Rat.

Bearbeiten:

Ich habe eine PFX-Datei mit Passwort

Danke

Antwort1

Ich würde empfehlen, es vor Ablauf zu ersetzen. Ein Zertifikat wirdnormalerweiselaufen am Morgen des Ablaufdatums ab. Ein Zertifikat, das beispielsweise am 3. September 2013 abläuft, ist in der Regel ab Mitternacht des 2. September 2013 (lokale Serverzeit) nicht mehr gültig.

Ich empfehle außerdem, die Spitzenauslastung Ihrer Website zu berücksichtigen, um den besten Zeitpunkt zum Ersetzen des Zertifikats zu ermitteln (während der Ersetzung kann es zu einer sehr kurzen Unterbrechung kommen). Idealerweise sollten Sie es zu einem Zeitpunkt ersetzen, zu dem die Auswirkungen auf Ihre Benutzer am geringsten sind.

Prozess zum Installieren des Zertifikats und zur Bindung an die IIS6-Website

Installieren des Zertifikats (mithilfe einer PFX-Datei) Beachten Sie, dass ich in der folgenden Anleitung einen eher manuellen Prozess verwende, da einige der von mir unterstützten Sites komplexe Setups haben.

Vorabprüfung

  • Starten Sie den IIS-Manager

  • Erweitern Sie den Servernamen (lokaler Computer).

  • Erweitern Sie die Option Websites

  • Suchen Sie nach Ihrer Site. Diese befindet sich entweder unterStandardwebsiteoder eine von Ihnen benannte Website

  • Klicken Sie mit der rechten Maustaste auf Ihre Site und wählen Sie „Eigenschaften“

  • Unter demWebseiteÜberprüfen Sie die Website-Identifikation und stellen Sie sicher, dass die TCP-Port- und SSL-Port-Optionen aktiviert sind (überprüfen Sie noch einmal, ob Sie sich auf der richtigen Site befinden).

Ich notiere mir die IP-Adressen, die URL der Website und den SSL-Port, teste sie mit dem lokalen Browser des Servers und überprüfe das angezeigte Zertifikat einschließlich seines Gültigkeitsdatums. Ich wiederhole diesen Vorgang am Ende der Änderung, um zu bestätigen, dass der Webserver das richtige Zertifikat anzeigt.

  • Schließen Sie das Eigenschaftendialogfeld.

Installation

  • Wählen Sie im Startmenü den Befehl „Ausführen“ und geben Sie „mmc“ ein.

  • OK klicken

  • Wählen Sie im MMC-Applet das Menü Konsole und klicken Sie auf Snap-In hinzufügen/entfernen

  • Klicken Sie auf die Schaltfläche Hinzufügen

  • Wähle ausZertifikateMöglichkeit

  • Klicken Sie auf die Schaltfläche Hinzufügen

  • Wähle ausComputerkontound klicken Sie auf Weiter

  • Akzeptieren Sie die Standardeinstellung vonLokaler Computerund klicken Sie auf die Schaltfläche „Fertig stellen“.

  • Klicken Sie auf die Schaltfläche Schließen

  • Klicken Sie auf die Schaltfläche OK

  • Erweitern Sie die Option Zertifikate

  • Erweitern Sie den persönlichen Zertifikatspeicher

  • Klicken Sie auf den Ordner „Zertifikate“. Die installierten Zertifikate werden im persönlichen Speicher angezeigt. Ihr vorhandenes Zertifikat sollte hier ebenso aufgeführt sein wie die ausstellende Behörde und das Ablaufdatum.

Sie können auf das vorhandene Zertifikat doppelklicken, wenn Sie dessen Details und den Zertifizierungspfad anzeigen möchten.

Wir werden jetzt das neue Zertifikat installieren.

  • Klicken Sie mit der rechten Maustaste auf den Ordner „Zertifikate“ im persönlichen Speicher.

  • Alle Aufgaben auswählen

  • Wählen Sie Importieren

Jetzt wird der Zertifikatsimport-Assistent gestartet.

  • Weiter klicken

  • Wir möchten nun das bereitgestellte Zertifikat auswählen. Klicken Sie auf die Schaltfläche Durchsuchen, um einen Dialog anzuzeigen, der es uns ermöglicht, zum Speicherort der Dateien zu navigieren.

  • Wählen Sie Dateien vom Typ „Personal Information Exchange“ (*.pfx, .p12) und navigieren Sie zu dem Laufwerk und Ordner, der die Zertifikatsdateien enthält.

Sie sollten das zu installierende Zertifikat sehen

  • Klicken Sie darauf und wählen Sie „Öffnen“

  • Der Pfad zur Datei wird im Suchdialog angezeigt. Klicken Sie auf Weiter

Wenn das Zertifikat ein Passwort hat (was bei fast allen Server-Zertifikaten der Fall ist), geben Sie das Passwort ein oder fügen Sie es ein. Stellen Sie sicher, dass dasDiesen Schlüssel als exportierbar markierentutNICHTSetzen Sie ein Häkchen dagegen - Sie möchten nicht, dass jemand mit direktem Zugriff Ihr Zertifikat exportieren und sich als Ihre Site ausgeben kann. Klicken Sie auf Weiter

  • Akzeptieren Sie die Standardeinstellung „Persönlicher Speicher“ und klicken Sie auf „Weiter“.

  • Klicken Sie auf „Fertig“ und die Datei wird importiert.

Sie erhalten eine Meldung, ob der Import erfolgreich war.

Im persönlichen Zertifikatspeicher sehen Sie das neue installierte Zertifikat mit Ablaufdatum. Wie bereits erwähnt, sehen Sie auch das alte Zertifikat im Speicher.

Um sicherzugehen, doppelklicke ich normalerweise auf das neue Zertifikat und bestätige, dass die Meldung angezeigt wird, dass das Zertifikat gültig ist.

  • Starten Sie den Internet Information Service Manager oder wechseln Sie zum Internet Information Service Manager

  • Wählen Sie die Eigenschaften der Website aus, für die Sie das Zertifikat ersetzen möchten (klicken Sie mit der rechten Maustaste auf die Website und wählen Sie „Eigenschaften“).

  • Wählen Sie die Registerkarte „Verzeichnissicherheit“

  • Klicken Sie im Abschnitt „Sichere Kommunikation“ auf „Serverzertifikat“

Der IIS-Zertifikatsassistent wird angezeigt und bietet verschiedene Optionen.

  • Wähle ausErsetzen des aktuellen ZertifikatsMöglichkeit

  • Weiter klicken

In einem Dialogfeld wird die Liste der verfügbaren Zertifikate angezeigt, die einer Website zugeordnet werden können. In diesem Fall wählen wir das neu installierte Zertifikat mit seinem neuen Ablaufdatum aus.

  • Markieren Sie die Datei und klicken Sie auf Weiter

  • Die Zertifikatdetails werden angezeigt. Überprüfen Sie noch einmal, ob dies das Zertifikat ist, das Sie der Website zuordnen möchten, und klicken Sie dann auf Weiter.

Der IIS-Zertifikat-Assistent meldet dann, ob der Austausch des Zertifikats auf der Website erfolgreich abgeschlossen wurde.

Technische Validierung nach der Implementierung (PIV)

  • Lokaler Servertest (vorausgesetzt, Sie haben den Browser nicht deaktiviert)

  • Starten Sie Ihren Browser auf dem Server und geben Sie die sichere Verbindung, IP-Adresse und Portnummer ein (z. B. https://mywebsiteaddress:443) .

  • Überprüfen Sie, ob Sie eine Verbindung zum SSL-Port für die Site herstellen können.

Möglicherweise wird ein Zertifikatsfehler angezeigt, wenn Sie eine Verbindung über die IP-Adresse herstellen oder die eingegebene Adresse nicht mit den Zertifikatdetails übereinstimmt. Fahren Sie mit der Site fort und zeigen Sie dann die Zertifikatdetails an, um zu bestätigen, dass das von IIS angezeigte Zertifikat das neue Ablaufdatum hat.

  • Überprüfen Sie von einem normalen Gerät aus, das Ihre Benutzer für den Zugriff auf die Website verwenden würden, und bestätigen Sie, dass Ihrem Browser das richtige Zertifikat vorgelegt wird.

Aufräumen

Sobald Sie dies bestätigt haben, wird Ihr Zertifikat erneuert und funktioniert auf der Ebene des lokalen Servers und des Remoteclients.

Schließen Sie das IIS-Manager-Applet.

Wählen Sie in der Zertifikat-MMC das alte Zertifikat aus (überprüfen Sie vorher noch einmal, ob es das richtige ist!!) und löschen Sie es. Dadurch wird sichergestellt, dass das alte Zertifikat in Zukunft nicht versehentlich an die Website gebunden wird.

Wenn Sie das Zertifikat an ein bestimmtes Dienstkonto für Ihre Website binden müssen, empfiehlt es sich außerdem, das alte Zertifikat zu löschen, bevor Sie es an ein Dienstkonto binden. Ich habe dies nicht erwähnt, da aus Ihrer Frage nicht hervorging, dass Sie eine App mit einem Dienstkonto in Verbindung mit der Website hatten.

Schließen Sie die Zertifikat-MMC und speichern Sie sie nicht (es sei denn, Sie möchten sie in Zukunft verwenden).

verwandte Informationen