Завтра истекает срок действия SSL-сертификата моего веб-сайта, я хотел бы узнать, стоит ли мне заменить новый сертификат на старый сейчас или подождать, пока истечет срок действия старого? Я не хочу, чтобы посетители заходили на мой веб-сайт и видели предупреждение о безопасности, но я также хочу полностью использовать старый сертификат. Какой процесс мне следует предпринять для смены SSL, чтобы обе проблемы можно было решить, пожалуйста, посоветуйте.
Редактировать:
У меня есть pfx-файл с паролем.
Спасибо
решение1
Я бы рекомендовал заменить его до истечения срока действия. Сертификат будетобычноистекают утром в день истечения срока действия, например, сертификат, срок действия которого истекает 3 сентября 2013 года, обычно перестает быть действительным с полуночи 2 сентября 2013 года (по местному времени сервера).
Я также рекомендую вам обратить внимание на пиковую посещаемость вашего веб-сайта, чтобы определить наилучшее время для замены сертификата (во время замены может возникнуть кратковременный сбой). В идеале вам следует заменить его в то время, когда это наименее повлияет на количество ваших пользователей.
Процесс установки сертификата и привязки к веб-сайту IIS6
Установка сертификата (с использованием файла .PFX) Обратите внимание, что в следующем руководстве я использую более ручной процесс, поскольку некоторые из поддерживаемых мной сайтов имеют сложные настройки.
Предпроверка
Запустить диспетчер IIS
Разверните имя сервера (локальный компьютер)
Разверните опцию «Веб-сайты»
Найдите свой сайт — он будет либо в разделеВеб-сайт по умолчаниюили веб-сайт, который вы ему дали
Щелкните правой кнопкой мыши по вашему сайту и выберите «Свойства».
ПодВеб-сайтвкладка, проверьте идентификацию веб-сайта и убедитесь, что у него включены параметры порта TCP и порта SSL (еще раз убедитесь, что вы находитесь на правильном сайте)
Я записываю IP-адреса, URL-адрес веб-сайта и порт SSL, и проверяю с помощью локального браузера сервера, и проверяю представленный сертификат, включая дату его действия. Я повторяю этот процесс в конце изменения, чтобы подтвердить, что веб-сервер представляет правильный сертификат.
- Закройте диалоговое окно свойств.
Монтаж
В меню «Пуск» выберите команду «Выполнить» и введите mmc.
Нажмите ОК.
В апплете MMC выберите меню «Консоль» и нажмите «Добавить/удалить оснастку».
Нажмите кнопку «Добавить».
ВыберитеСертификатывариант
Нажмите кнопку «Добавить».
ВыберитеУчетная запись компьютеравариант и нажмите Далее
Примите значение по умолчаниюЛокальный компьютери нажмите кнопку Готово.
Нажмите кнопку «Закрыть».
Нажмите кнопку ОК.
Разверните опцию «Сертификаты»
Развернуть хранилище персональных сертификатов
Щелкните в папке Certificates, и она покажет установленные сертификаты в личном хранилище. Ваш существующий сертификат должен быть указан здесь, а также его Issuing Authority и Expiration date.
Если вы хотите отобразить сведения о существующем сертификате и путь сертификации, дважды щелкните по нему.
Теперь мы установим новый сертификат.
Щелкните правой кнопкой мыши папку «Сертификаты» в личном хранилище.
Выбрать все задачи
Выберите Импорт
Запустится мастер импорта сертификатов.
Нажмите "Далее
Теперь мы хотим выбрать предоставленный сертификат. Нажмите кнопку Browse, чтобы отобразить диалоговое окно, которое позволит нам перейти к местоположению файлов.
Выберите файлы типа «Обмен личной информацией» (*.pfx, .p12) и перейдите к диску и папке, содержащей файлы сертификатов.
Вы должны увидеть сертификат для установки
Нажмите на него и выберите «Открыть».
Путь к файлу будет показан в диалоговом окне обзора. Нажмите Далее.
Если сертификат имеет пароль (который почти наверняка есть у всех сертификатов сервера), введите или вставьте пароль. Убедитесь, чтоОтметить этот ключ как экспортируемыйделаетНЕТпоставьте галочку напротив этого - вы не хотите, чтобы кто-либо, имеющий прямой доступ, мог экспортировать ваш сертификат и выдавать себя за ваш сайт. Нажмите Далее
Примите значение по умолчанию «Персональный магазин» и нажмите «Далее».
Нажмите «Готово», и файл будет импортирован.
Вы получите сообщение об успешном импорте.
В хранилище персональных сертификатов вы увидите новый установленный сертификат с истекшим сроком действия. Вы также увидите старый сертификат, присутствующий в хранилище, как было отмечено ранее.
Обычно я дважды нажимаю на новый сертификат и подтверждаю, что он действителен, просто чтобы убедиться.
Запустить или переключиться на Internet Information Service Manager
Выберите свойства веб-сайта, для которого вы заменяете сертификат (щелкните правой кнопкой мыши по веб-сайту и выберите «Свойства»).
Выберите вкладку «Безопасность каталога».
В разделе «Безопасная связь» нажмите «Сертификат сервера».
Появится мастер сертификатов IIS с различными вариантами выбора.
ВыберитеЗаменить текущий сертификатвариант
Нажмите "Далее
Диалоговое окно отобразит список доступных сертификатов, которые могут быть связаны с веб-сайтом. В этом случае мы выбираем недавно установленный сертификат с новой датой истечения срока действия.
Выделите файл и нажмите «Далее».
Отображаются данные сертификата. Дважды проверьте, что это тот сертификат, который вы хотите связать с веб-сайтом, а затем нажмите кнопку Далее.
Затем мастер сертификатов IIS сообщит об успешном завершении замены сертификата на веб-сайте.
Техническая проверка после внедрения (PIV)
Тест локального сервера (при условии, что у вас не отключен браузер)
Запустите браузер на сервере и введите защищенное соединение, IP-адрес и номер порта (например,
https://mywebsiteaddress:443)Проверьте, можете ли вы подключиться к SSL-порту сайта.
Вы можете увидеть ошибку сертификата, если вы подключаетесь через IP-адрес или введенный вами адрес не соответствует данным сертификата. Продолжайте работу на сайте, а затем отобразите данные сертификата, чтобы подтвердить, что сертификат, представленный IIS, имеет новую дату истечения срока действия.
- Проверьте с обычного устройства, которое ваши пользователи используют для доступа к веб-сайту, и убедитесь, что вашему браузеру предоставлен правильный сертификат.
Очистка
После того, как вы подтвердите, ваш сертификат обновлен и работает на уровне локального сервера и удаленного клиента.
Закройте апплет диспетчера IIS.
В Certificate MMC выберите старый сертификат (сначала дважды проверьте, что он правильный!!) и удалите его. Это гарантирует, что старый сертификат не будет случайно привязан к веб-сайту в будущем.
Также рекомендуется, если вам нужно привязать сертификат к определенной учетной записи службы для вашего веб-сайта, удалить старый сертификат перед привязкой к учетной записи службы. Я не упомянул об этом, поскольку ваш вопрос не указывал на то, что у вас было приложение, использующее учетную запись службы в сочетании с веб-сайтом.
Закройте MMC-сертификат и не сохраняйте его (если только вы не хотите использовать его в будущем).