У нас есть сервер IIS ARR, который распределяет нагрузку между двумя разными отдельными серверами IIS.
Серверы, о которых идет речь, — это наши внутренние промежуточные серверы. Три месяца назад я создал бесплатный SSL-сертификат Let's Encrypt для использования на этих серверах. Как и в случае с Let's Encrypt, срок его действия истек через 3 месяца. Поэтому сегодня я добрался до создания нового сертификата и заменил старые сертификаты на сервере ARR и обоих серверах с балансировкой нагрузки.
После этого, а затем возвращения на сайт в любом браузере (включая режим инкогнито), он все еще показывает старый недействительный сертификат. Я даже заходил на сайт с ноутбуков, которые никогда не посещали этот сайт раньше, просто чтобы проверить, кэширован ли старый сертификат в моем браузере. Даже эти ноутбуки загружали сайт с предупреждением «Не защищено».
Вот шаги, которые я предпринял:
На сервере ARR:
- В IIS на сервере откройте «Сертификаты сервера»
- Удалить старый сертификат
- Импортируйте новый сертификат
- Убедитесь, что новый срок годности истекает через 3 месяца.
- IISReset
На двух серверах с балансировкой нагрузки:
- В IIS на сервере откройте «Сертификаты сервера»
- Удалить старый сертификат
- Импортируйте новый сертификат
- Убедитесь, что новый срок годности истекает через 3 месяца.
- На сайте зайдите в раздел Привязки
- Разверните SSL и убедитесь, что сертификат SSL новый.
- IISReset
Тем не менее, несмотря на то, что все следы старого сертификата были удалены, включая удаление самого файла, что бы я ни делал, он загружается в каждом браузере (например, Chrome, FF) на каждом компьютере, по-прежнему отображая старый сертификат.
Я не знаю, что еще делать.
Если это поможет:
(Я должен добавить... на многих разных форумах есть МНОГО одинаковых вопросов. Я прочитал десятки из них. Ни один из них не привел меня к решению.)
решение1
Вам необходимо выбрать новый сертификат в разделе «Веб-сайт по умолчанию» для порта https 443. (привязки)
решение2
Если ваш балансировщик нагрузки снимает нагрузку с SSL, то это будет устройство, которое завершает соединение SSL и выполняет рукопожатие. Вам нужно убедиться, что балансировщик нагрузки имеет правильный сертификат.
решение3
Как и во многих других сообщениях, которые я читал, где люди сталкивались с той же проблемой, решение здесь оказалось (в некоторой степени) не связанным с установкой нового сертификата SSL.
Короткий ответ: потребовалась перезагрузка всех трех серверов (балансировщика нагрузки и фактических серверов контента). Похоже, это наконец очистило кэш сервера от старого сертификата.
Длинный ответ: один из серверов контента IIS (не сервер балансировки нагрузки ARR) имел, по-видимому, плохой IP-адрес. Это значит, что статический IP-адрес, который мы ему дали, по-видимому, использовался где-то еще в сети. Это заставляло сервер ARR использовать только другой сервер контента. Все это вызывало странные проблемы с обслуживанием сайта в целом (иногда появлялись ошибки 502), которые я приписывал новому сертификату SSL, и это также затрудняло возвращение всего сайта в строй после перезагрузки.
В итоге.... установка нового SSL-сертификата не была настоящей проблемой. Как только мы решили настоящую проблему и перезагрузили все серверы, проблема была решена.
решение4
Эта команда сработала для меня. Я боролся 3-4 дня, чтобы решить проблему со старым сертификатом ssl, который все еще отображался в браузере после установки нового.
netsh http delete sslcert ipport={серверный частный IP-адрес}:443