明天我網站的 SSL 憑證將過期,我想知道我應該立即用舊憑證取代新憑證還是應該等待舊憑證過期?我不希望訪客造訪我的網站並看到安全警告,但我也想充分利用舊憑證。我應該採用什麼流程來更改我的 SSL,以便可以管理這兩個問題,請提供建議。
編輯:
我有一個帶有密碼的 pfx 文件
謝謝
答案1
我建議在到期前更換它。證書將通常在到期日當天早上到期,例如,在 2013 年 9 月 3 日到期的證書通常從 2013 年 9 月 2 日午夜(本地伺服器時間)起不再有效。
我還建議查看您網站的峰值使用情況,以找到替換證書的最佳時間(替換證書時可能會出現非常短暫的中斷。)理想情況下,您應該在對用戶影響最小的時間替換它人口。
安裝憑證並綁定到 IIS6 網站的過程
安裝憑證(使用 .PFX 檔案) 請注意,我在以下指南中使用了更多手動流程,因為我支援的某些網站具有複雜的設定。
預檢查
啟動 IIS 管理器
展開伺服器名稱(本機電腦)
展開網站選項
尋找您的網站 - 這將位於預設網站或您為其命名的網站
右鍵單擊您的網站並選擇屬性
在下面網站選項卡,驗證網站標識以及它是否啟用了 TCP 連接埠和 SSL 連接埠選項(仔細檢查您是否位於正確的網站)
我記下 IP、網站 URL 和 SSL 端口,並使用伺服器的本機瀏覽器進行測試,並驗證所提供的憑證(包括其有效日期)。我在更改結束時重複此過程,以確認 Web 伺服器提供了正確的憑證。
- 關閉屬性對話框。
安裝
從“開始”功能表中選擇“運行”命令並輸入 mmc
按一下“確定”
從 MMC 小程式中選擇“控制台”選單,然後按一下“新增/移除管理單元”
點擊新增按鈕
選擇證書選項
點擊新增按鈕
選擇電腦帳戶選項並點擊下一步
接受預設值本機並點擊“完成”按鈕。
點選關閉按鈕
點選“確定”按鈕
展開證書選項
展開個人憑證存儲
按一下憑證資料夾,它將顯示個人儲存中已安裝的憑證。您現有的證書及其頒發機構和到期日期應列在此。
如果您想顯示其詳細資訊和證書路徑,可以雙擊現有證書。
我們現在要安裝新證書。
右鍵點選個人儲存中的憑證資料夾。
選擇所有任務
選擇導入
憑證匯入精靈現在將啟動。
點選下一步
我們現在要選擇已提供的憑證。點擊“瀏覽”按鈕顯示一個對話框,允許我們導航到文件的位置。
選擇個人資訊交換類型的檔案(*.pfx、.p12)並瀏覽至包含憑證檔案的磁碟機和資料夾。
您應該會看到要安裝的證書
單擊它並選擇打開
文件的路徑將顯示在瀏覽對話方塊中。點選下一步
如果憑證有密碼(幾乎所有伺服器憑證都會有密碼),請輸入或貼上密碼。確保將此密鑰標記為可匯出做不是勾選它 - 您不希望任何具有直接存取權限的人能夠匯出您的憑證並能夠冒充您的網站。點選下一步
接受預設的個人儲存並按一下下一步。
點擊“完成”,文件將被導入。
您將收到一則訊息,說明匯入是否成功。
在個人憑證儲存中,您將看到安裝的新憑證及其到期日期。如前所述,您還將看到商店中存在舊證書。
我通常會雙擊新證書並確認它報告該證書有效,只是為了確保。
啟動或切換到 Internet 資訊服務管理員
選擇要取代憑證的網站的屬性(右鍵單擊網站並選擇“屬性”)
選擇目錄安全性標籤
在“安全通訊”部分下,按一下“伺服器憑證”
將出現 IIS 憑證精靈,提供各種選項。
選擇替換當前證書選項
點選下一步
一個對話方塊將顯示可與網站關聯的可用憑證的清單。在這種情況下,我們選擇新安裝的憑證及其新的到期日。
突出顯示該文件並單擊“下一步”
將顯示證書詳細資訊。仔細檢查這是否是您想要關聯到網站的證書,然後按一下「下一步」。
然後,IIS 憑證精靈將報告是否已成功完成網站上的憑證替換。
技術職位實施驗證 (PIV)
本機伺服器測試(假設您沒有停用瀏覽器)
在伺服器上啟動瀏覽器並輸入安全連線、IP 位址和連接埠號碼(例如
https://mywebsiteaddress:443)檢查您是否可以連接到該網站的 SSL 連接埠。
如果您透過 IP 位址進行連線或您輸入的位址與憑證詳細資料不匹配,您可能會看到憑證錯誤。繼續訪問該站點,然後顯示證書詳細資訊以確認 IIS 提供的證書具有新的到期日期。
- 從使用者用來存取網站的普通裝置進行檢查,並確認向您的瀏覽器提供了正確的憑證。
清理
一旦您確認您的憑證已續訂並在本機伺服器和遠端用戶端層級上運作。
關閉 IIS 管理器小程式。
在證書 MMC 中,選擇舊證書(首先仔細檢查它是否正確!!)並將其刪除。這可以確保舊證書不會在將來某個時候意外地綁定到網站。
如果您需要將憑證綁定到網站的特定服務帳戶,那麼在綁定到服務帳戶之前刪除舊憑證也是一種建議做法。我沒有提到這一點,因為您的問題並沒有表明您有一個使用服務帳戶與網站結合使用的應用程式。
關閉證書 MMC 並且不要保存它(除非您想在將來使用它。)