我們有一個 IIS ARR 伺服器,它可以將負載平衡到兩個不同的單獨 IIS 伺服器。
有問題的伺服器是我們的內部登台伺服器。三個月前,我創建了一個免費的 Let's Encrypt SSL 憑證以在這些伺服器上使用。與 Let's Encrypt 的情況一樣,它會在 3 個月後過期。因此,今天我開始建立一個新證書,並替換了 ARR 伺服器和兩台負載平衡伺服器上的舊證書。
執行此操作後,然後在任何瀏覽器(包括隱身模式)中返回該站點,它仍然顯示舊的無效證書。我什至在以前從未訪問過該網站的筆記型電腦上訪問了該網站,只是為了看看舊證書是否緩存在我的瀏覽器中。即使這些筆記型電腦也會在網站上載入「不安全」警告。
這些是我已採取的步驟:
在 ARR 伺服器上:
- 在 IIS 中的伺服器上,開啟“伺服器憑證”
- 刪除舊證書
- 匯入新證書
- 驗證新的到期日現在已過 3 個月
- IIS重置
在兩台負載平衡伺服器上:
- 在 IIS 中的伺服器上,開啟“伺服器憑證”
- 刪除舊證書
- 匯入新證書
- 驗證新的到期日現在已過 3 個月
- 在網站上,進入綁定
- 深入了解 SSL 並驗證 SSL 憑證是否為新憑證
- IIS重置
然而,儘管舊證書的所有痕跡都被刪除,包括刪除實際文件,但無論我做什麼,它都會加載到每台電腦上的每個瀏覽器(即 chrome、ff)中,仍然顯示舊證書。
我不知道還能做什麼。
如果這有幫助:
(我應該補充...在許多不同的論壇上有很多完全相同的問題。我讀過幾十個。它們都不需要引導我找到解決方案。)
答案1
您需要在 https 443 連接埠的預設網站下選擇新憑證。 (綁定)
答案2
如果您的負載平衡器正在承擔 SSL 卸載,那麼它將是終止 SSL 連線並執行握手的裝置。您需要確保負載平衡器具有正確的憑證。
答案3
就像我讀過的許多其他帖子一樣,人們遇到了同樣的問題,這裡的解決方案最終與新 SSL 憑證的安裝(在某種程度上)無關。
簡短回答:需要重新啟動所有三台伺服器(負載平衡器和實際內容伺服器)。這似乎最終清除了舊證書的伺服器快取。
長答案:其中一台 IIS 內容伺服器(不是 ARR 負載平衡伺服器)似乎有錯誤的 IP 位址。這意味著,我們給它的靜態 IP 位址顯然正在網路上的其他地方使用。這導致 ARR 伺服器僅使用其他內容伺服器。所有這些都會導致網站服務出現奇怪的問題(偶爾出現 502 錯誤),我將其歸因於新的 SSL 證書,並且還使得整個網站在重新啟動後很難重新上線。
底線....新 SSL 憑證的安裝並不是真正的問題。一旦我們解決了真正的問題,並重新啟動所有伺服器後,問題就解決了。
答案4
這個指令對我有用。我花了 3-4 天的時間來解決安裝新憑證後舊 ssl 憑證仍然顯示在瀏覽器中的問題。
netsh http刪除sslcert ipport = {伺服器私有IP}:443