Я сделал ошибку в обновлении моего сертификата. Можете ли вы помочь мне понять, что я сделал неправильно? MS IIS 7 ISA

Question

Я сделал ошибку в обновлении моего сертификата. Можете ли вы помочь мне понять, что я сделал неправильно? MS IIS 7 ISA

Извините, если это дублирующий вопрос, но я не видел ничего похожего на мою проблему. Это также мое первое обновление сертификата.

Итак, немного предыстории. У нас есть сайт sharepoint, с брандмауэром ISA, выполняющим перенаправление веб-трафика. Наш сервер Sharepoint не является общедоступным, поэтому у нас есть сертификат для установленного веб-прослушивателя для использования SSL во входящем трафике, поэтому, когда люди входят в систему, их пароли не отображаются открытым текстом.

На основании инструкций на веб-сайте продавца вы должны сгенерировать запрос сертификата из окна IIS (sharepoint), но установить сертификат на ISA (брандмауэр) ОК, пока все хорошо.

Я могу экспортировать сертификат, импортировать его в личный магазин сертификатов компьютеров. Однако, когда я перехожу к правилу прослушивания на ISA, новый сертификат не отображается как действительный, он говорит, что закрытый ключ недействителен или отсутствует.

Так вот где я где-то ошибся. Согласно КБ 292569

"Если у вас нет возможности нажать" Да "в окне" Экспортировать личные ключи ", закрытый ключ уже был экспортирован на другой компьютер или ключ никогда не существовал на этом компьютере. Вы не можете использовать этот сертификат на ISA Server. Вы должны запросить новый сертификат для этого сайта для ISA Server. "

Сертификат продавца, когда я щелкаю правой кнопкой мыши, чтобы экспортировать его, не имеет возможности включить закрытый ключ.

Итак, согласно статье MS, нужно ли начинать заново с новой CSR?

Что я пропустил, чтобы у моего сертификата не было личного ключа?

1

windows iis certificate

Источник

ryangillis72 14 фев '14 в 19:27

2 ответа

Другие вопросы по тегам windows iis certificate

k1DBLITZ 14 фев '14 в 21:24 2014-02-14 21:24 · Answer 1 · 2014-02-14 21:24

Где генерируется сертификат, не имеет значения.

Вы можете создать сертификат на своей рабочей станции, сервере sharepoint или совершенно не связанной рабочей станции / сервере.

Ключ (ха! Я люблю каламбуры) к тому, чтобы заставить все это работать, - последовательность. То, где вы начинаете, это то, где вам нужно закончить.

Например:

Создайте CSR с сервера Sharepoint
Отправьте CSR в CA для подписания.
CA подпишет сертификат и отправит его обратно. (я думаю, именно здесь вы ошиблись) Подписанный сертификат необходимо импортировать обратно на исходный компьютер, сгенерировавший CSR, с помощью ожидающего запроса. (в этом примере сервер Sharepoint)
Теперь у вас есть соответствующий ключ / сертификат, который вы можете экспортировать и установить на ISA-сервер. (убедитесь, что вы экспортируете закрытый ключ при экспорте сертификата)

ryangillis72 25 фев '14 в 16:28 2014-02-25 16:28 · Answer 2 · 2014-02-25 16:28

Хорошо, я наконец понял, что случилось. Мой босс начал это, но не смог заставить его работать, ну, оказывается, он запутался. k1DBLITZ был прав, где вы начинаете, где вы заканчиваете, жаль, что мой босс не знал об этом:) Как я уже говорил выше, мы сгенерировали запрос на сертификат один на один с безопасным перенаправлением брандмауэра ISA. Это потому, что это сервер, который увидит публика. Тогда у нас есть другой сервер, который является веб-хостингом.

Ну, мой босс сгенерировал запрос сертификата на веб-сервере, но затем попытался завершить сертификат, установив ответ сертификата на ISA-сервере, а не на веб-сервере. Как только я выяснил, что он сделал, я просто установил ответ на сервере, который сгенерировал запрос, и завершил сертификат. После этого я мог экспортировать сертификат с закрытым ключом на брандмауэр ISA.

Во всяком случае, когда я понял, что он сделал, это было легко исправить. 100% человеческая ошибка. Спасибо, парни!