Назад | Перейти на главную страницу

Я совершил ошибку при обновлении сертификата. Вы можете помочь мне выяснить, что я сделал не так? MS IIS 7 ISA

Извините, если это повторяющийся вопрос, но я не заметил ничего похожего на мою проблему. Я также впервые продлеваю сертификат.

Итак, немного предыстории. У нас есть сайт sharepoint с брандмауэром ISA, выполняющим перенаправление веб-трафика. Наш сервер Sharepoint не является общедоступным, поэтому у нас есть сертификат для установленного веб-прослушивателя для использования SSL во входящем трафике, поэтому, когда люди входят в систему, их пароли не отображаются в виде открытого текста.

В соответствии с инструкциями на веб-сайте продавца вы должны сгенерировать запрос сертификата из окна IIS (sharepoint), но установить сертификат на ISA (брандмауэр) ОК, пока все хорошо.

Я могу экспортировать сертификат, импортировать его в хранилище персональных сертификатов компьютеров. Однако, когда я перехожу к правилу слушателя на ISA, новый сертификат не отображается как действительный, он говорит, что закрытый ключ недействителен или отсутствует.

Итак, вот где я где-то ошибся. Согласно KB 292569

"Если у вас нет возможности нажать Да в окне Экспорт закрытых ключей, закрытый ключ уже был экспортирован на другой компьютер или ключ никогда не существовал на этом компьютере. Вы не можете использовать этот сертификат на ISA Server. Вы должны запросить новый сертификат для этого сайта для ISA Server ".

В сертификате от продавца, когда я щелкаю правой кнопкой мыши, чтобы экспортировать его, нет возможности включить закрытый ключ.

Итак, согласно статье MS, нужно ли мне начинать с нового CSR?

Что я пропустил из-за того, что у моего сертификата не было закрытого ключа?

Где генерируется сертификат, не имеет значения.

Вы можете сгенерировать сертификат со своей рабочей станции, сервера sharepoint или совершенно несвязанной рабочей станции / сервера.

Ключ (ха! Я люблю каламбуры) к тому, чтобы все это работало, - это последовательность. Там, где вы начинаете, вам нужно закончить.

Например:

  1. Создайте CSR с сервера Sharepoint
  2. Отправьте CSR в центр сертификации для подписания.
  3. ЦС подпишет сертификат и отправит его обратно. (я думаю, здесь вы ошиблись) Подписанный сертификат необходимо импортировать обратно на исходный компьютер, который сгенерировал CSR через ожидающий запрос. (в этом примере сервер Sharepoint)
  4. Теперь у вас есть соответствующий ключ / сертификат, который вы можете экспортировать и установить на ISA-сервере. (убедитесь, что вы экспортируете закрытый ключ при экспорте сертификата)

Хорошо, я наконец понял, что случилось. Мой босс начал это, но не смог заставить это работать, ну, оказывается, он запутался. k1DBLITZ был прав, где вы начинаете, там и заканчиваете, хотелось бы, чтобы мой босс знал об этом :) Как я сказал выше, мы сгенерировали запрос сертификата one one с безопасным перенаправлением брандмауэра ISA. Это потому, что это сервер, который увидит публика. Затем у нас есть другой сервер, который является веб-хостингом.

Ну, мой босс сгенерировал запрос сертификата на веб-сервере, но затем попытался завершить сертификат, установив ответ сертификата на ISA-сервере, а не на веб-сервере. Как только я понял, что он сделал, я просто установил ответ на сервер, который сгенерировал запрос, и заполнил сертификат. После этого я мог экспортировать сертификат с закрытым ключом в ящик брандмауэра ISA.

В любом случае, как только я понял, что он сделал, исправить это было несложно. 100% человеческая ошибка. Спасибо, парни!