У меня есть несколько веб-сайтов, размещенных на экземпляре IIS 8.5. я использовал letsencrypt-win-simple для генерации сертификатов. Этот инструмент также устанавливает сертификаты в IIS. У меня были сообщения о том, что некоторые браузеры, в основном телефоны Android, не могут использовать веб-сайт из-за ошибок SSL.
Это пример вывода из openssl:
$ openssl s_client -showcerts -connect ad.adtube.ir:443 -servername ad.adtube.ir
CONNECTED(00000003)
depth=0 CN = ad.adtube.ir
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = ad.adtube.ir
verify error:num=21:unable to verify the first certificate
verify return:1
У меня была эта ошибка раньше, но я решил ее в Apache. Это была неправильная конфигурация. Не могу найти ничего связанного с IIS. Мне впервые приходится управлять экземпляром IIS, жалко :)
В любом случае, что мне делать? Я также проверил SSL Labs, и симптомы проблемы такие же, как Вот, например. Все упоминают Apache, как будто этого не должно происходить в IIS.
Оказывается, проблема в том, что старый сертификат X1 остался. Решение опубликовано Вот работал у меня.
Вот инструкция:
Чтобы добраться до него, вам нужно загрузить PsTools из SysInternals212 и запустить psexec -i -s mmc.exe, перейти в File -> Add-Remove Snap-in, выбрать Certificates и My user account. Теперь войдите в промежуточные центры сертификации, и вы должны найти этот неуловимый сертификат X1, скрывающийся там.
Может быть достаточно удалить X1, а затем перезапустить IIS, но в итоге я добавил сюда сертификат X3, чтобы быть уверенным (щелкните правой кнопкой мыши список сертификатов - щелкните Все задачи -> Импорт и выберите файл X3).
После этого вам нужно «прикоснуться» к привязкам в IIS (например, изменить сертификат, а затем снова или удалить / добавить привязку), и после перезапуска IIS он, наконец, начнет обслуживать правильную цепочку.