Назад | Перейти на главную страницу

Обменные вопросы сертификата

Я получил следующее сообщение The STARTTLS certificate will expire soon. Сейчас я попытался создать новые сертификаты, но сейчас все еще используются старые.

Вопросы:

Могу ли я как-нибудь сделать резервную копию старого сертификата (на случай, если я удалю один, но что-то пропустил)?
Можно ли назначить услугу только одному сертификату? (Я всегда получаю уведомление о том, что другой сертификат получает приоритет) И могу ли я удалить другой сертификат с той же назначенной службой?
Могу ли я удалить сертификаты со статусом DateInvalid?
Могу ли я удалить сертификаты без назначенных служб?

Теперь сертификаты, которые нужно заменить.

Случай 1:

Старый:

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                     .Security.AccessControl.CryptoKeyAccessRule, System.Securi
                     ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {Sites, servername.domain.local}
HasPrivateKey      : True
IsSelfSigned       : False
Issuer             : CN=domain-servername-CA
NotAfter           : 24.08.2012 08:55:23
NotBefore          : 25.08.2010 08:55:23
PublicKeySize      : 2048
RootCAType         : Registry
SerialNumber       : 486D0BC600000000500C
Services           : IIS, SMTP
Status             : Valid
Subject            : CN=Sites
Thumbprint         : 5XY3E4589CDEE54C1FB9C1745XC351D8C74D

Замена:

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                     .Security.AccessControl.CryptoKeyAccessRule, System.Securi
                     ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
                     ssControl.CryptoKeyAccessRule}
CertificateDomains : {Sites, servername.domain.local}
HasPrivateKey      : True
IsSelfSigned       : True
Issuer             : CN=Sites
NotAfter           : 30.07.2017 12:41:34
NotBefore          : 30.07.2012 12:41:34
PublicKeySize      : 2048
RootCAType         : None
SerialNumber       : AAFC94772E6BFF8E4AE9812226240927
Services           : IIS, SMTP
Status             : Valid
Subject            : CN=Sites
Thumbprint         : 98732EASYDFGC4336430DEDE729EE0D575C0

Заметные отличия:

самоподписанный верно
эмитент другой
два раза: System.Security.AccessControl.CryptoKeyAccessRule

Случай 2:

Старый:

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                     .Security.AccessControl.CryptoKeyAccessRule, System.Securi
                     ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {mail.domain.com, many further domains}
HasPrivateKey      : True
IsSelfSigned       : False
Issuer             : CN=servername-domain-CA
NotAfter           : 17.08.2012 15:37:50
NotBefore          : 18.08.2010 15:37:50
PublicKeySize      : 2048
RootCAType         : Registry
SerialNumber       : 56329D6600000000000D
Services           : IMAP, POP, SMTP
Status             : Valid
Subject            : CN=mail.domain.com, OU=Technics, O=Organisation, L=Location, C
                     =CC
Thumbprint         : A8329DCD493FLIE2E3C9AF2E7577ADD6EF669

Замена:

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                     .Security.AccessControl.CryptoKeyAccessRule, System.Securi
                     ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
                     ssControl.CryptoKeyAccessRule}
CertificateDomains : {mail.domain.com, many further domains}
HasPrivateKey      : True
IsSelfSigned       : True
Issuer             : C=CC, L=Location, O=Organisation, OU=Technics, CN=mail.domain
                     .com
NotAfter           : 30.07.2017 12:17:33
NotBefore          : 30.07.2012 12:17:33
PublicKeySize      : 2048
RootCAType         : None
SerialNumber       : A9A4E319D016B296488457C8FB7DF8B7
Services           : IMAP, POP, SMTP
Status             : Valid
Subject            : C=CC, L=Location, O=Organisation, OU=Technics, CN=mail.domain
                     .com
Thumbprint         : 83EKDFKLIO483ZH94F2C84B7DA16DC3C05875D

Заметные отличия:

самоподписанный верно
эмитент другой
два раза: System.Security.AccessControl.CryptoKeyAccessRule
порядок предметов другой

Теперь мой вопрос к этим сертификатам:

Могу я игнорировать различия?
Для замены: Могу ли я удалить старые сертификаты, и все они будут работать (например, Outlook Web Access)?

Для Exchange 2007 вы можете использовать этот инструмент от U-BTech для управления своими сертификатами. У них есть руководство по скриншотам. http://www.u-btech.com/products/certificate-manager-for-exchange-2007.html

Чтобы ответить на ваш вопрос:

Можете ли вы игнорировать различия> НЕТ.
Можете ли вы удалить старый сертификат> Вы не должны удалять старый сертификат от стороннего поставщика и заменять его самозаверяющим сертификатом.

Вы хотели бы сохранить сертификат с IsSelfSigned: False для работы TLS. Кроме того, вам придется обновить сертификат, выданный третьей стороной от поставщика сертификатов для «старого», так как срок его действия истекает через неделю.

PS: Вы не должны размещать свой серийный номер сертификата и отпечаток пальца на пробирках :)