Назад | Перейти на главную страницу

Ошибка «недопустимые данные» в IIS при использовании центральных сертификатов

Я использую центральные сертификаты в IIS 10 - используя локальную папку (C: \ iis \ Encryption), которая синхронизируется со всеми веб-серверами в нашем кластере.

Центральный IIS использует учетную запись службы домена, которая, по-видимому, имеет полные права доступа к указанной папке (и файлам):

Все работало, пока нам не потребовалось обновить сертификат, что я сделал, удалив старые файлы .PFX в общей папке и загрузив новые.

Теперь, когда я использую учетную запись службы в конфигурации, я получаю сообщение об ошибке «Плохие данные».

Когда я вместо этого использую свою личную учетную запись домена, кажется, что она работает нормально. Кроме того, когда я возвращаю старый (скоро истекающий) сертификат в папку, он отлично работает с учетной записью службы.

Почему моя учетная запись службы больше не работает

Не уверен, что вы решили это, но у меня была точно такая же проблема, и мне, наконец, удалось ее решить. Я должен был убедиться, что pfx был создан и экспортирован из самого IIS. Если бы я создавал PFX из любого другого места, это не сработало. Почему, я понятия не имею.

Перейдите по ссылке: IIS-Server Certificates-Create Certificate Request. Скопируйте запрос на подпись в свой CA, а затем импортируйте его в IIS. Когда это будет сделано, вы можете экспортировать .pfx и поместить его в свою папку CCS. Затем вы можете удалить сертификат в сертификатах сервера IIS.

Я до сих пор не понимаю, почему это сработало. Но надеюсь, это вам поможет!

Не уверен, применимо ли это здесь, но у нас была проблема, когда мы использовали LetsEncrypt, и нам пришлось поместить их корневые сертификаты в доверенные корневые центры сертификации, прежде чем мы сможем просматривать сертификаты внутри IIS, аналогичные обнаруженным здесь проблемам

https://github.com/ridercz/AutoACME/issues/14

Для всех, кто столкнется с этим в будущем, похоже, что вы всегда будете видеть список неверных данных всякий раз, когда вы импортируете сертификат в CCS и вводите учетные данные общего доступа, которые не соответствуют учетной записи, в которую вы сейчас вошли. Не уверен, является ли это «функцией» безопасности или что-то еще, но я изменил свою учетную запись службы, чтобы я мог войти в нее, а затем подключился к тому же самому ящику и не имел никаких проблем с правильным отображением импортированного сертификата в CCS. Вернитесь к моей учетной записи, и она снова покажет «Плохие данные». Я считаю, что это было бы так, если бы вы использовали любые учетные данные, кроме своих, при импорте. Я еще не подтвердил, вызывает ли это какие-либо проблемы, оставляя его с учетными данными моей служебной учетной записи.