У клиента есть существующий SSL от godaddy с несколькими SAN, и мы переходим на IIS 8.5 на сервере 2012 года. Создал sha256 CSR для этого сервера Windows и загрузил два файла для IIS. Поместил промежуточный файл в промежуточную папку MMC, импортировал файл .cer на верхний уровень IIS, где лежат его сертификаты SSL. Обратите внимание, что я удалил все сертификаты из Personal и импортировал в WebHosting. Посмотрев на сертификат godaddy, я могу подтвердить: «У вас есть закрытый ключ, соответствующий этому сертификату». Тем не менее, все браузеры в конечном итоге сообщают об этой ошибке. Это ответ MSIE:
Сертификат безопасности этого веб-сайта был отозван, поэтому вы не можете перейти на него в настоящее время. Код ошибки: ERROR_INTERNET_SEC_CERT_REVOKED
Я нашел это руководство в верхней части результатов поиска, и это мои результаты поиска и устранения неисправностей: https://support.microsoft.com/en-us/help/294305/iis-returns-http-403-13-client-certificate-revoked-error-message-altho
где я должен проверить CDP или URL-адрес каждого сертификата в его пути сертификации в поле Win2012 и посмотреть, есть ли проблемы с подключением к каждому из этих URI. Эти
Я могу подтвердить, что каждый из них, использующий MSIE в этом поле Win2012, разрешаю и загружаю эти файлы. Используя Powershell, я могу использовать curl для каждого из этих URI и возвращать результаты.
Этот внешний инструмент проверяет, работает ли сертификат, принят и нет ли отзыва. https://www.sslshopper.com/ssl-checker.html
Итак, почему у меня все еще есть эта проблема? В приведенном выше руководстве предлагается использовать Webfetch из IIS6. Это подтверждает, что они возвращают требуемые результаты.
Работая над теорией, что GoDaddy отозвал этот сертификат (сертификат действителен и работает на сервере GoDaddy Apache с другим SAN), я использовал это, чтобы получить удобочитаемую форму этого CRL, чтобы увидеть, был ли он отозван.
certutil -dump gdig2s1-879.crl > c:\gdig-output.txt
Получение 10-значного серийного номера сертификата (с ключом) в IIS и попытка найти его в загруженном CRL. Я полностью ожидал найти его в этом отозванном списке, но не нашел. И этот список был загружен через неделю после того, как эти ошибки начали появляться, поэтому он должен быть актуальным.
На данный момент я не уверен, что делать дальше, чтобы увидеть, что мне делать дальше, чтобы устранить это очевидное несоответствие.