Старый сертификат ssl все еще отображается в браузере после установки нового
У нас есть сервер IIS ARR, который распределяет нагрузку на два разных отдельных сервера IIS.
Речь идет о наших внутренних промежуточных серверах. Три месяца назад я создал бесплатный сертификат SSL Let's Encrypt для использования на этих серверах. Как и в случае с Let's Encrypt, срок его действия истек через 3 месяца. Итак, сегодня я приступил к созданию нового сертификата и заменил старые сертификаты на сервере ARR и обоих серверах с балансировкой нагрузки.
После этого, а затем возврата на сайт в любом браузере (включая режим инкогнито), он по-прежнему показывает старый недействительный сертификат. Я даже зашел на сайт с ноутбуков, которые никогда не были на этом сайте, просто чтобы посмотреть, был ли старый сертификат кэширован в моем браузере. Даже эти ноутбуки загружали сайт с предупреждением о небезопасности.
Вот шаги, которые я сделал:
На сервере ARR:
- В IIS на сервере откройте «Сертификаты сервера»
- Удалите старый сертификат
- Импортируйте новый сертификат
- Убедитесь, что новый срок годности истекает через 3 месяца.
- IISReset
На двух серверах со сбалансированной нагрузкой:
- В IIS на сервере откройте «Сертификаты сервера»
- Удалите старый сертификат
- Импортируйте новый сертификат
- Убедитесь, что новый срок годности истекает через 3 месяца.
- На сайте заходим в Bindings
- Просмотрите SSL и убедитесь, что это новый сертификат SSL.
- IISReset
Тем не менее, несмотря на удаление всех следов старого сертификата, включая удаление самого файла, независимо от того, что я делаю, он загружается в каждом браузере (например, chrome, ff) на каждом компьютере, на котором все еще отображается старый сертификат.
Я не знаю, что еще делать.
Если это поможет:
(Я должен добавить ... на многих форумах есть МНОГО того же самого вопроса. Я прочитал десятки из них. Ни один из них не должен приводить меня к решению.)
Если ваш балансировщик нагрузки принимает на себя разгрузку SSL, это будет устройство, которое завершит SSL-соединение и выполнит квитирование. Вам необходимо убедиться, что у балансировщика нагрузки правильный сертификат.
Как и многие другие сообщения, которые я читал, где у людей была такая же проблема, решение здесь оказалось (в некоторой степени) не связанным с установкой нового сертификата SSL.
Краткий ответ: потребовалась перезагрузка всех трех серверов (балансировщика нагрузки и фактических серверов содержимого). Похоже, это наконец очистило кеш сервера от старого сертификата.
Длинный ответ: похоже, у одного из серверов содержимого IIS (а не сервера балансировки нагрузки ARR) плохой IP-адрес. Это означает, что статический IP-адрес, который мы ему предоставили, очевидно, использовался где-то в сети. Это заставляло сервер ARR использовать только другой сервер содержимого. Все это вызывало странные проблемы с обслуживанием сайта в целом (случайные ошибки 502), которые я приписывал новому сертификату SSL, а также затрудняло возврат всего сайта в оперативный режим после перезагрузки.
Итог .... установка нового сертификата SSL не была реальной проблемой. Как только мы решили реальную проблему, и после перезагрузки всех серверов проблема была решена.
Вам необходимо выбрать новый сертификат на веб-сайте по умолчанию для порта https 443. (привязки)
