Назад | Перейти на главную страницу

Как исправить проблемы с цепочками сертификатов LetsEncrypt на Windows Server?

Я использую LetsEncrypt для создания сертификатов для своих сайтов на сервере Windows 2012 R2. Он отлично работал до недавнего времени, когда я обновил сертификаты.

LetsEncrypt недавно внесла изменения, заменив промежуточный сертификат с именем «Let's Encrypt Authority X1» на сертификат с именем «Let's Encrypt Authority X3». Проблема в том, что ключ доступа для обновленного сертификата остался прежним.

https://community.letsencrypt.org/t/upcoming-intermediate-changes/

Итак, когда я обновил сертификаты сервера, теперь они были выданы органом "X3", однако, поскольку ключ был тем же самым, хранилище сертификатов Windows, похоже, выстраивает цепочку сертификатов с первым найденным результатом (в алфавитном порядке?), Который оказывается быть старым сертификатом "X1".

Вот где возникает проблема. Для некоторых клиентов / браузеров (например, Chrome) это нормально, они смотрят только на ключ для промежуточного сертификата. Однако другие клиенты более строги и также проверяют имя, а затем терпят неудачу (X1 вместо X3).

Моим первым шагом к исправлению этого было удаление промежуточного сертификата X1 и обеспечение того, чтобы все сертификаты моего сервера были обновлены для выдачи X3. Теперь все выглядит правильно, по крайней мере, в хранилище сертификатов в Windows (цепочка правильно показывает Root Authority -> X3 -> server cert).

Проблема, с которой я сейчас застрял и не могу понять, заключается в том, почему клиенты продолжают отображать неправильную цепочку сертификатов (X1). Этот промежуточный сертификат больше не существует на моем сервере, насколько я могу судить.

Я пробовал обычный перезагружающийся сервер, а также наткнулся на этот похожий пост, несколько раз безуспешно пробовал шаги там -

https://serverfault.com/a/706278/182874

Любая подсказка, что я мог упустить? Кажется, есть некоторая проблема с цепочками сертификатов кэширования IIS, поскольку я пытался подключиться к нескольким клиентам / машинам, и у всех одна и та же проблема. Просто понятия не имею, как очистить этот «кеш цепочки сертификатов» и существует ли он вообще.

Я только что столкнулся с этой проблемой на своем сервере. Это было на 2008R2.

  1. Убедитесь, что все сертификаты используют новый промежуточный сертификат, поскольку мы собираемся удалить старый.
  2. Удалите промежуточный сертификат X1 с локального компьютера и всех локальных учетных записей пользователей
  3. Удалите безопасную привязку в IIS для каждого сертификата
  4. Повторно добавьте каждую из безопасных привязок в IIS

Могут быть некоторые дополнительные проблемы для 2012R2, решение опубликовано на https://community.letsencrypt.org/t/iis-8-5-building-incorrect-chain-with-lets-encrypt-authority-x3/13320/84 что довольно много людей отчитываются о работе