Централизованные сертификаты IIS8 не распознают сертификаты («Указанный пароль закрытого ключа неверен»).
У меня довольно простая установка: IIS 8 на Windows Server 2012 R2 2x ARR-серверах с NLB 3x-серверами веб-контента в веб-ферме
Серверы ARR имеют общую конфигурацию IIS, а серверы веб-содержимого IIS имеют общую конфигурацию. Я могу успешно перейти к домену, указанному на мой ARR NLB IP через HTTP, и попасть на мои веб-серверы в веб-ферме.
Моя проблема в том, что когда я добавляю сертификаты к общему ресурсу CCS, они отображаются с красным крестиком и ошибкой «указанный пароль секретного ключа неверен». У меня нет ключевого пароля, указанного в настройках функции CCS, и я сгенерировал CSR и ключ без шифрования для выдачи этих тестовых сертификатов из действующего центра сертификации.
CSR и ключи генерируются с помощью специальной внутренней утилиты SSL, которая просто использует OpenSSL. Я пропустил сертификат и ключ с помощью некоторых инструментов проверки на sslshopper.com, и они подтвердили соответствие, и ключ можно было прочитать, поскольку он не был зашифрован.
Я создал файл PKCS # 12 (.pfx), используя OpenSSL, с моим незашифрованным ключом и сертификатом, выданным моим центром сертификации. Я могу импортировать сгенерированный PFX в свое хранилище сертификатов на моем локальном компьютере, просматривать его и экспортировать без проблем. Однажды я заметил странную вещь: когда я экспортировал сертификат с ключом из моего личного хранилища сертификатов на моем компьютере и добавил его в CCS, ошибка заключалась в том, что файловая система не могла найти указанный файл, даже если он отображает сертификат с ошибка, которая находится в общей папке.
Будем очень благодарны любой помощи.
Что касается проблемы, которую вы видите, она отвечает the file system could not find the file specified, у нас была аналогичная проблема.
Наш диспетчер сертификатов всегда использует Linux / OpenSSL для создания файлов PFX, а в выходном файле отсутствует информация заголовка, которая не важна OpenSSL. Решением для нас было импортировать сертификат в CertMgr.msc в Windows, а затем повторно экспортировать его в новый PFX; после импорта в CCS все работало как надо.
Даже попробовав рекомендацию SmithPlatts, мне все равно не удалось заставить CCS распознать сертификат.
Я закончил тем, что сгенерировал запрос от IIS, завершил запрос с сертификатом, предоставленным CA, а затем экспортировал этот сертификат с ключом из certmgr. Я взял эти PFX и CCS, вижу, что проблем нет.
Я не знаю точно, в чем проблема, я подозреваю, что это что-то вроде сообщения SmithPlatts, но не уверен. Я планирую сделать несколько сценариев PowerShell для управления этим процессом, не идеально, но работает.