Назад | Перейти на главную страницу

Импорт SSL-сертификатов в Win2k3 / IIS 6.0

В рамках миграции большого сайта мне нужно скопировать несколько (около 50) SSL-сертификатов для разных сайтов.

Я попытался экспортировать их на текущий сервер, а затем импортировать на новый сервер, но безуспешно. Я могу заставить все загружаться и работать правильно, но если я запускаю SSLDiag на новом сервере, я получаю сообщение об ошибке «# ПРЕДУПРЕЖДЕНИЕ: у вас НЕТ закрытого ключа, соответствующего этому сертификату».

Я не могу найти способ импортировать ключ вместе с сертификатом. Нужно ли мне обновлять каждый сертификат, и если да, то стоит ли это денег?

Изменить: у этих серверов нет подключения, необходимого для использования опции «копировать или переместить сертификат» в мастерах SSL.

Edit2: обновляя сертификат, делает ли он недействительным тот, который был на старом сервере?

если я запускаю SSLDiag на новом сервере, я получаю сообщение об ошибке «# ВНИМАНИЕ: у вас НЕТ закрытого ключа, соответствующего этому сертификату». [...] Я не могу найти способ импортировать ключ вместе с сертификатом.

Я не знаю специфики IIS, но да, вам определенно нужно обе (общедоступный) сертификат TSL (SSL) и (закрытый) ключ. Если у сервера нет закрытого ключа, он не может использовать соответствующий сертификат; вот как работает TLS. Должен быть способ экспортировать и то, и другое, вам придется покопаться в руководствах :-).

Нужно ли мне обновлять каждый сертификат, и если да, то стоит ли это денег?

Нет, обновление сертификата не имеет ничего общего с перемещением серверов. Вы можете просто скопировать Pulic и приватные сертификаты / ключи. Конечно, сертификат TSL привязан к определенному доменному имени, поэтому, если имя домена изменится, вам понадобится новый сертификат (а не просто продление).

Обновляя сертификат, делает ли он недействительным сертификат на старом сервере?

Что вы имеете в виду под «признанием недействительным»? Сертификат TLS не может быть признан недействительным; он может быть отозван только органом, выдавшим его. Это то, что они мог сделайте, если вы продлите, но я никогда не слышал об эмитенте, который действительно делал бы это. Таким образом, вы можете продолжать использовать старый сертификат даже после продления.

Просто следуйте этим инструкциям, чтобы экспортировать сертификат с закрытым ключом в файл .pfx и импортировать его на другой сервер: http://www.sslshopper.com/move-or-copy-an-ssl-certificate-from-a-windows-server-to-another-windows-server.html

Если возможность экспорта закрытого ключа недоступна, вам необходимо найти исходный сервер, на котором был создан сертификат, или просто создать новый CSR на новом сервере и повторно выпустить сертификат (или купить новый).