替换 IIS6 中的旧 SSL 证书

Question

我必须在 Windows 2003 Server 上更新 IIS6 的 SSL 证书。供应商 (Thawte) 告诉我我的证书签名请求是不可重新签名的，我认为这意味着我需要生成一个全新证书的请求。然而，在 IIS 管理器中，只要我安装了当前证书，我唯一的选择是：

• 更新当前证书
• 删除当前证书
• 替换当前证书
• 将当前证书导出到 .pfx 文件
• 将当前证书复制或移动到远程服务器站点

我认为“替换”将是显而易见的选项，但它并没有让我选择创建一个新的请求来替换当前证书；我只能在服务器上已安装的证书之间进行选择。如果我“删除”当前证书以请求新证书，是否会导致我的客户立即被告知我的服务器不安全？还是我误解了 Thawte 的文档，我真的可以续订？我过去曾更新过证书，我无法想象在不破坏“SSL 安全”状态的情况下根本无法实现这一点。提前致谢。

Answer 1

我之前曾尝试过基于现有证书的续订，但结果总是有点混乱（就我而言，Verisign 一直在使用，但我无法想象 Thawte 的流程效果会更好，虽然我完全准备好责怪我当时对 SSL 的无知）。无论如何，我们解决的方法是：

在 IIS 中创建一个临时站点。称之为“SSL 更新”或其他什么——它永远不会看到互联网，所以它并不重要。

为新站点生成 CSR，使用与您为真实站点的证书完全相同的参数；网站名称，组织。信息，密钥长度，一切。

完成 Thawte 的更新流程，提供您生成的闪亮的新 CSR。

当您收到签名的响应后，处理并在临时设备上安装它。地点。该证书现在位于本地计算机帐户的证书存储中，因此 IIS 可以看到它 - 看看我们要做什么？

现在新证书已安装，进入真实站点的 SSL 属性并选择“替换当前证书”。在要使用的证书列表中，您应该会看到您的新证书。选择它，你就完成了。之后随意删除旧的，不要忘记备份您的证书和私钥！

Answer 2

comodo 网站中的这个KB描述了如何做到这一点：

基本上，您将在 IIS 中重新创建站点并从该站点生成请求。然后删除它并替换当前站点上的证书。