Dav*_*vid 5 ssl ssl-certificate windows-server-2012-r2 iis-8.5 lets-encrypt
我一直在使用 LetsEncrypt 在 Windows 2012 R2 服务器上为我的站点生成证书。它工作得很好,直到最近我更新了证书。
LetsEncrypt 最近进行了更改,他们将名称为“Let's Encrypt Authority X1”的中间证书替换为名称为“Let's Encrypt Authority X3”的中间证书。问题是,更新证书的授权密钥保持不变。
https://community.letsencrypt.org/t/upcoming-intermediate-changes/
因此,当我通过服务器证书续订时,它们现在是“X3”授权的问题,但是由于密钥相同,Windows 证书存储似乎使用它找到的第一个结果(按字母顺序?)构建证书链,结果是是旧的“X1”证书。
这就是问题出现的地方。对于某些客户端/浏览器(如 Chrome),这很好,他们只查看中间证书的密钥。但是,其他客户端更严格,也检查名称,然后失败(X1而不是X3)。
我解决这个问题的第一步是删除 X1 中间证书,并确保我的所有服务器证书都更新为由 X3 颁发。现在事情看起来是正确的,至少在 Windows 的证书存储中(链正确显示了 Root Authority -> X3 -> server cert)。
我现在遇到的问题,似乎无法弄清楚,是为什么客户端继续显示错误的证书链 (X1)。我可以看到,该中间证书甚至不再存在于我的服务器上。
我已经尝试过通常的重启服务器,也偶然发现了这个类似的帖子,尝试了几次那里的步骤但没有任何运气 -
https://serverfault.com/a/706278/182874
任何线索我可能会错过什么?IIS 缓存证书链似乎存在一些问题,因为我尝试在多个客户端/机器上进行连接并且都遇到相同的问题。只是不知道如何清除这个“证书链缓存”,或者它是否存在。
我刚刚在我的服务器上遇到了这个问题。这是2008R2 上的。
2012R2 可能存在一些其他问题,解决方案发布于https://community.letsencrypt.org/t/iis-8-5-building-in Correct-chain-with-lets-encrypt-authority-x3/13320/84有相当多的人正在上班
| 归档时间: |
|
| 查看次数: |
6394 次 |
| 最近记录: |