Reemplace el antiguo certificado SSL en IIS6

9

Tengo que actualizar mi certificado SSL para IIS6 en Windows 2003 Server. El proveedor (Thawte) me dice que mi Solicitud de firma de certificado no es resignable, lo que considero que necesito generar una solicitud para un certificado nuevo. Sin embargo, en el Administrador de IIS, siempre que tenga instalado el certificado actual, mis únicas opciones son:

  • Renovar el certificado actual
  • Eliminar el certificado actual
  • Reemplazar el certificado actual
  • Exporte el certificado actual a un archivo .pfx
  • Copie o mueva el certificado actual a un sitio de servidor remoto

Pensé que "Reemplazar" sería la opción obvia, pero no me da la opción de crear una nueva solicitud para reemplazar el certificado actual; Solo puedo elegir entre los certificados ya instalados en el servidor. Si "elimino" el certificado actual para solicitar uno nuevo, ¿eso provocaría que mis clientes reciban una notificación inmediata de que mi servidor no está protegido? ¿O estoy malinterpretando la documentación de Thawte y realmente puedo renovar? He renovado certificados en el pasado y no puedo imaginar que no haya forma de lograrlo sin interrumpir el estado de "SSL protegido". Gracias por adelantado.

kcrumley
fuente

Respuestas:

15

He intentado hacer la renovación basada en certificaciones existentes antes, y siempre ha resultado un poco desordenado (ha sido con Verisign en mi caso, pero no puedo imaginar que el proceso de Thawte funcione mucho mejor, aunque estoy completamente preparado para culpar a mi propia ignorancia SSL en ese momento). De todos modos, la forma de resolver esto es:

  • Cree un sitio temporal en IIS. Llámelo "renovación SSL" o algo así; nunca va a ver Internet, por lo que realmente no importa.
  • Genere una CSR para el nuevo sitio, utilizando EXACTAMENTE los mismos parámetros que utilizó para el certificado de su sitio real; nombre del sitio, org. información, longitud de la clave, todo.
  • Siga el proceso de renovación de Thawte, suministrando la nueva CSR brillante que generó.
  • Cuando reciba la respuesta firmada, procese e instálela en la temp. sitio. El certificado ahora está en la tienda de certificados de la cuenta de computadora local, por lo que IIS puede verlo. ¿Ves a dónde vamos con esto?
  • Ahora que el nuevo certificado está instalado, vaya a las propiedades SSL del sitio real y seleccione "reemplazar el certificado actual". En la lista de certificados a utilizar, debería ver el nuevo. Selecciónelo y listo. ¡Siéntase libre de eliminar el anterior después, y no olvide hacer una copia de seguridad de su certificado y clave privada!
  • RainyRat
    fuente
    No hay problema - Me gustaría que este sitio había estado presente cuando me encontré con este problema ...
    RainyRat
    Gracias por este post Justo lo que necesitaba y funcionó muy bien.
    Hondalex
    Esta pregunta surgió como una sugerencia cuando comencé a escribir mi propia pregunta sobre el tema, y ​​esta fue mi respuesta.
    pjmorse
    6

    Este KB en el sitio web de Comodo describe cómo hacerlo:

    Básicamente, volverá a crear su sitio en IIS y generará una solicitud desde ese. Luego lo elimina y reemplaza el certificado en su sitio actual.

    MathewC
    fuente
    Gracias. Lo siento, tuve que elegir la respuesta más detallada, aunque ambos dicen básicamente lo mismo.
    kcrumley
    1
    Eso apesta. Yo respondí primero. Podría haber cortado y pegado el texto en línea, pero le di crédito a donde debía hacerlo.
    MathewC
    Correcto, y si hubiera elegido la suya, estaría valorando una respuesta un poco más rápida que un respaldo personal de la técnica, con más esfuerzo puesto en ello. De ninguna manera es perfecto. Te di un voto a favor.
    kcrumley