安裝新的 ssl 證書後仍顯示在瀏覽器中
我們有一個 IIS ARR 伺服器,它將負載平衡到兩個不同的單獨的 IIS 伺服器。
有問題的伺服器是我們的內部暫存伺服器。三個月前,我創建了一個免費的 Let’s Encrypt SSL Cert 以在這些伺服器上使用。與 Let’s Encrypt 一樣,它在 3 個月後過期。所以今天我開始創建一個新證書,並替換了 ARR 伺服器和兩個負載平衡伺服器上的舊證書。
這樣做之後,然後在任何瀏覽器(包括隱身模式)中返回該站點,它仍然顯示舊的無效證書。我什至在以前從未訪問過該站點的筆記型電腦上訪問過該站點,只是為了查看舊證書是否記憶體在我的瀏覽器中。甚至那些筆記型電腦也會在網站上傳入不安全警告。
這些是我採取的步驟:
在 ARR 伺服器上:
- 在 IIS 中,在伺服器上,打開“伺服器證書”
- 刪除舊證書
- 導入新證書
- 驗證新的到期日期現在是 3 個月
- IIS重置
在兩台負載平衡伺服器上:
- 在 IIS 中,在伺服器上,打開“伺服器證書”
- 刪除舊證書
- 導入新證書
- 驗證新的到期日期現在是 3 個月
- 在網站上,進入綁定
- 深入研究 SSL 並驗證 SSL 證書是新證書
- IIS重置
然而,儘管舊證書的所有痕跡都被刪除,包括刪除實際文件,但無論我做什麼,它都會載入到每台仍然顯示舊證書的電腦上的每個瀏覽器(即 chrome、ff)中。
我不知道還能做什麼。
如果這有幫助:
(我應該補充一下……在許多不同的論壇上有很多完全相同的問題。我已經閱讀了幾十個。他們都不必引導我找到解決方案。)
就像我讀到的許多其他文章一樣,人們遇到了同樣的問題,這裡的解決方案最終(在某種程度上)與新 SSL 證書的安裝無關。
簡短回答:需要重新啟動所有三台伺服器(負載平衡器和實際內容伺服器)。這似乎終於清除了舊證書的伺服器記憶體。
長答案:其中一個 IIS 內容伺服器(不是 ARR 負載平衡伺服器)似乎有一個錯誤的 IP 地址。意思是,我們給它的靜態 IP 地址顯然正在網路上的其他地方使用。這導致 ARR 伺服器僅使用其他內容伺服器。所有這些都導致了為網站提供服務的奇怪問題(偶爾出現 502 錯誤),我將其歸因於新的 SSL 證書,並且在重新啟動後也很難讓整個網站重新上線。
底線….新 SSL 證書的安裝不是真正的問題。一旦我們解決了真正的問題,並在重新啟動所有伺服器後,問題就解決了。
如果您的負載均衡器正在解除安裝 SSL,那麼它將是終止 SSL 連接並執行握手的設備。您需要確保負載均衡器具有正確的證書。