Windows-Server-2003
如何在 Windows NLB 群集中為網站安裝(更新)SSL 證書
我想問一下在 NLB 負載平衡配置中執行 IIS6 的兩台伺服器上安裝 SSL 證書的正確程序是什麼。
昨天我按照我認為正確的程序安裝了證書。此後不久,我的 iphone 上出現了證書錯誤(但其他地方都沒有 - chrome、IE、firefox 都很好)
從那時起,該網站的 SSL 也沒有在我的 iphone 上產生錯誤(Safari、chrome),但我不相信我已經正確地做到了這一點……
- 在 IIS 6 中,使用更新選項請求證書。
- 使用生成的 CSR 獲取證書(來自 godaddy)
根證書….
- 使用獲得的證書,在 IIS6 中完成掛起的請求。
- 仍然在 IIS6 中導出證書。
- 在另一台伺服器上 - 將證書導入到 MMC 中證書管理單元中的“個人證書”儲存中。
- 在 IIS6(仍然是其他伺服器)中選擇“更改證書”選項,然後選擇新導入的證書。
中級證書…
- 將中間證書導入“中間證書頒發機構”
- 在這裡我不確定我是否做對了——我沒有導出導入的中間證書,然後將其導入另一台伺服器。而是 - 我只是再次導入了相同的文件。我這樣做是因為我似乎記得過去學習不需要為中級證書進行進出口。(另外,直到今天我仍然不完全理解中間證書的目的/要點是什麼。我相信它是為了支持非常舊的瀏覽器而提供的?)
所以我的問題是——我做對了嗎?這是在執行 IIS6 的負載平衡伺服器上更新 SSL 的有效程序嗎?
編輯: 經過進一步調查(在https://www.ssllabs.com/ssltest/的幫助下)我發現第一台伺服器上不存在中間證書(我本可以發誓我安裝了它們,但顯然我沒有)我現在已經安裝了它們,並且我的站點通過了每台伺服器的“附加證書”測試。
中間證書不需要導出/導入,只需要導入(它不包含私鑰)
只要您使用私鑰導出了 ServerA 上的證書,並使用私鑰將其導入到 ServerB,那麼您做的一切都是正確的。但這似乎是因為 IIS 接受了證書 - 一切都很好。