Pertama, beberapa poin yang mungkin sama untuk Anda
- Saya mencoba memperbarui sertifikat karena sudah kedaluwarsa.
- Saya memiliki beberapa domain yang terikat dengan IP yang sama. Mereka kebetulan merupakan sertifikat SAN tapi itu mungkin tidak relevan.
- Saya mencoba menggunakan toko sertifikat terpusat. Sekali lagi saya pikir ini tidak relevan dengan sebagian besar jawaban saya.
- Saya sudah berusaha memperbarui sertifikat tetapi tidak menunjukkan tanggal yang baru.
- Anda mungkin panik sekarang jika sertifikat lama Anda sudah kadaluwarsa. Ambil napas dalam-dalam ...
Pertama saya akan sangat merekomendasikan https://www.digicert.com/help/
dan mengunduh alat DigiCert mereka. Anda juga dapat menggunakannya online.
Masukkan di situs web Anda https://example.com
dan itu akan menunjukkan tanggal kedaluwarsa dan cap jempol (apa yang disebut MS hash sertifikat). Itu melakukan pencarian realtime sehingga Anda tidak perlu khawatir apakah browser Anda (atau server perantara) sedang melakukan cache sesuatu.
Jika Anda menggunakan toko sertifikat terpusat, Anda ingin 100% yakin file .pfx adalah versi terbaru, jadi buka direktori toko Anda dan jalankan perintah ini:
C:\WEBSITES\SSL> certutil -dump www.example.com.pfx
Ini akan menunjukkan tanggal kedaluwarsa dan sidik jari / jempol. Tentunya jika tanggal kedaluwarsa ini salah, Anda mungkin baru saja mengekspor sertifikat yang salah ke sistem file, jadi pergi dan perbaiki dulu.
Jika Anda menggunakan CCS maka dengan asumsi perintah certutil ini memberi Anda tanggal kedaluwarsa yang diharapkan (dari sertifikat yang diperbarui), Anda dapat melanjutkan.
Jalankan perintah:
netsh http show sslcert > c:\temp\certlog.txt
notepad c:\temp\certlog.txt
Anda mungkin memiliki banyak hal di sini sehingga lebih mudah untuk membukanya di editor teks.
Anda ingin mencari file ini untuk hash SALAH yang Anda dapatkan digicert.com
(atau cap jempol yang Anda dapatkan dari Chrome).
Bagi saya ini menghasilkan yang berikut. Anda akan melihatnya terikat ke IP dan bukan nama domain yang saya harapkan. Ini masalahnya. Tampaknya ini (untuk alasan apa pun saya tidak yakin) lebih diutamakan daripada set mengikat di IIS yang baru saja saya perbarui example.com
.
IP:port : 10.0.0.1:443
Certificate Hash : d4a17e3b57e48c1166f18394a819edf770459ac8
Application ID : {4dc3e181-e14b-4a21-b022-59fc669b0914}
Certificate Store Name : My
Verify Client Certificate Revocation : Enabled
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check : Enabled
Revocation Freshness Time : 0
URL Retrieval Timeout : 0
Ctl Identifier : (null)
Ctl Store Name : (null)
DS Mapper Usage : Disabled
Negotiate Client Certificate : Disabled
Saya bahkan tidak tahu dari mana pengikatan ini berasal - Saya bahkan tidak memiliki ikatan SSL di situs default saya tetapi server ini sudah berumur beberapa tahun dan saya pikir ada sesuatu yang rusak dan macet.
Jadi, Anda ingin menghapusnya.
Agar aman, Anda harus menjalankan perintah berikut terlebih dahulu untuk memastikan Anda hanya menghapus item ini:
C:\Windows\system32>netsh http show sslcert ipport=10.0.0.1:443
SSL Certificate bindings:
-------------------------
IP:port : 10.0.0.1:443
Certificate Hash : d4a17e3b57e48c1166f18394a819edf770459ac8
Application ID : {4dc3e181-e14b-4a21-b022-59fc669b0914}
Certificate Store Name : My
Verify Client Certificate Revocation : Enabled
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check : Enabled
Revocation Freshness Time : 0
URL Retrieval Timeout : 0
Ctl Identifier : (null)
Ctl Store Name : (null)
DS Mapper Usage : Disabled
Negotiate Client Certificate : Disabled
Sekarang kami telah memverifikasi ini adalah cap jempol 'buruk', dan satu catatan yang diharapkan dapat kami hapus dengan perintah ini:
C:\Windows\system32>netsh http delete sslcert ipport=10.0.0.1:443
SSL Certificate successfully deleted
Semoga jika Anda sekarang kembali ke Digicert dan menjalankan kembali perintah itu akan memberi Anda cap jempol sertifikat yang diharapkan. Anda harus memeriksa semua nama SAN jika Anda ingin memastikannya.
Mungkin ingin IISRESET di sini untuk memastikan tidak ada kejutan nanti.
Catatan akhir: Jika Anda menggunakan toko sertifikat terpusat dan Anda melihat perilaku tidak menentu mencoba untuk menentukan apakah itu mengambil sertifikat Anda dari sana atau tidak jangan khawatir - itu bukan salah Anda. Kadang-kadang tampaknya mengambil file baru segera, tetapi cache yang lama. Membuka dan menyimpan kembali pengikatan SSL setelah melakukan perubahan apa pun tampaknya menyetel ulang tetapi tidak 100% dari waktu.
Semoga berhasil :-)
[::1]:443
memperbarui sertifikat di IIS hanya memperbarui catatan untuk0.0.0.0:443
. Terima kasih!