Я пытаюсь создать аутентификацию сертификатов клиентов для моего сайта asp.net.
Чтобы создать клиентские сертификаты, сначала необходимо создать Центр сертификации:
makecert.exe -r -n "CN = My Personal CA" -pe -sv MyPersonalCA.pvk -a sha1 -len 2048 -b 01/01/2013 -e 01/01/2023 -i авторитет MyPersonalCA.cer
Затем мне нужно импортировать его в IIS 7, но поскольку он принимает формат .pfx, я сначала конвертирую его
pvk2pfx.exe -pvk MyPersonalCA.pvk -spc MyPersonalCA.cer -pfx MyPersonalCA.pfx
После импорта MyPersonalCA.pfx я пытаюсь добавить привязку https-сайта к моему веб-сайту и выбрать выше как сертификат SSL, но я получаю следующую ошибку:
Любые предложения?
Это должно быть какая-то ошибка IIS, но я нашел решение.
1- Экспортировать MyPersonalCA.pfx из IIS.
2- Преобразуйте его в .pem:
openssl pkcs12 -in MyPersonalCA.pfx -out MyPersonalCA.pem -nodes
3- Преобразуйте его обратно в .pfx:
openssl pkcs12 -export -in MyPersonalCA.pem -inkey MyPersonalCA.pem -out MyPersonalCA.pfx
4- Импортируйте его обратно в IIS.
Я столкнулся с этой проблемой, но исправил ее по-другому. Я считаю, что учетная запись, которую я использовал, изменилась с того момента, когда я сначала попытался настроить сертификат на время, когда я вернулся, чтобы закончить работу, тем самым создав проблему. В чем проблема, я не знаю, но я подозреваю, что это связано с каким-то хэшем от текущего пользователя, и это несовместимо в некоторых сценариях, когда пользователь модифицирован или воссоздан и т.д.
Чтобы исправить это, я вырвал из IIS и оснастки "Сертификаты" (для текущего пользователя и локального компьютера) все ссылки соответствующего сертификата:
Затем я импортировал файл *.pfx в оснастку certs в MMC, поместив его в Local Computer\Personal node:
С этого момента я смог вернуться в IIS и найти его в сертификатах сервера. Наконец, я пошел на свой сайт, отредактировал привязки и выбрал правильный сертификат. Он работал, потому что пользователь был последовательным на протяжении всего процесса.
К моменту, упомянутому в другом ответе, вам не нужно прибегать к тому, чтобы его маркировать как экспортируемое, как серьезную проблему безопасности. Вы эффективно разрешаете всем, кто может попасть в ящик с похожим набором разрешений, чтобы взять с собой ваш сертификат и импортировать его в другое место. Очевидно, что это не оптимально.
Предупреждение о безопасности: что означает флажок, так это то, что сертификат может быть прочитан пользователями, которые не могут его прочитать. Например, пользователь запускает рабочий процесс IIS. Вместо этого используйте другой ответ.
Случилось и со мной, и было исправлено, если "Разрешить экспорт этого сертификата" отмечен при импорте:
(спасибо этот пост!)
Никто, наверное, больше этого не заботится, но я просто столкнулся с этой проблемой с привязкой веб-сайта IIS 7. Как я ее исправил, он отправился в Центр сертификации и обнаружил сертификат, выданный серверу с проблемой. Я проверил учетную запись пользователя, которая запросила сертификат. я Затем я зашел на сервер IIS, используя RDP с этой учетной записью. Я смог повторно переписать протокол https только с этой учетной записью. Никаких экспортных, переиздающихся или расширительных хакеров не требуется.
В нашем случае эта проблема возникла из-за того, что мы установили сертификат на виртуальной машине и сделали изображение для дальнейшего использования.
При создании другой виртуальной машины из ранее созданного изображения сертификат отправляет сообщение.
Чтобы избежать этого, обязательно установите сертификат на каждую новую виртуальную машину.
У нас была такая же проблема из-за неправильного импорта сертификата в хранилище сертификатов текущего пользователя. Удаление его из хранилища текущего пользователя и импорт его в хранилище сертификатов "Локальный компьютер" решило проблему.
Я получил эту ошибку из-за неправильной командной строки openssl во время экспорта сертификата PKCS # 12. -certfile ключ был неправильным. Я экспортировал сертификат еще раз, и он был успешно импортирован.
У меня была такая же проблема. Решится, удалив сертификат из личного магазина (кто-то положил его) и из веб-хостинга. Все это делается через менеджера IIS. Затем я снова добавил в хранилище веб-хостинга (все проверено), и я снова могу использовать HTTPS...
В моем случае это произошло потому, что пользователь World Wide Publishing Service не имел разрешений на сертификат. После установки сертификата войдите в модуль сертификатов в MMC и щелкните правой кнопкой мыши сертификат с этой проблемой. Выберите "Управление приватными ключами..." в меню "Все задачи" и добавьте указанного пользователя. Это был пользователь SYSTEM в моем случае.
Мне удалось устранить эту проблему, импортировав файл сертификата SSL PFX с помощью диспетчера сертификатов Windows.
http://windows.microsoft.com/en-us/windows-vista/view-or-manage-your-certificates
У меня была эта проблема сегодня, и я вынужден опубликовать свое решение в надежде, что вы потеряете меньше волос, чем я только что сделал.
После того, как мы рассмотрели вышеописанные решения, нам пришлось повторно выдавать SSL-сертификат у поставщика SSL (RapidSSL выпускает в качестве реселлера для GeoTrust).
В этом процессе была без затрат, только пять минут ожидания, пока пришли письма с подтверждением (admin @), и мы снова получили доступ.
Как только мы получили ответ, мы использовали IIS > Server Certificates для его установки. Нам не нужна оснастка MMC.
https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=SO5757
Мы оставили окно удаленного рабочего стола на сервере открытым, чтобы избежать любых проблем с разными учетными записями/сеансами входа и т.д. Я считаю, что это ошибка IIS, как считает другой эксперт, поскольку у нас есть только одна учетная запись RDC. Самое неприятное - тот самый сертификат работает отлично в течение двух месяцев, прежде чем внезапно "ломается".
Вместо импорта сертификата из IIS сделайте это с MMC. Затем перейдите в IIS для привязки.
В моем случае я недавно импортировал новую версию сертификата (PFX для IIS) из StartSSL и забыл удалить старую, что как-то вызвало эту ошибку (теперь два типа сертификатов одинаковы). Я удалил их оба, импортировал правильный, и теперь он работает.
Я получал эту ошибку при попытке связать localhost pfx cert для моей машины разработки. Прежде чем я попытался сделать это, попробуйте сначала что-то проще.
После этого все работает.