먼저 아마 당신과 같은 몇 가지 포인트
- 인증서가 만료되어 인증서를 업데이트하려고했습니다.
- 동일한 IP에 여러 도메인이 바인딩되어 있습니다. SAN 인증서가되지만 관련이 없을 수 있습니다.
- 중앙 인증서 저장소를 사용하려고했습니다. 다시 말하지만 이것은 대부분의 대답과 관련이 없다고 생각합니다.
- 인증서를 이미 업데이트하려고했지만 새 날짜가 표시되지 않았습니다.
- 이전 인증서가 이미 만료 된 경우 지금 당황 할 수 있습니다. 심호흡하십시오 ...
먼저 https://www.digicert.com/help/
DigiCert 도구를 다운로드하여 다운로드하는 것이 좋습니다 . 온라인에서도 사용할 수 있습니다.
웹 사이트에 입력 https://example.com
하면 만료 날짜와 지문 (MS가 인증서 해시라고 함)이 표시됩니다. 실시간 조회를 수행하므로 브라우저 (또는 중간 서버)가 무언가를 캐싱하는지 여부를 걱정할 필요가 없습니다.
중앙 집중식 인증서 저장소를 사용하는 경우 .pfx 파일이 최신 버전인지 100 % 확인하고 싶은 경우 상점 디렉토리로 이동하여 다음 명령을 실행하십시오.
C:\WEBSITES\SSL> certutil -dump www.example.com.pfx
만료 날짜와 해시 / 지문이 표시됩니다. 분명히이 만료 날짜가 틀린 경우 아마도 잘못된 인증서를 파일 시스템으로 내보냈을 것이므로 먼저 수정하십시오.
CCS를 사용중인 경우이 certutil 명령이 업데이트 된 인증서의 예상 만료 날짜를 제공한다고 가정하면 계속 진행할 수 있습니다.
다음 명령을 실행하십시오 :
netsh http show sslcert > c:\temp\certlog.txt
notepad c:\temp\certlog.txt
여기에 많은 것들이있을 수 있으므로 텍스트 편집기에서 쉽게 열 수 있습니다.
이 파일에서 잘못된 해시 digicert.com
(또는 Chrome에서 가져온 지문)를 검색하려고합니다.
나에게 이것은 다음을 산출했다. IP가 내 도메인 이름이 아닌 IP에 바인딩되어 있음을 알 수 있습니다. 이게 문제 야. 이것이 (확실하지 않은 이유로) 방금 업데이트 한 IIS의 바인딩 세트보다 우선하는 것 같습니다 example.com
.
IP:port : 10.0.0.1:443
Certificate Hash : d4a17e3b57e48c1166f18394a819edf770459ac8
Application ID : {4dc3e181-e14b-4a21-b022-59fc669b0914}
Certificate Store Name : My
Verify Client Certificate Revocation : Enabled
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check : Enabled
Revocation Freshness Time : 0
URL Retrieval Timeout : 0
Ctl Identifier : (null)
Ctl Store Name : (null)
DS Mapper Usage : Disabled
Negotiate Client Certificate : Disabled
이 바인딩의 출처를 모르고 있습니다. 기본 사이트에는 SSL 바인딩이 없지만이 서버는 몇 년 전이며 뭔가 잘못되어 붙어 있다고 생각합니다.
따라서 삭제하고 싶을 것입니다.
안전을 위해 다음 항목을 먼저 실행하여이 항목 하나만 삭제하고 싶을 것입니다.
C:\Windows\system32>netsh http show sslcert ipport=10.0.0.1:443
SSL Certificate bindings:
-------------------------
IP:port : 10.0.0.1:443
Certificate Hash : d4a17e3b57e48c1166f18394a819edf770459ac8
Application ID : {4dc3e181-e14b-4a21-b022-59fc669b0914}
Certificate Store Name : My
Verify Client Certificate Revocation : Enabled
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check : Enabled
Revocation Freshness Time : 0
URL Retrieval Timeout : 0
Ctl Identifier : (null)
Ctl Store Name : (null)
DS Mapper Usage : Disabled
Negotiate Client Certificate : Disabled
이제 이것이 '잘못된'지문인지 확인했으며 다음 명령을 사용하여 삭제할 수있는 단일 레코드가 예상됩니다.
C:\Windows\system32>netsh http delete sslcert ipport=10.0.0.1:443
SSL Certificate successfully deleted
이제 Digicert로 돌아가서 명령을 다시 실행하면 예상 인증서 지문이 표시되기를 바랍니다. 확인해야 할 것이 있으면 모든 SAN 이름을 확인해야합니다.
아마 여기에 IISRESET을 설정하고 싶을 수도 있습니다.
마지막 참고 사항 : 중앙 집중식 인증서 저장소를 사용하고 있고 인증서가 여기에서 인증서를 가져오고 있는지 걱정하지 않는지 여부를 결정하려는 잘못된 동작이 표시되는 경우 이는 귀하의 잘못이 아닙니다. 때로는 새 파일을 즉시 가져 오는 것처럼 보이지만 오래된 파일은 캐시합니다. 변경을 한 후 SSL 바인딩을 열고 다시 저장하면 100 %가 아닌 재설정됩니다.
행운을 빕니다 :-)
[::1]:443
반면 IIS에서 인증서를 업데이트하면의 레코드 만 업데이트되었습니다0.0.0.0:443
. 고맙습니다!