Вопросы Теги

IIS 7.0 - сертификат SSL - возобновляет или новый?

Используйте 1.5x физическая память для машин с меньше, чем 4-6GB RAM. После этого можно уменьшить размер или по крайней мере не увеличить его. Следите за подкачкой страниц, чтобы определить, необходимы ли увеличения. Кроме того, используйте фиксированный размер страницы. Это предварительно запишет файл подкачки, который поражает устранить производительность, когда файл подкачки должен быть увеличен.

Что касается работы с VM's. Контролируйте свою подкачку страниц в VM и корректируйтесь как соответственно для максимизации производительности. Это потребует использования монитора производительности.

13
задан 22 September 2009 в 17:01
3 ответа

Только необходимо создать временный веб-сайт с IIS 6.0. IIS 7.0 позволяет Вам создавать несколько незаконченных запросов за один раз.

IIS 7.0 на самом деле имеет ошибку, которая заставляет возобновить функцию генерировать CSR с очень большим ключом (намного больше, чем Вы хотите). Из-за этого рекомендуется создать новый незаконченный запрос вместо того, чтобы выбрать возобновить опцию. После того, как установленный Вы просто переключаете SSL, привязывающий веб-сайт, и у Вас не будет времени простоя. Это также позволяет Вам генерировать новый ключ каждый раз, когда Вы возобновляете который повышение безопасности системы.

Поставщик сертификата (CA) не заботится, используете ли Вы новую опцию или возобновить опцию, и Вы могли бы использовать или опцию, остаетесь ли Вы с тем же CA или заказываете от нового.

7
ответ дан 2 December 2019 в 21:26

Возобновление сертификата позволяет Вам сохранять тот же и закрытый ключ с открытым ключом при обновлении даты истечения срока сертификата. Преимущество для этого состоит в том, если необходимо было сохранить след большого пальца на маршрутизаторе или чем-то. Я полагаю, что то же издание, CA требуется для возобновления запроса, таким образом, может просто быть легче генерировать новый запрос вручную.

Генерировать новый запрос, не аварийно завершая IIS

Можно создать запрос сертификата вручную и отправить это. После того как Вы получаете новый сертификат, можно затем просто переключить сертификат, который ищет IIS7. Как создать сертификат SSL веб-сервера вручную.

Простая суть процесса - Вы, будет создавать inf файл с запрошенной информацией, работать certreq -new file.inf file.req. После того как у Вас есть файл запроса, можно утверждать, что к CA хотите выпустить свой сертификат, затем принять открытый ключ, который они отправляют Вам с командой certreq -accept file-from-ca.req

Пример request.inf

[Version]
Signature="$Windows NT$"

[NewRequest]
Subject = "CN=fully.qualified.domain.name, OU=Organizational Unit, O=Company, L=City, S=State, C=Country"
KeySpec = 1
KeyLength = 2048
HashAlgorithm = SHA256
Exportable = FALSE
MachineKeySet = TRUE
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
RequestType = PKCS10
KeyUsage = 0xa0
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
FriendlyName = ""

[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication

[RequestAttributes]
CertificateTemplate = WebServer

[Extensions]
2.5.29.17 = "{text}"
_continue_ = "DNS=&"
_continue_ = "DNS="

Вышеупомянутым примером inf является тот, который я использую внутренне для моего собственного CA, но могу быть адаптирован для работы на большинство сред. Можно установить Exportable к TRUE, если Вы хотите смочь заархивировать свой ключ. FriendlyName является абсолютно дополнительным и Extensions раздел для использования альтернативных имен DNS (Подчиненные Альтернативные Имена).

Пример записи SAN был бы:

[Extensions]
2.5.29.17 = "{text}"
_continue_ = "DNS=example.com&"
_continue_ = "DNS=www.example.com&"
_continue_ = "DNS=secure.example.com"

Это позволило бы Вам использовать тот же сертификат с тремя выше сайтов без него, жалуясь, что существует несоответствие имени (на современных браузерах - я не думаю, что IE6 понимает это). Важно, чтобы Вы включали полностью определенное доменное имя (CN строки темы) в SAN при установке этого. Можно полностью удалить область расширений также, если у Вас нет потребности в нескольких доменных именах (также, некоторая АВАРИЯ не может поддерживать ее).

Процесс

После того как у Вас есть вышеупомянутая сохраненная информация (я знаю, что это много). Выполните эти шаги:

  1. Откройте командную строку и CD к каталогу, где Вы сохранили вышеупомянутое inf.
  2. Выполненный certreq -new above.inf request.req
  3. Отправьте request.req файл Вашему Приблизительно. Они обработают его и одобрят/уменьшат его.
  4. Когда они утверждают его, они должны отправить Вам назад Ваш открытый ключ в .cer файле.
  5. Выполненный certreq -accept file-from-ca.cer закончить настраивать ключ.

Удачи!

Править

Полный синтаксис для certreq и inf файла может быть найден в Приложении 3: Синтаксис Certreq.exe (Windows Server 2003 SP1). FriendlyName и HashAlgorithm Сервер 2008 (и R2) только. Можно просмотреть список поддерживаемых криптографических поставщиков путем выполнения команды certutil -csplist и рассмотрение вывода. Текущему полю Windows 2003 SP2 действительно перечисляли "Microsoft RSA SChannel Cryptographic Provider" как доступного поставщика, так удостоверьтесь, что Вашему файлу установили кавычки правильно и что запись находится на одной строке только (никакое обертывание или мультилинии).

Можно также изменить ProviderName на ProviderType и использовать число, обеспеченное выводом certreq -csplist.

В этом случае я получаю следующий вывод:

Provider Name: Microsoft RSA SChannel Cryptographic Provider
Provider Type: 12

Таким образом, я могу или использовать

ProvderName = "Microsoft RSA SChannel Cryptographic Provider"

или

ProviderType = 12
7
ответ дан 2 December 2019 в 21:26
  • 1
    Спасибо. Как я готовлю его вручную? –  Sunny 22 September 2009 в 17:17
  • 2
    Также - все еще незаконченный вопрос - делает он имеет значение для " renew" то, что сертификат будет выпущен новым поставщиком? –  Sunny 22 September 2009 в 17:20
  • 3
    Насколько я знаю, что возобновление требует, чтобы то же издание CA отправило Вам обновленный сертификат, так как возобновление сохраняет тот же и закрытый ключ с открытым ключом. Другой CA будет иметь другой набор ключей для подписания с, и таким образом, пара "открытый/закрытый ключ" будет отличаться. –  Joshua 22 September 2009 в 17:22
  • 4
    Joshua, это сообщает об этом: Процессор Запроса Сертификата: данные недопустимы. 0x8007000d (WIN32: 13) mycert.inf (HashAlgorithm = " SHA256"). Вы уверены, что это должно работать? В orig. статье Вы связались с, there' s никакая такая установка. –  Sunny 22 September 2009 в 19:33
  • 5
    Я удалил настройки HashAlgorithm и FriendlyName (поскольку это жаловалось на них), и не я добираюсь: Процессор Запроса Сертификата: тип Поставщика не соответствует зарегистрированному значению. 0x8009001b (-2146893797).Очень плохо. –  Sunny 22 September 2009 в 19:37

Хорошо, для неравнодушного ответа на мой собственный вопрос - часть создания/использования нового сертификата, не удаляя существующий (т.е. не останавливая сервер) я нашел хорошее описание на веб-сайте Comodo - в основном я должен создать "временный" веб-сайт на сервере и использовать его, чтобы создать новый CSR, отправить его за подписанием, и получить и импортировать сертификат.

Затем на моем основном (реальном) сайте я должен заменить текущий сертификат и затем удалить временный.

1
ответ дан 2 December 2019 в 21:26

Теги

Похожие вопросы