Централизованные сертификаты IIS8 не распознают сертификаты («Указанный пароль закрытого ключа неверен.»)
У меня довольно простая настройка: IIS 8 в Windows Server 2012 R2 2 сервера ARR с NLB 3 сервера веб-содержимого в веб-ферме
Серверы ARR имеют общую конфигурацию IIS, а серверы веб-содержимого IIS имеют общую конфигурацию. Я могу успешно перейти к домену, указанному на мой ARR NLB IP через HTTP, и попасть на мои веб-серверы в веб-ферме.
Моя проблема в том, что когда я добавляю сертификаты в общий ресурс CCS, они отображаются с красным крестиком и ошибка «Указанный пароль закрытого ключа неверен.». У меня нет ключевого пароля, указанного в настройках функции CCS, и я сгенерировал CSR и ключ без шифрования, чтобы выдать эти тестовые сертификаты из действительного CA.
CSR и ключи генерируются с помощью специальной внутренней утилиты SSL, которая просто используя OpenSSL. Я пропустил сертификат и ключ с помощью некоторых инструментов проверки на sslshopper.com, и они подтвердили соответствие, и ключ можно было прочитать, поскольку он не был зашифрован.
Я создал файл PKCS # 12 (.pfx) с помощью OpenSSL с моим незашифрованным ключом и сертификатом, выданным моим центром сертификации. Я могу импортировать сгенерированный PFX в свое хранилище сертификатов на моем локальном компьютере, просмотреть его и экспортировать все без проблем. Однажды я заметил странную вещь: когда я экспортировал сертификат с ключом из моего личного хранилища сертификатов на моем компьютере и добавил его в CCS, ошибка заключалась в том, что файловая система не смогла найти указанный файл, даже если он отображает сертификат с ошибка, которая находится в общей папке.
Любая помощь будет принята с благодарностью.
Даже попробовав рекомендацию SmithPlatts, мне все равно не удалось заставить CCS распознать сертификат.
В итоге я сгенерировал запрос от IIS, выполнив запрос с предоставленным CA сертификатом, а затем экспорт этого сертификата с ключом из certmgr. Я взял этот PFX и CCS, вижу, что это не проблема.
Я не знаю точно, в чем проблема, я подозреваю, что это что-то вроде сообщения SmithPlatts, но не уверен. Я планирую сделать несколько сценариев PowerShell для управления этим процессом, не идеально, но работает.
Что касается проблемы, которую вы видите, где она отвечает , файловая система не смогла найти указанный файл , у нас была аналогичная проблема.
Наш диспетчер сертификатов всегда использует Linux / OpenSSL для создания файлов PFX, а в выходном файле отсутствует информация заголовка, на которую OpenSSL не обращает внимания. Для нас исправление заключалось в том, чтобы импортировать сертификат в CertMgr.msc в Windows, а затем повторно экспортировать его в новый PFX; после импортирования в CCS все работало, как должно.
У меня был точная ошибка сегодня на IIS Windows Server 2016. После некоторых поисков я нашел ответ. Кажется, есть проблемы с олицетворением при использовании графического интерфейса IIS Manager и централизованного хранилища сертификатов. Я вошел в систему со своей обычной учетной записью администратора домена, но настроил общий сетевой ресурс хранилища сертификатов для подключения в качестве другой учетной записи (у которой было достаточно прав). Я изменил все на Администратора, вошел как Администратор, и все заработало. Очевидно, это только проблема с графическим интерфейсом, но в данном случае это вводило в заблуждение. См. эту ветку для получения дополнительной информации: https://github.com/ridercz/AutoACME/issues/14