Я решил сгенерировать SSL для IIS. У меня есть собственный CSR и закрытый ключ. SSL, созданный CloudFlare, имеет формат pcks7. Я хотел бы объединить его в один формат pfx, чтобы импортировать его в iis.
Раньше я работал с сертификатом Start SSL - я всегда работал с 3-мя файлами - моим ssl crt, закрытым ключом и промежуточным crt.
С cloudflare промежуточное значение отсутствует. Я пытался пропустить его при генерации pfx с помощью OpenSSL, но когда я использую его с сервером IIS, я получаю предупреждение:
Один или несколько сертификатов в промежуточной цепочке отсутствуют ...
Не было такого сообщение с Start SSL pfx. Могу я игнорировать это? Какой промежуточный продукт я должен использовать? Или как убедиться, что соединение правильно зашифровано?
РЕДАКТИРОВАТЬ
Получены сведения о PCKS7
Издатель: Калифорния, Сан-Франциско, Центр сертификации SSL CloudFlare Origin, CloudFlare, Inc., США
Тема: CloudFlare Origin Сертификат, CloudFlare Origin CA, CloudFlare, Inc.
Статус сертификата: не удалось найти издателя этого сертификата.
Для решения проблемы мне потребовался импорт сертификата CloudFlare Origin SSL как доверенного в оснастке Ceritificates в MMC (консоли управления Microsoft).
Не знаю, почему встраивание его в файлы PFX не работает - возможно, из-за ненадежного сертификата CA.
Я использовал Cloudflare «Создать сертификат» в разделе «SSL / TLS» «Исходный сервер» «Сертификаты происхождения». Мне предоставили сертификат в формате PEM и закрытый ключ.
Я создал PFX-файл, объединив PEM-файл сертификата исходного сервера, предоставленный CloudFlare, предоставленный CloudFlare файл KEY с закрытым ключом, и предоставленный CloudFlare исходный корневой сертификат с помощью следующей команды:
«C: \ Program Files \ OpenVPN \ bin \ openSSL.exe "pkcs12 -export -out xyz.net.pfx -inkey xyz.net.key -in xyz.net.pem -certfile origin_ca_rsa_root.pem
Я импортировал файл .pfx в Internet Information Server ( IIS). Я получил сообщение «Отсутствует один или несколько сертификатов в промежуточной цепочке». Я проигнорировал сообщение. CloudFlare приступил к работе с моим веб-сайтом, используя опцию «ваш режим шифрования SSL / TLS полный (строгий)», то есть сквозное шифрование с использованием сертификата CA Cloudflare Origin на моем сервере.
Пока CloudFlare доверяет сертификату, это все, что имеет значение в данном случае.