it-swarm.com.de

Das alte SSL-Zertifikat wird nach der Installation des neuen noch im Browser angezeigt

Wir haben einen IIS ARR-Server, der die Last auf zwei verschiedene einzelne IIS Server) verteilt.

Die fraglichen Server sind unsere internen Staging-Server. Vor drei Monaten habe ich ein kostenloses Let's Encrypt SSL-Zertifikat erstellt, das auf diesen Servern verwendet werden kann. Wie bei Let's Encrypt ist es nach 3 Monaten abgelaufen. Also habe ich heute ein neues Zertifikat erstellt und die alten Zertifikate auf dem ARR-Server und beiden Servern mit Lastenausgleich ersetzt.

Nachdem Sie dies getan haben und dann in einem beliebigen Browser (einschließlich Inkognito-Modus) zur Site zurückgekehrt sind, wird immer noch das alte ungültige Zertifikat angezeigt. Ich bin sogar mit Laptops auf die Site gegangen, die noch nie zuvor auf dieser Site waren, um zu sehen, ob das alte Zertifikat in meinem Browser zwischengespeichert wurde. Sogar diese Laptops haben die Site mit der Warnung "Nicht sicher" geladen.

Dies sind die Schritte, die ich unternommen habe:

Auf dem ARR-Server:

  • Öffnen Sie in IIS auf dem Server "Serverzertifikate".
  • Entfernen Sie das alte Zertifikat
  • Importieren Sie das neue Zertifikat
  • Stellen Sie sicher, dass das neue Ablaufdatum jetzt 3 Monate abgelaufen ist
  • IISReset

(enter image description here

Auf den beiden Servern mit Lastenausgleich:

  • Öffnen Sie in IIS auf dem Server "Serverzertifikate".
  • Entfernen Sie das alte Zertifikat
  • Importieren Sie das neue Zertifikat
  • Stellen Sie sicher, dass das neue Ablaufdatum jetzt 3 Monate abgelaufen ist
  • Gehen Sie auf der Website in Bindungen
  • Führen Sie einen Drilldown in SSL durch und stellen Sie sicher, dass das SSL-Zertifikat das neue ist
  • IISReset

(enter image description here

Obwohl alle Spuren des alten Zertifikats entfernt wurden, einschließlich des Löschens der eigentlichen Datei, wird es in jedem Browser (dh Chrome, ff) auf jedem Computer geladen, auf dem das alte Zertifikat noch angezeigt wird.

Ich weiß nicht, was ich sonst tun soll.

Wenn dies hilft:

(enter image description here

(Ich sollte hinzufügen ... es gibt eine Menge genau dieser Frage in vielen verschiedenen Foren. Ich habe Dutzende davon gelesen. Keiner von ihnen muss mich zu einer Lösung führen.)

5
Casey Crookston

Wie bei vielen anderen Posts, in denen Leute das gleiche Problem hatten, war die Lösung hier (etwas) unabhängig von der Installation des neuen SSL-Zertifikats.

Kurze Antwort: Ein Neustart aller drei Server (Load Balancer und tatsächliche Inhaltsserver) war erforderlich. Das schien den Cache des Servers endgültig vom alten Zertifikat zu befreien.

Lange Antwort: Einer der IIS-Inhaltsserver (nicht der ARR-Lastausgleichsserver) schien eine schlechte IP-Adresse zu haben. Das heißt, die statische IP-Adresse, die wir ihm gegeben hatten, wurde anscheinend an anderer Stelle verwendet Dies führte dazu, dass der ARR-Server nur den anderen Inhaltsserver verwendete. All dies verursachte seltsame Probleme bei der Bereitstellung der Site im Allgemeinen (gelegentliche 502-Fehler), die ich dem neuen SSL-Zertifikat zuschrieb, und machte es auch schwierig um die gesamte Site nach einem Neustart wieder online zu schalten.

Fazit: Die Installation des neuen SSL-Zertifikats war nicht das eigentliche Problem. Nachdem wir das eigentliche Problem gelöst und alle Server neu gestartet hatten, wurde das Problem behoben.

1
Casey Crookston

Wenn Ihr Load Balancer das SSL-Offload übernimmt, ist es das Gerät, das die SSL-Verbindung beendet und den Handshake ausführt. Sie müssen sicherstellen, dass der Load Balancer über das richtige Zertifikat verfügt.

3
apocalysque