狀況說明
- Server 憑證(IIS)更新
如果憑證是從 Windows CA 發行,Server 憑證的期限只有一年,一旦到期,在 IIS 系統上就需要對 Server 憑證作更新。更新憑證時,只要簽發憑證的 CARoot 與舊憑證的相同,而且這個 CARoot 尚未到期,用戶端就不需要作更新 - CARoot 與 Server 憑證更新
如果 CARoot 憑證是從 Windows CA 建立的,憑證的期限預設是五年,一旦到期,CARoot 與 Server 兩個憑證都需要一起作更新
若需要加長 CA 與 Server 憑證的到期日,可以改用 Linux 來做
CA Root 憑證更新
憑證授權單位 >選擇 <osslab>, 按右鍵"內容" > 所有工作 > 更新 CA 憑證
Note:
新的憑證序號會依照舊號+1,例如 憑證#2。
Server 憑證(IIS)更新
註:如果 CA 憑證同時也過期,必須先更新 CA 後,才能做 Server 憑證更新。
- 建立新的憑證簽署檔
IIS 管理員 > 網站 > 預設的網站 > 內容 > 目錄安全設定 > 伺服器憑證 > 下一步 > 更新目前的憑證 > 下一步 > 輸入簽署檔的存檔路徑,並命名為 c:\certreq2013.txt - 簽署及發行憑證檔
憑證授權單位 > 選擇 <osslab>, 按右鍵"內容" > 所有工作 > 提交新要求 > 選擇簽署檔路徑
憑證授權單位 > osslab > 擱置要求 > 選擇該項,按右鍵"內容" > 所有工作 > 發行
憑證授權單位 > osslab > 已發出的憑證 > 選擇該項,按右鍵"內容" > 開啟 > 詳細資料 > 複製到檔案 > 下一步 > DER編碼二位元X.509 > 輸入檔名 myapp.xxx.xxx.xxx_Server_2013 > 下一步 > 完成 - 更新 IIS 的憑證
IIS 管理員 > 網站 > 預設的網站 > 內容 > 目錄安全設定 > 伺服器憑證 > 下一步 > 處理擱置要求及安裝憑證 > 選擇 myapp.xxx.xxx.xxx_Server_2013 > 下一步 > SSL 連接埠: 444 > 下一步 > 完成 - 重設 Secure Gateway
Citrix > Administration Tools > Secure Gateway Configuration Wizard - Configuration Type: Standard
- Select a server certificate: 檢視每一個項目,選擇剛剛新增的憑證
- TCP port: 443
- Outbound Connections: No outbound traffic restrictions
- Access options: Indirect, TCP port: 80
- select a logging level: warning,....
- restart secure gateway