SSL憑證更新/更換

    狀況說明

    1. Server 憑證(IIS)更新
      如果憑證是從 Windows CA 發行,Server 憑證的期限只有一年,一旦到期,在 IIS 系統上就需要對 Server 憑證作更新。更新憑證時,只要簽發憑證的 CARoot 與舊憑證的相同,而且這個 CARoot 尚未到期,用戶端就不需要作更新
    2. CARoot 與 Server 憑證更新
      如果 CARoot 憑證是從 Windows CA 建立的,憑證的期限預設是五年,一旦到期,CARoot 與 Server 兩個憑證都需要一起作更新

    若需要加長 CA 與 Server 憑證的到期日,可以改用 Linux 來做

    CA Root 憑證更新

    憑證授權單位 >選擇 <osslab>, 按右鍵"內容" > 所有工作 > 更新 CA 憑證

    Note:

    新的憑證序號會依照舊號+1,例如 憑證#2。

    Server 憑證(IIS)更新

    註:如果 CA 憑證同時也過期,必須先更新 CA 後,才能做 Server 憑證更新。

    1. 建立新的憑證簽署檔
      IIS 管理員 > 網站 > 預設的網站 > 內容 > 目錄安全設定 > 伺服器憑證 > 下一步 > 更新目前的憑證 > 下一步 > 輸入簽署檔的存檔路徑,並命名為 c:\certreq2013.txt
    2. 簽署及發行憑證檔
      憑證授權單位 > 選擇 <osslab>, 按右鍵"內容" > 所有工作 > 提交新要求 > 選擇簽署檔路徑
      憑證授權單位 > osslab > 擱置要求 > 選擇該項,按右鍵"內容" > 所有工作 > 發行
      憑證授權單位 > osslab > 已發出的憑證 > 選擇該項,按右鍵"內容" > 開啟 > 詳細資料 > 複製到檔案 > 下一步 > DER編碼二位元X.509 > 輸入檔名 myapp.xxx.xxx.xxx_Server_2013 > 下一步 > 完成
    3. 更新 IIS 的憑證
      IIS 管理員 > 網站 > 預設的網站 > 內容 > 目錄安全設定 > 伺服器憑證 > 下一步 > 處理擱置要求及安裝憑證 > 選擇 myapp.xxx.xxx.xxx_Server_2013 > 下一步 > SSL 連接埠: 444 > 下一步 > 完成
    4. 重設 Secure Gateway
      Citrix > Administration Tools > Secure Gateway Configuration Wizard
      • Configuration Type: Standard
      • Select a server certificate: 檢視每一個項目,選擇剛剛新增的憑證
      • TCP port: 443
      • Outbound Connections: No outbound traffic restrictions
      • Access options: Indirect, TCP port: 80
      • select a logging level: warning,....
      • restart secure gateway

         
    標籤 (Edit tags)
    • No tags
    您必須 登入 才能發佈評論。
    Powered by MindTouch Core