Как добавить сертификат TLS на веб-сервер IIS?

Question

[Вячеслав Гранченко]

Столкнулся с такой проблемой на ровном месте: никак не получается скормить сертификат серверу IIS. Полученные от сертификационного центра файлы .cert и .key конвертирую в понятный IIS .pfx формат через командную строку в Линкусе:

openssl pkcs12 -export -in certyfikat.cert -inkey privateky.key -out output.pfx

Устанавливаю легчайший пароль типа 1234567, чтобы не было проблем при вводе в IIS. Копирую файл output.pfx на сервер Windows. Открываю консоль IIS -> Сертификаты -> Импорт -> выбираю созданный перед этим файл .pfx. Запрашивает пароль. Когда ввожу 1234567 выводит ошибку, что пароль неверный. Пробовал переконвертировать сертификат и публичный ключ в pfx три или четыре раза с разными паролями и все время тот же результат.

Если в консоли IIS просто добавить сертификат .cert, то он пропадает как только обновишь окно или перейдешь в другую закладку. Причем через консоль mmc он виден, система Windows его добавила и видит. Какого хрена это не работает так же просто как в Линкус: скопировал файлики на машинку, прописал путь к ним, перезапустил apache и все работает?

Comments

[Drno]

пароль попробуй больше 8 символов

[Вячеслав Гранченко]

Drno, пробовал уже: qwerty123 (> 8 символов)

[CityCat4]

сертификат должен быть формата DER, не PEM (то есть бинарного формата, винда понимает PEM, но не везде и не всегда)

Answer 1

[Роман Безруков]

1. скопируйте оба файла (серт и ключ) на сервер с IIS и переименуйте (ServerCertificate.cer, ServerCertificate.key);
2. выполните в CMD от админа

certutil -mergePFX ServerCertificate.cer ServerCertificate.pfx

3. добавляете PFX в IIS

Comments

[Вячеслав Гранченко]

все гениальное просто! надо только знать. спасибо, помогло. странно, что Windows принимает файлы pfx только от своего конвертера. ни линуксовый, ни sslshopper не принял

Answer 2

[Alexey Dmitriev]

IIS использует сертификаты, находящиеся в хранилище сертификатов Windows. Если вы добавили сертификат в соответствующую папку в хранилище, он будет доступен в выпадающем меню настроек Bindings дла сайта или сервера.

Comments

[Вячеслав Гранченко]

в том то и дело, что не появляется добавленный сертификат в списке доступных

[Alexey Dmitriev]

Вячеслав Гранченко, а в хранилище сертификатов он появляется? вы его в правильную папку там импортировали?
Тип сертификата верный?

[Вячеслав Гранченко]

Alexey Dmitriev, да, да, да. Оказалось, что сертификат с ключом надо было переконвертировать в pfx с помощью утилиты Windows.