我有一个IIS 8.5实例托pipe的几个网站。 我用letsencrypt-win-simple生成证书。 该工具还将证书安装到IIS中。 我曾经报道过一些浏览器,主要是Android手机,由于SSL错误,无法使用网站。
这是openssl输出示例:
$ openssl s_client -showcerts -connect ad.adtube.ir:443 -servername ad.adtube.ir CONNECTED(00000003) depth=0 CN = ad.adtube.ir verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 CN = ad.adtube.ir verify error:num=21:unable to verify the first certificate verify return:1
我以前有过这个错误,但是我在Apache中解决了它。 这是一个错误的configuration。 我找不到任何与IIS相关的东西。 这是我第一次操作一个IIS实例,pitty 🙂
无论如何,我能做些什么? 例如,我也检查了SSL实验室,问题的症状与此处相同。 每个人都提到Apache,就好像它不应该发生在IIS中一样。
原来问题是旧的X1证书徘徊在附近。 这里发布的解决scheme为我工作。
这里是说明:
为了得到它,你需要从SysInternals212下载PsTools并运行psexec -i -s mmc.exe,进入文件 – >添加删除pipe理单元,select证书和我的用户帐户。 现在进入中级证书颁发机构,你会发现隐藏在那里的难以捉摸的X1证书。
这可能足以去除X1,然后重新启动IIS,但是我最终在这里添加了X3证书(右键单击证书列表 – 单击所有任务 – >导入并selectX3文件)。
在此之后,您需要“触摸”IIS中的绑定(例如,更改证书,然后再返回或删除/添加绑定),然后在IIS重新启动后,它将最终开始提供正确的链。