我正在尝试为我的 asp.net 网站创建客户端证书身份验证。
为了创建客户端证书,我需要先创建一个证书颁发机构:
makecert.exe -r -n “CN=我的个人 CA” -pe -sv MyPersonalCA.pvk -a sha1 -len 2048 -b 01/01/2013 -e 01/01/2023 -cy authority MyPersonalCA.cer
然后,我必须将它导入 IIS 7,但由于它接受 .pfx 格式,我先转换它
pvk2pfx.exe -pvk MyPersonalCA.pvk -spc MyPersonalCA.cer -pfx MyPersonalCA.pfx
导入 MyPersonalCA.pfx 后,我尝试将 https 站点绑定添加到我的网站并选择上述作为 SSL 证书,但我收到以下错误:
有什么建议么?
我遇到了同样的问题,但以不同的方式修复了它。我相信我使用的帐户从我最初尝试设置证书到我返回完成工作的时间发生了变化,从而产生了问题。问题是什么,我不知道,但我怀疑它与当前用户的某种哈希有关,并且在某些情况下不一致,因为用户被修改或重新创建等。
为了解决这个问题,我从 IIS 和证书管理单元(针对当前用户和本地计算机)中删除了相关证书的所有引用:
接下来,我将 *.pfx 文件导入到 MMC 中的 certs 管理单元中,并将其放置在 Local Computer\Personal 节点中:
从那时起,我能够返回 IIS 并在服务器证书中找到它。最后,我访问了我的站点,编辑了绑定并选择了正确的证书。它之所以有效,是因为用户在整个过程中都是一致的。
对于另一个答案中提到的这一点,您不必将其标记为可导出,因为这是一个主要的安全问题。您实际上允许任何可以使用类似权限进入该框的人随身携带您的证书并将其导入其他任何地方。显然这不是最优的。
这一定是某种 IIS 错误,但我找到了解决方案。
1-从 IIS导出MyPersonalCA.pfx 。
2-将其转换为.pem:
openssl pkcs12 -in MyPersonalCA.pfx -out MyPersonalCA.pem -nodes
3-将其转换回.pfx:
openssl pkcs12 -export -in MyPersonalCA.pem -inkey MyPersonalCA.pem -out MyPersonalCA.pfx
4-将其导入IIS。
由于错误地将证书导入当前用户个人证书存储,我们遇到了同样的问题。将其从当前用户个人存储中删除并将其导入本地计算机个人证书存储解决了该问题。
可能没有人再关心这个了,但我只是在我的 IIS 7 网站绑定中遇到了这个问题。我修复它的方法是去证书颁发机构并找到颁发给有问题的服务器的证书。我验证了请求证书的用户帐户。然后,我使用该帐户使用 RDP 登录 IIS 服务器。我只能使用该帐户重新绑定 https 协议。不需要导出、重新发布或扩展更改黑客。
在我们的案例中,出现此问题是因为我们已在虚拟机中安装了证书并制作了它的映像以供进一步使用。
从之前创建的映像创建另一个 VM 时,证书会发送消息。
为避免这种情况,请务必在安装的每个新 VM 上安装证书。
与其从 IIS 导入证书,不如从 MMC 导入证书。然后转到 IIS 进行绑定。
根据MSDN 博客文章,当当前用户帐户无权访问文件夹“ C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys”下的私钥文件时,可能会发生这种情况。显然,这可以通过授予用户帐户/用户组对上述文件夹的完全访问权限来解决。
我遇到了同样的问题,并且能够通过简单地重新导入 .pfx 文件并选中允许导出此证书复选框来解决它。
但是,此方法会带来安全风险 - 因为任何有权访问您的 IIS 服务器的用户都可以使用私钥导出您的证书。
就我而言,只有我可以访问我的 IIS 服务器 - 因此这不是一个巨大的风险。
由于在导出 PKCS #12 证书期间错误的 openssl 命令行,我收到此错误。-certfile 密钥错误。我再次导出证书并成功导入。
伙计们,在尝试了几乎所有单一的解决方案都无济于事后,我最终找到了“指定登录会话不存在”的解决方案。它可能已经被终止了。” 使用 https 时
使用正确的私钥验证您的 pfx 证书是否健康
运行 certutil 并找到 certs 'unique Container name' - 我使用了 certutil -v -store my
3.导航到 C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys 并找到与上面找到的容器名称对应的系统文件
应用后,我检查了 IIS,并且能够正确地应用到 https
我遇到过同样的问题。通过从个人商店(有人放入其中)和虚拟主机中删除证书来解决。全部通过 IIS 管理器完成。然后我再次添加到虚拟主机商店(检查了所有内容),我可以再次使用 HTTPS...
就我而言,这是因为 World Wide Publishing Service 用户没有证书的权限。安装证书后,访问 MMC 中的证书模块并右键单击有问题的证书。从“所有任务”菜单中选择“管理私钥...”并添加上述用户。就我而言,这是 SYSTEM 用户。
尝试为我的开发机器绑定 localhost pfx 证书时出现此错误。在我尝试上述任何方法之前,先尝试一些更简单的方法。
之后一切似乎都正常了。
我在绑定证书时遇到了同样的错误,但在删除证书并通过 mmc 控制台再次导入后修复。
我设法通过使用 Windows 证书管理器导入 SSL 证书 PFX 文件来解决此问题。
http://windows.microsoft.com/en-us/windows-vista/view-or-manage-your-certificates
我今天刚遇到这个问题,不得不发布我的解决方案,希望你会比我刚刚做的少掉头发。
在尝试了上述解决方案后,我们不得不从 SSL 提供商重新签发 SSL 证书(RapidSSL 作为 GeoTrust 的经销商签发)。
这个过程没有任何成本,只需等待确认电子邮件 (admin@) 到达时的五分钟,我们就再次获得了访问权限。
得到响应后,我们使用 IIS > 服务器证书来安装它。我们不需要 MMC 管理单元。
https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=SO5757
我们始终保持打开服务器的远程桌面窗口,以避免不同登录帐户/会话等的任何问题。我确实相信这是一个 IIS 错误,正如另一位专家所认为的那样,因为我们只有一个 RDC 帐户。最令人气愤的是,同一个证书已经完美运行了两个月,才突然“坏掉”。
就我而言,我最近从 StartSSL 导入了一个较新版本的证书(用于 IIS 的 PFX)并忘记删除旧版本,这以某种方式导致了这个错误(现在两个证书有点相同)。我删除了它们,导入了正确的,现在它可以工作了。
我们找到了另一个原因。如果您正在使用 PowerShell 编写证书安装脚本并使用该Import-PfxCertificate命令。这将导入证书。但是,导入的证书无法绑定到 IIS 中的网站,出现与此问题提到的相同错误。您可以使用此命令列出证书并查看原因:
certutil -store My
这列出了您的个人存储中的证书,您将看到以下属性:
Provider = Microsoft Software Key Storage Provider
此存储提供程序是较新的 CNG 提供程序,不受 IIS 或 .NET 支持。您无法访问密钥。因此,您应该使用 certutil.exe 在脚本中安装证书。使用证书管理器 MMC 管理单元或 IIS 导入也可以,但对于脚本,请使用 certutil,如下所示:
certutil -f -p password -importpfx My .\cert.pfx NoExport
我能够通过双击证书删除然后导入它来解决这个问题。
对我来说,解决方法是从 IIS 中删除证书并重新导入,但导入“个人”证书存储而不是“网络托管”
根据以下内容,这很好,至少在我自己的情况下。
另外,如果有什么不同,我在本地机器上双击它后通过向导导入了证书,而不是通过 IIS 导入方法。在此之后,证书自动在 IIS 中可用。
就我而言,它已通过使用 certutil -repairstore 命令修复。尝试使用 powershell 将证书添加到 IIS 上的 Web 绑定时出现以下错误:
指定的登录会话不存在。它可能已经被终止。
我通过运行修复它:
certutil.exe -repairstore $CertificateStoreName $CertThumbPrint
其中CertificateStoreName是商店名称,CertThumbPrint是导入证书的指纹。
尝试 :