web-dev-qa-db-fra.com

L'ancien certificat SSL s'affiche toujours dans le navigateur après l'installation d'une nouvelle

Nous avons un serveur IIS ARR qui équilibre la charge sur deux serveurs individuels IIS.

Les serveurs en question sont nos serveurs internes de transfert. Il y a trois mois, j'ai créé un certificat SSL Let's Encrypt gratuit à utiliser sur ces serveurs. Comme c'est le cas avec Let's Encrypt, il a expiré après 3 mois. Aujourd'hui, je me suis mis à créer un nouveau certificat et j'ai remplacé les anciens certificats sur le serveur ARR et les deux serveurs à charge équilibrée.

Après cela, puis en revenant sur le site dans n'importe quel navigateur (y compris en mode navigation privée), il affiche toujours l'ancien certificat invalide. Je suis même allé sur le site sur des ordinateurs portables qui n'étaient jamais allés sur ce site auparavant juste pour voir si l'ancien certificat était mis en cache dans mon navigateur. Même ces ordinateurs portables ont chargé le site avec l'avertissement Not Secure.

Ce sont les étapes que j'ai prises:

Sur le serveur ARR:

  • Dans IIS, sur le serveur, ouvrez "Certificats de serveur"
  • Supprimer l'ancien cert
  • Importer le nouveau cert
  • Vérifiez que la nouvelle date d'expiration est maintenant de 3 mois
  • IISReset

enter image description here

Sur les deux serveurs à charge équilibrée:

  • Dans IIS, sur le serveur, ouvrez "Certificats de serveur"
  • Supprimer l'ancien cert
  • Importer le nouveau cert
  • Vérifiez que la nouvelle date d'expiration est maintenant de 3 mois
  • Sur le site, allez dans Bindings
  • Explorez SSL et vérifiez que le certificat SSL est le nouveau
  • IISReset

enter image description here

Pourtant, malgré toutes les traces de l'ancien certificat supprimé, y compris la suppression du fichier réel, peu importe ce que je fais, il se charge dans chaque navigateur (c'est-à-dire, chrome, ff) sur chaque ordinateur affichant toujours l'ancien certificat.

Je ne sais pas quoi faire d'autre.

Si cela aide:

enter image description here

(Je devrais ajouter ... il y a BEAUCOUP de cette même question sur de nombreux forums différents. J'en ai lu des dizaines. Aucun d'eux ne doit me conduire à une solution.)

5
Casey Crookston

Comme beaucoup d'autres articles que j'ai lus, où les gens avaient le même problème, la solution ici a fini par être (quelque peu) sans rapport avec l'installation du nouveau certificat SSL.

Réponse courte: un redémarrage des trois serveurs (équilibreur de charge et serveurs de contenu réels) était requis. Cela semblait enfin vider le cache du serveur de l'ancien certificat.

Réponse longue: l'un des serveurs de contenu IIS (pas le serveur d'équilibrage de charge ARR) semblait avoir une mauvaise adresse IP. Cela signifie que l'adresse IP statique que nous lui avions donnée était apparemment utilisée ailleurs sur le réseau. Cela faisait que le serveur ARR n'utilisait que l'autre serveur de contenu. Tout cela a causé des problèmes étranges au service du site en général (erreurs 502 occasionnelles), que j'attribuais au nouveau certificat SSL, et cela a également rendu la tâche difficile pour remettre l'ensemble du site en ligne après un redémarrage.

Bottom line .... l'installation du nouveau certificat SSL n'était pas le vrai problème. Une fois que nous avons résolu le vrai problème, et après un redémarrage de tous les serveurs, le problème a été résolu.

1
Casey Crookston

Si votre équilibreur de charge prend le déchargement SSL, ce sera le périphérique qui mettra fin à la connexion SSL et effectuera la négociation. Vous devrez vous assurer que l'équilibreur de charge possède le certificat correct.

3
apocalysque