IIS 8.5 中的憑證系結
使用 IIS 8.5 中的新憑證重新系結憑證,以自動重新系結更新的憑證。
相容性
版本 | 備註 |
---|---|
IIS 8.5 和更新版本 | 憑證重新系結是在 IIS 8.5 中引進。 |
IIS 8.0 和更早版本 | IIS 8.5 之前不支援憑證重新系結。 |
問題
當用於 IIS 網站的憑證過期並更新時,網站必須重新系結至新的憑證。 即使您的憑證會自動更新,也需要發生這種情況。 手動重新系結可能會讓憑證管理更具挑戰性,特別是如果您有大量的網站和憑證時。 如果憑證過期且網站未重新系結至新的憑證,連線至網站的用戶端會收到憑證到期的警告,而且這可能會阻止他們使用網站,直到問題解決為止。
解決方法
IIS 8.5 和更新版本有一項新功能,可將更新憑證的重新系結自動化。 此功能稱為 Certificate Rebind,可確保憑證在憑證更新之後自動重新系結至網站。 您可以在 IIS 管理員的 [伺服器憑證] 對話方塊中,為伺服器上的所有 HTTPS 網站啟用此功能。
憑證重新系結會利用 Windows 8 和 Windows Server 2012 協助程式機制中的通知功能,稱為憑證服務生命週期通知。 每當憑證相關動作發生時,這個機制就會建立系統事件,例如安裝新的憑證時、現有的憑證到期或即將到期,或憑證更新。 如需通知機制的詳細資訊,請參閱 憑證服務生命週期通知。
當您啟用 Certificate Rebind 時,IIS 會在系統的工作排程器中註冊工作,而且工作會以金鑰在憑證更新事件時觸發, (事件識別碼 1001) 。 當您手動更新憑證,或透過自動註冊) 更新時,排程的工作會執行 IIS 命令列工具appcmd.exe時 (。 它會為 appcmd 提供過期憑證的指紋,以及新憑證的指紋。 使用這兩個參數時,appcmd 會找出舊憑證所系結的網站、解除系結該憑證,然後將新的憑證系結至它們。 如果您將憑證設定為透過自動註冊自動更新,並啟用憑證重新系結,則整個程式都會自動化。
您可以在 Windows 8 或 Windows Server 2012 的工作排程器中檢視憑證重新系結工作。 執行 taskschd.msc 或透過搜尋來開啟工作排程器。 在左窗格中的 [工作排程器程式庫] 底下,開啟 [Microsoft]、[Windows] 和 [CertificateServicesClient]。 建議您不要變更此工作。 此外,如果您在 IIS 管理員中停用 Certificate Rebind,則會刪除工作排程器中的 CertificateServicesClient 工作。
除了在 IIS 中設定憑證重新系結之外,您還可以在工作排程器中設定自訂觸發程式,使用憑證服務生命週期通知事件來管理憑證。
逐步指示
啟用更新憑證的自動重新系結
- 在工作列上,依序按一下 [伺服器管理員]、[工具],然後按一下 [Internet Information Services (IIS) Manager]。
- 在 [ 連線] 窗格中,選取伺服器。 憑證重新系結會在伺服器層級啟用。
- 在 [首頁] 窗格的 [IIS ] 區段中,按兩下 [伺服器憑證]。
- 在 [ 動作 ] 窗格中,按一下 [啟用更新憑證的自動重新系結]。
總結
IIS 8.5 和更新版本的憑證重新系結功能可讓您在憑證更新之後自動將憑證重新系結至網站。 憑證重新系結會利用憑證服務生命週期通知事件。 Certificate Rebind 工作 CertificateServicesClient 已在 Windows 工作排程器中註冊。