IIS7.0- SSL证书-更新还是新的？

Question

我的SSL证书之一(仅限于域验证)将在windows 2003 IIS 7.0服务器上过期。

我从另一个供应商那里得到了更好的报价，而那些最初签发我证书的人不想谈判更低的价格。

无论如何-在IIS中浏览证书向导，我可以选择“更新”或“卸载”，然后安装一个新的证书。

所以-我是否可以使用“更新”选项来创建证书请求并将其传递给新供应商，或者我需要从“新”请求开始？对于新的供应商来说，以前的证书是由另一个签名者签发的，这会有什么关系吗？

问题是，我不想因为删除旧证书和创建新的CSR而停止服务器(至少是受保护的部分)，并等待新证书的安装。

或者，是否可以选择在不删除旧证书的情况下准备新的CSR？

Answer 1

您只需要使用IIS 6.0创建一个临时网站。IIS 7.0允许您一次创建多个挂起的请求。

IIS7.0实际上有一个错误，它导致更新函数用一个非常大的键(比您想要的要大得多)生成一个CSR。因此，建议您创建一个新的挂起请求，而不是选择更新选项。安装完毕后，您只需在网站上切换SSL绑定，就不会有任何停机时间。这也允许您在每次更新时生成一个新密钥，从而提高安全性。

证书提供程序( CA )不关心您是使用新选项还是更新选项，您可以使用这两个选项，无论您是使用相同的CA，还是从新的CA中订购。

Answer 2

好，为了部分回答我自己的问题--在不删除现有证书的情况下创建/使用新证书的部分(即不停止服务器)，我找到了一个很好的描述科莫多网站 --基本上我需要在服务器上创建一个“临时”网站，并使用它创建一个新的CSR，发送它进行签名，并接收和导入证书。

然后，在我的主(真实)站点上，我需要替换当前的证书，然后删除临时证书。