我有一个来自 GoDaddy 的证书,我之前曾将其用于 IIS 托管网站。我现在已将该站点转换为 OWIN 自托管 WebAPI 项目,并希望在全新机器上为新站点使用相同的证书。
我是否需要安装 IIS 才能导入证书,或者有没有办法像使用自签名证书一样将其直接导入证书存储区?
或者这需要以某种方式直接在新的 OWIN 项目中处理?
【问题讨论】:
标签: ssl ssl-certificate owin self-hosting
您不需要 IIS 来导入证书,您使用 certmgr(证书管理器)。您应该能够直接使用 Windows 证书管理器导入证书,然后使用 netsh 使用其指纹为 OWIN 注册它。
SignalR with Self-Signed SSL and Self-Host
忽略它们导入根证书颁发机构的部分,GoDaddy 已经是受信任的 CA(尽管您也可以下载证书链/捆绑包并手动导入)。
您可以通过运行 MMC(开始->运行->MMC)创建证书管理器管理单元,然后添加-删除管理单元,选择证书。保存到桌面。
【讨论】:
解决了我的问题(不过,我不知道如果遇到这个问题是否会帮助其他人)。原来 GoDaddy 的“下载证书”页面只下载没有私钥的证书。我必须导出以前由 IIS 导入的证书,然后将其导入我的个人存储。我认为有一种方法可以在不导入 IIS 的情况下获取私钥,但我个人不知道它是什么(也许这次我只是在某个地方错过了一步)。
【讨论】:
是的,必须使用私钥安装证书才能与 OWIN 一起使用。我不得不经历与大多数(全部?)CA 颁发没有私钥的证书一样的痛苦。但是,您必须事先收到私钥。您必须拥有 .crt 格式的证书。这不包括其中的私钥。所以你需要创建一个.pfx格式的证书,里面有私钥。
如果您的私钥是纯文本形式,则创建 .key 文件,其中包含纯文本作为其内容。请注意,您的 .key 文件应该具有标准的第一行和最后一行私钥,否则它会抱怨密钥无效.
-----BEGIN PRIVATE KEY-----
<key-content>
-----END PRIVATE KEY-----
现在使用OpenSSL 工具创建一个 .pfx 证书。
openssl pkcs12 -export -out servername.pfx -inkey servername.key -in servername.crt
要导入此证书,只需双击 .pfx 文件。在导入向导中,选择“本地计算机 - 个人”作为证书存储。成功导入后,您还会注意到已安装的证书图标顶部出现一个小(锁定)钥匙图标。
假设您已使用 netsh http add sslcert 将服务器端口与您的 OWIN 应用程序绑定,它应该可以开始工作了!
【讨论】: