Certyfikatu SSL nie można przedłużyć, niezbędne jest odinstalowanie aktualnego i zainstalowanie nowego certyfikatu. Na serwerze IIS jest to o tyle trudniejsze, że oprogramowanie serwerowe łączy plik klucza prywatnego z plikiem certyfikatu tworząc plik o rozszerzeniu .pfx. Chcąc zainstalować na serwerze nowy certyfikat trzeba najpierw wyeksportować plik klucza prywatnego, a następnie połączyć go z plikiem nowego certyfikatu SSL.

Eksport klucza prywatnego z pliku .pfx umożliwia np. OpenSSL. Dostępny jest on na stronie Win32 OpenSSL Installation Project Przykładowy opis eksportu klucza znajduje się na stronie Exporting certificate to a PVK, SPC pair.

Pierwszym krokiem jest eksport pliku .pfx z serwera. W tym celu należy skorzystać z konsoli MMC, dodać w niej przystawkę Certyfikaty, wykonując następujące kroki:

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.
2. Wpisz polecenie "MMC" i kliknij przycisk OK.
3. W nowoutworzonej konsoli MMC kliknij menu Konsola, a następnie kliknij polecenie Dodaj/Usuń przystawkę.

Konfiguracja SSL w IIS

4. W wyświetlonym nowym oknie kliknij przycisk Dodaj.
5. Wyróżnij pozycję Certyfikaty, a następnie kliknij przycisk Dodaj.

Konfiguracja SSL w IIS

6. Wybierz opcję Konto komputera i kliknij przycisk Dalej.
7. Na następnym ekranie zaznacz opcję Komputer lokalny, a następnie kliknij przycisk OK.
8. Kliknij przycisk Zamknij, a następnie kliknij przycisk OK.

Konfiguracja SSL w IIS

Po dodaniu przystawki Certyfikaty, można wyeksportować parę kluczy używaną przez serwer sieci Web (certyfikat i klucz publiczny). Aby to zrobić, należy wykonać następujące kroki:
1. Otwórz dodaną w poprzedniej części przystawkę Certyfikaty (Komputer lokalny), przejdź do pozycji Osobisty, a następnie do pozycji Certyfikaty.
2. Na liście zostanie wyświetlony certyfikat serwera sieci Web oznaczony w polu Temat certyfikatu nazwą pospolitą (Common Name, CN)
3. Kliknij prawym przyciskiem certyfikat serwera, zaznacz polecenie Wszystkie zadania, a następnie kliknij polecenie Eksportuj.

Konfiguracja SSL w IIS

4. Po uruchomieniu Kreatora, kliknij przycisk Dalej. Wybierz eksportowanie klucza prywatnego, a następnie kliknij przycisk Dalej. UWAGA: Podczas eksportowania certyfikatu, w celu użycia go na serwerze sieci Web usług IIS, nie zaznaczaj opcji Wymagaj mocnego szyfrowania. Użycie tej opcji spowoduje wyświetlanie monitu o podanie hasła przy każdej próbie dostępu do klucza prywatnego i spowoduje awarię usług IIS. Eksportując plik .pfx należy zaznaczyć również eksport klucz prywatnego

Konfiguracja SSL w IIS

5. Zostanie utworzony plik PFX zawierający certyfikat serwera i odpowiadający mu klucz prywatny.

Aby wyciągnąć klucz prywatny z pliku pfx wykonaj komendę:
openssl.exe pkcs12 -in certyfikat.pfx -nocerts -nodes -out klucz.pem

Mając plik klucza prywatnego oraz plik nowego certyfikatu, połączenie ich w plik .pfx uzyskuje się wykonując następującą komendę:
openssl pkcs12 -export -in nowyCertyfikat.cer -inkey klucz.pem -out nowyCert.pfx

Gdy już mamy plik .pfx należy go zainstalować w magazynie certyfikatów osobistych, a potem skorzystać z opcji "Przypisz istniejący certyfikat".

1.W Menedżer usług IIS rozwiń węzeł komputera lokalnego, a następnie rozwiń folder Witryny sieci Web.
2.Kliknij prawym przyciskiem myszy żądaną witrynę sieci Web lub plik, a następnie kliknij polecenie Właściwości.

Konfiguracja SSL w IIS

3. Na karcie Zabezpieczenia katalogów w obszarze Bezpieczna komunikacja kliknij przycisk Certyfikat serwera.

Konfiguracja SSL w IIS

4. W Kreatorze certyfikatów serwera sieci Web kliknij przycisk Usuń istniejący certyfikat.

Konfiguracja SSL w IIS

Na powyższym ekranie widać, że również tutaj można wyeksportować plik .pfx zawierający aktualnie zainstalowany na serwerze certyfikat SSL.

Następnie ponownie kliknij Certyfikat serwera i w Kreatorze certyfikatów serwera sieci Web kliknij Importuj certyfikat z pliku .pfx, gdzie podajemy ścieżkę do nowo utworzonego pliku .pfx.

Konfiguracja SSL w IIS

Postępuj zgodnie z instrukcjami Kreatora certyfikatów serwera sieci Web, aby przejść przez proces instalowania certyfikatu serwera.

Dodatkowe informacje

Klucz prywatny Jest to ciąg znaków rozpoczynający się -----BEGIN RSA PRIVATE KEY----- oraz kończący następującymi znakami -----END RSA PRIVATE KEY-----.

Przykładowy klucz prywatny wygląda następująco:
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

Plik certyfikatu. Wystawca certyfikatu przesyła mailem ciąg znaków rozpoczynający się od -----BEGIN CERTIFICATE----- oraz kończący -----END CERTIFICATE-----, który należy zapisać do pliku. Najczęściej jest to plik o rozszerzeniu .cer.

Przykładowy certyfikat SSL wygląda następująco:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----