W tym artykule opisano, jak poprawić komunikat o błędzie „Brak klucza prywatnego” w programie Windows Internet Information Server (IIS). Jeśli pojawi się ten błąd, oznacza to, że poprzednia próba zaimportowania certyfikatu do usług IIS nie zawierała klucza prywatnego.
Aby to naprawić, będziesz:
- Zaimportuj certyfikat do sklepu osobistego za pomocą Microsoft Management Console (MMC)
- Przechwyć numer seryjny dla danego certyfikatu
- Uruchom certutil program naprawić sklep
- Wyeksportuj poprawiony certyfikat
- I w końcu ponownie zaimportuj certyfikat za pośrednictwem IIS.
Importowanie certyfikatu za pomocą MMC
- Otwórz MMC na swoim komputerze (możesz zlokalizować ten program, wpisując „mmc” w pasku wyszukiwania Windows).
- Wybierz „Plik> Dodaj / Usuń przystawkę” (lub wpisz Control+M). Wybierz „Certyfikaty” i kliknij Dodaj przycisk.
- Wybierz „Konto komputera” i kliknij Następna...
… Następnie wskaż przystawce zarządzanie „komputerem lokalnym” i kliknij koniec. - Kliknij OK aby dodać przystawkę.
- Następnie przejdź do folderu „Certyfikaty (komputer lokalny)> Osobiste> Certyfikaty”.
- Kliknij folder prawym przyciskiem myszy i wybierz z menu „Wszystkie zadania> Importuj”, aby otworzyć Kreatora importu certyfikatów.
- W Kreatorze importu upewnij się, że wybrano „Komputer lokalny” i naciśnij Następna.
- Zlokalizuj i wyznacz certyfikat docelowy (powinien mieć format .p7b), a następnie naciśnij Następna.
- Ustaw kreatora, aby umieścić importowane certyfikaty w magazynie „Osobisty”. Trafienie Następna kontynuować.
- Sprawdź ustawienia, a następnie kliknij koniec aby zaimportować certyfikat.
Przechwyć numer seryjny
- Kliknij dwukrotnie, aby otworzyć certyfikat, a następnie wybierz kartę „Szczegóły”, aby znaleźć i przechwycić numer seryjny.
Uruchom certutil
Program
- Aby wykonać następny krok, będziesz musiał otworzyć sesję wiersza poleceń z uprawnieniami administratora. Najprostszym sposobem na to jest wyszukanie „cmd”, a następnie kliknięcie prawym przyciskiem myszy ikony cmd i wybranie „Uruchom jako administrator”. (Wybierz „Tak”, jeśli pojawi się pytanie, czy chcesz zezwolić temu programowi na wprowadzanie zmian na komputerze).
- W wierszu poleceń wprowadź następujące polecenie, używając przechwyconego numeru seryjnego:
certutil -repairstore my "
PLACE_SERIAL_NUMBER_TUTAJ"
Upewnij się i umieść numer seryjny między cudzysłowami, jak pokazano. ** Najlepiej jest wpisać numer seryjny, ponieważ funkcja wklejania może czasami utracić znak w oknie cmd. - Jeśli się powiedzie, to polecenie zwróci informacje o certyfikacie i komunikat potwierdzający.
- Zamknij sesję poleceń i odśwież konsolę MMC.
Wyeksportuj poprawiony certyfikat
- Kliknij certyfikat prawym przyciskiem myszy i wybierz „Wszystkie zadania> Eksportuj”, aby otworzyć Kreatora eksportu certyfikatu.
- Po kliknięciu strony powitalnej kreatora upewnij się, że opcja jest ustawiona na „Tak, wyeksportuj klucz prywatny” i kliknij Następna.
- Wybierz format eksportowanego certyfikatu (tutaj zakodowany w formacie PKCS # 12 lub plik .PFX). Upewnij się, że zaznaczono pola wyboru, aby uwzględnić wszystkie certyfikaty w ścieżce i wyeksportować wszystkie rozszerzone właściwości, a następnie kliknij Następna.
- Zostaniesz poproszony o podanie hasła w celu ochrony tego pakietu certyfikatów (dobry pomysł, ponieważ zawiera klucz prywatny). Utwórz i potwierdź hasło, a następnie kliknij Następna.
- Wybierz nazwę i lokalizację eksportowanego pliku. Możesz przejść do preferowanej lokalizacji - pamiętaj, aby zapisać plik z rozszerzeniem .pfx.Uwaga: Podanie daty jest dobrym sposobem na odróżnienie tego pliku certyfikatu od innych.
- Przejrzyj informacje. Jeśli wszystko wygląda poprawnie, kliknij koniec.
- Otrzymasz potwierdzenie, że eksport się powiódł.
Ponowny import certyfikatu z IIS
Będziesz mieć teraz plik, który możesz ponownie zaimportować przez IIS bez zgłaszania błędu „Brak klucza prywatnego”. SSL.com zawiera ogólne instrukcje, jak to zrobić w pliku oddzielny artykuł tutaj. Dla naszych celów pamiętajmy tylko, aby podczas przetwarzania tego certyfikatu wybrać „Importuj” zamiast „Pełne żądanie certyfikatu” i wprowadzić hasło po wyświetleniu monitu.
Pamiętaj również, aby ustawić Typ na „https”, a Port na „443” (chyba że administrator sieci zaleci inaczej) podczas wiązania certyfikatu z witryną.