Удаляем Let’s Encrypt сертификаты в Windows

Если вы используете на хосте Windows бесплатные сертификатов Let’s Encrypt и решили переключиться на другой CA (собственный или коммерческий), нужно выполнить ряд шагов по отзыву старых сертификатов Let’s Encrypt и очистки их следов в Windows.

Ранее мы показывали, как с помощью клиента WACS в Windows настроить автоматический выпуск и продление сертификатов Let’s Encrypt для защиты подключений к веб-сайтам или службам RDS. Если вы использовали консольный клиент WACS для выпуска и установки сертификата Let’s Encrypt, для его корректного удаления нужно выполнять ряд действий:

  1. Удалить задание планировщика для автоматического продления сертификата
  2. Отозвать старый сертификат Let’S Encrypt (или оставить его как есть, чтобы срок действия его истек автоматически)
  3. Отключить использование сертификата Let’S в настройках веб сайта IIS или службах RDS
  4. Удалить клиент WACS и связанные файлы
  5. Очистить каталог C:\ProgramData\win-acme\

При установке сертификата Let’s Encrypt, утилита wacs автоматически создает задание планировщика, которое по расписанию проверяет срок действия сертификата и продляет его.

  1. Откройте планировщик задач Windows Task Sheduler ( taskschd.msc ) и найдите в нем задание продления сертификата. По умолчанию оно называется win-acme renew (acme-v02.api.letsencrypt.org).
  2. В свойствах задания на вкладке Actions можно найти путь к каталогу с исполняемым файлом клиента wacs.exe (в нашем примере это C:\ps\wacs).
  3. Отключите (или удалите) задание планировщика. Отключить задание автопродления сертификата let's encrypt в планировщике windows

Если в Windows установлено и используется несколько сертификатов Let’S encrypt с автопродлением, можно отключить продление только для определенного сертификата. Вывести все задания продления сертификатов:

.\wacs.exe --list

Отключить обновление определенного сертификата можно по --friendlyname или --id :

.\wacs.exe --cancel --friendlyname "[Manual] 123356.winitpro.ru"

Отозвать сертификат из командной строки wacs.exe

Параметры автоматического продления сертификатов хранятся в файлах с расширением *.renewal.json в каталоге C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org. Можно просто удалить JSON файл с настройками.

файлы *.renewal.json с настройками продления сертификатов let's encrypt

Чтобы отозвать выпущенный сертификат Let’s Encrypt выполните команду:

.\wacs.exe --revoke --friendlyname "[Manual] 123356.winitpro.ru"

Также можно отключить задания продления и отозвать сертификат из меню утилиты wacs. Пункт находятся в разделе A: Manage renewals:

wacs.exe - отозвать сертификат

Теперь нужно отвязать сертификат в настройках сайта IIS.

  1. Откройте консоль управления IIS ( inetmgr ).
  2. Перейдите в настройки Site Bindings сайта IIS и выберите для сайта другой сертификат вместо Let’s Encrypt. Заменить TLS/SSL сертификат веб сервера IIS
  3. Перейдите в раздел Server Certificates в настройках IIS и удалите сертификат Let’s Encrypt. Это также удаляет сертификат из локального хранилища сертификатов. Удалить сертификат Let's Encrypt в IIS

Либо вы можете удалить сертификат из локального хранилища вручную. Чтобы вывести все сертификаты Let’s Encrypt, установленные в хранилище, выполните PowerShell команду:

dir cert: -Recurse|Where-Object { $_.Issuer -like "*Let's Encrypt*" }|select FriendlyName,Subject,NotBefore,NotAfter,PSParentPath,thumbprint

Команда выведет имя, отпечаток, дату выпуска и срок действия установленных сертификатов Let’s Encrypt.

Вывести список установленных сертификатов Let's Encrypt с помощью PowerShell

В данном примере есть два сертификата, установленные в хранилище LocalMachine\WebHosting .

Откройте консоль хранилища сертификатов компьютера ( certlm.msc ), разверните раздел Web Hosting -> Certificates и удалите сертификаты Let’s Encrypt.

Удалить сертификат из хранилища

Затем удалите следующие папки

  • Каталог с клиентом WAСS (в нашем примере C:\PS\wacs , как мы выяснили в настройках задания планировщика)
  • Папку с данными C:\ProgramData\win-acme\ (здесь хранятся файлы сертификатов, закрытые ключи, конфигурационные файлы, логи).

Удалить каталог с параметрами win-acme клиента

Перезапустите веб сервер IIS:

iisreset


Предыдущая статья Следующая статья


Комментариев: 0 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)