IIS - Uitschakelen conflicterend Comodo root certificaat

Bij recente Microsoft producten is het nieuwere Comodo SHA2 root certificaat standaard geïnstalleerd in de certificate store. Dit certificaat herken je aan de naam 'COMODO RSA Certification Authority' met een verloopdatum in 2036. Dit certificaat conflicteert met het COMODO RSA Certification Authority intermediate certificaat, die verloopt in 2020. Deze is nodig voor oudere clients die gebruik maken van de legacy chain op basis van de 'AddTrustExternalCARoot'.

Dit veroorzaakt een conflict, ondanks dat de hele certificate chain correct is geïnstalleerd. Dit probleem wordt veroorzaakt omdat de server in plaats van het certificaat 'COMODO RSA Certification Authority (2020)', het certificaat met de naam "'COMODO RSA Certification Authority (2038) presenteert. Het laatste certificaat uitschakelen verhelpt het conflict. Overigens zal het certificaat weer geactiveerd moeten worden zodra het AddTrustExternalCARoot verloopt, dus op 30-05-2020!

Local Machine Certificate Store openen

Volg de volgende stappen om de Local Machine Certificate Store te openen via de mmc snap-in:

  1. Klik op menu Start ? Uitvoeren en typ mmc gevolgd door Enter.

    Uitschakelen dubbelen Comodo root certificaat 2

  2. Klik File en selecteer Add/Remove Snap in en klik in het volgende venster op Add....

    Uitschakelen dubbelen Comodo root certificaat 2

  3. Selecteer Certificates vanaf de Add Standalone Snap-in box en klik op Add.

    Uitschakelen dubbelen Comodo root certificaat 3

  4. Kies Computer Account en klik op Next.

    Uitschakelen dubbelen Comodo root certificaat 4

  5. Kies Local Computer en klik op Finish.

    Uitschakelen dubbelen Comodo root certificaat 5

  6. Sluit de Add Standalone Snap-in box en klik op OK in het Add/Remove Snap in scherm.

    Uitschakelen dubbelen Comodo root certificaat 6

  7. Ga terug naar de MMC.

Opzoeken van het certificaat

  1. Ga naar het item Certificates.
  2. Ga naar de folder Trusted Root Certification Authorities.
  3. Zoek in de getoonde lijst naar het onderstaande certificaat.
    Common Name - COMODO RSA Certification Authority
    Verloop Datum - 19 januari 2038
    Thumbprint - AF:E5:D2:44:A8:D1:19:42:30:FF:47:9F:E2:F8:97:BB:CD:7A:8C:B4
       	
    
  4. Klik met de rechtermuisknop op het certificaat en selecteer Eigenschappen.
  5. Selecteer de optie Alle doeleinden voor dit certificaat uitschakelen, en klik op OK.
  6. MMC kan worden gesloten.
  7. Herstart de server.

Om de aanpassing actief te zetten moet het certificaat opnieuw gebonden worden via de IIS website manager. Je kunt ook de server herstarten.

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.