问题:如何让 Windows 检测到适合在“受信任的根证书颁发机构”中安装的证书?
背景:我正在建立一个内部站点,并希望用户能够下载服务器的根证书并将其安装在其 Windows 证书信任存储区中作为“受信任的根证书颁发机构”。当用户打开证书文件时,他们到达常规证书检查屏幕。
然后,用户可以单击“安装证书”,然后选择“根据证书类型自动选择证书存储”。
不可避免地,选择此选项会将证书安装到“中间证书颁发机构”,而不是“受信任的根证书颁发机构”
根证书在 OpenSSL 中作为自签名根证书生成。openssl x509 报告:
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE, pathlen:1
如果 Windows 出于安全原因以这种自动方式禁止将证书安装为受信任的根证书颁发机构,我不会感到惊讶,但我根本无法在 Microsoft 或 MSDN 网站上找到任何说明其“自动选择”如何工作的文档。
如果 Windows 出于安全原因以这种自动方式禁止将证书安装为受信任的根证书颁发机构,我不会感到惊讶,但我根本无法在 Microsoft 或 MSDN 网站上找到任何说明其“自动选择”如何工作的文档。
您遇到了确切的问题。Microsoft 不允许用户在受信任的根 CA 存储中以自动方式安装 CA 证书。您应该指示用户在适当的存储中安装此证书。
p.s.我完全不喜欢你分发根证书的方式。用户如何知道这是你的证书?他们怎么知道你不会试图模仿任何其他网站?整个想法看起来很糟糕。如果有很多客户,那么我建议从商业提供商那里购买最便宜的 SSL 证书。
本站系公益性非盈利分享网址,本文来自用户投稿,不代表码文网立场,如若转载,请注明出处
评论列表(81条)