2

質問: 「信頼されたルート証明機関」へのインストールに適した証明書を Windows に検出させるにはどうすればよいですか?

背景: 内部サイトを構築しており、ユーザーがサーバーのルート証明書をダウンロードして、「信頼されたルート認証局」として Windows 証明書信頼ストアにインストールできるようにしたいと考えています。ユーザーが証明書ファイルを開くと、通常の証明書検査画面が表示されます。

ここに画像の説明を入力

ユーザーは [証明書のインストール] をクリックし、[証明書の種類に基づいて証明書ストアを自動的に選択する] を選択できます。

必然的に、このオプションを選択すると、証明書が「信頼されたルート証明機関」ではなく「中間証明機関」にインストールされます。

ここに画像の説明を入力

ルート証明書は、OpenSSL で自己署名ルート証明書として生成されます。openssl x509 レポート:

    X509v3 extensions:
        X509v3 Basic Constraints: critical
            CA:TRUE, pathlen:1

セキュリティ上の理由から、Windows が証明書を信頼されたルート認証局として自動的にインストールすることを禁止していたとしても、私は驚かないでしょう。動作します。明確化をいただければ幸いです。

4

1 に答える 1

2

セキュリティ上の理由から、Windows が証明書を信頼されたルート認証局として自動的にインストールすることを禁止していたとしても、私は驚かないでしょう。動作します。

あなたは正確な問題に遭遇しました。Microsoft は、ユーザーが信頼されたルート CA ストアに CA 証明書を自動的にインストールすることを許可していません。この証明書を適切なストアにインストールするようにユーザーに指示する必要があります。

psルート証明書の配布方法が完全に嫌いです。ユーザーはそれがあなたの証明書であることをどのように知っていますか? あなたが他の Web サイトになりすまそうとしないことをどのように彼らは知っているのでしょうか? アイデア全体が悪いように見えます。クライアントが多い場合は、商用プロバイダーから最も安価な SSL 証明書を購入することをお勧めします。

于 2015-05-10T17:15:31.483 に答える