問題タブ [root-certificate]

ルート証明書、署名に使用する中間証明書、および Google App Engine トラフィックに使用する最終証明書を作成しようとしています。ルートをうまく作成できます：

次に、使用可能なキーの生成を担当する中間証明書を作成します。

最後に、サイトで使用するキーペアを作成します。

次に、自分のコンピューター (この場合は Google Chrome) に root.crt をインストールします。ただし、エンド証明書を信頼できるものとして受け入れません。ただし、中間証明書をスキップして、サイト証明書にルートで署名するだけで、本来の方法で正しく機能します。何か不足していますか？基本的には、ルートに戻る証明書のチェーンを作成しているだけであることを考えると、これは機能するはずだと思いますよね? それとも、これがどのように機能するかについて根本的な誤解がありますか?

編集：これは基本的にまさに私がやろうとしていることです。では、私のアプローチはどうですか？私はおそらく微妙な何かを見逃しています。

アプリケーションがルート CA を検証できない (OS のみが検証できる) というヒントがどこかにありました。以下の点について回答をいただければと思います。

a) OS だけがルート CA を検証できるというのは本当ですか?

b) (「はい」の場合) アプリケーション (特に Web ブラウザー) がルート CA を検証できないのはなぜですか?

c) (「はい」の場合) では、ブラウザはどのようにして SSL 証明書を検証できますか?

Windows で Fiddler2 を使用して、HTTPS トラフィックを検査および分析しています。煩雑さを軽減するために、Fiddler2 ルート証明書をインストールして信頼しています。Fiddler ルート証明書により、ブラウジング エクスペリエンスがシームレスになります。すべての HTTPS サイトは引き続き「保護」されています (つまり、URL は引き続き https であり、証明書ロックが表示されます)。

しかし、Fiddler をオフにするのを忘れて、セキュリティを確保したいサイトを閲覧しているのに、Fiddler がまだトラフィック/コンテンツをログに記録していることに気付いた場合、これは問題になります。

HTTPS 接続が特定のルートによって署名された証明書によって保護されている場合に表示される、インストール/使用できる Chrome 拡張機能はありますか?

現在、rhel 7.1 の docker コンテナーに .net-core web-api をデプロイしています。すべてが期待どおりに機能しますが、アプリケーションから https を介して他のサービスを呼び出す必要があり、それらのホストは自己管理のルート証明書によって署名された証明書を使用します。

このコンスタレーションでは、このサービスの呼び出し中に ssl エラーが発生するため (ssl-not valid)、このルート証明書を docker-container にインストールするか、.net-core アプリケーションでルート証明書を使用する必要があります。

これはどのように行うことができますか？この状況を処理するためのベスト プラクティスはありますか? .net-core は rhel-system の正しいキーストアにアクセスしますか?