Windows将证书检测为根证书颁发机构

Question

问题：如何让Windows检测适合安装在＆＃34;受信任的根证书颁发机构中的证书＆＃34;？

背景： 我正在构建一个内部站点，并希望用户能够下载服务器的根证书，并将其作为“受信任的根证书颁发机构”安装在他们的Windows证书信任存储中。当用户打开证书文件时，他们会到达常规证书检查屏幕。

然后，用户可以单击＆＃34;安装证书＆＃34;然后选择＆＃34;根据证书类型＆＃34;自动选择证书存储区。

不可避免地，选择此选项会将证书安装到＆＃34;中级证书颁发机构＆＃34;而不是＆＃34;受信任的根证书颁发机构＆＃34;

根证书在OpenSSL中作为自签名根证书生成。 openssl x509报告：

    X509v3 extensions:
        X509v3 Basic Constraints: critical
            CA:TRUE, pathlen:1

出于安全原因，如果Windows以自动方式禁止将证书安装为受信任的根证书颁发机构，我不会感到惊讶，但我无法在Microsoft或MSDN网站上找到任何文档。解释他们的＃34;自动选择＆＃34;作品。任何澄清将不胜感激。

Answer 1

  

出于安全原因，如果Windows禁止以自动方式将证书安装为受信任的根证书颁发机构，我不会感到惊讶，但我在Microsoft或MSDN站点上找不到任何解释其“如何”的文档自动选择“工作。

您遇到了确切的问题。 Microsoft不允许用户在受信任的根CA存储中自动安装CA证书。您应该指示用户在相应的商店中安装此证书。

P.S。我完全不喜欢你分发根证书的方式。用户如何知道这是您的证书？他们怎么知道你不会试图模仿任何其他网站？整个想法看起来很糟糕。如果有很多客户，那么我建议从商业提供商那里购买最便宜的SSL证书。