问题:如何让Windows检测适合安装在"受信任的根证书颁发机构中的证书"?
背景: 我正在构建一个内部站点,并希望用户能够下载服务器的根证书,并将其作为“受信任的根证书颁发机构”安装在他们的Windows证书信任存储中。当用户打开证书文件时,他们会到达常规证书检查屏幕。
然后,用户可以单击"安装证书"然后选择"根据证书类型"自动选择证书存储区。
不可避免地,选择此选项会将证书安装到"中级证书颁发机构"而不是"受信任的根证书颁发机构"
根证书在OpenSSL中作为自签名根证书生成。 openssl x509报告:
X509v3 extensions: X509v3 Basic Constraints: critical CA:TRUE, pathlen:1
出于安全原因,如果Windows以自动方式禁止将证书安装为受信任的根证书颁发机构,我不会感到惊讶,但我无法在Microsoft或MSDN网站上找到任何文档。解释他们的#34;自动选择"作品。任何澄清将不胜感激。
答案 0 :(得分:2)
出于安全原因,如果Windows禁止以自动方式将证书安装为受信任的根证书颁发机构,我不会感到惊讶,但我在Microsoft或MSDN站点上找不到任何解释其“如何”的文档自动选择“工作。
您遇到了确切的问题。 Microsoft不允许用户在受信任的根CA存储中自动安装CA证书。您应该指示用户在相应的商店中安装此证书。
P.S。我完全不喜欢你分发根证书的方式。用户如何知道这是您的证书?他们怎么知道你不会试图模仿任何其他网站?整个想法看起来很糟糕。如果有很多客户,那么我建议从商业提供商那里购买最便宜的SSL证书。