我已经跟随Jamie's tutorial使用-subj选项通过Win7创建CA根证书和中间CA证书,并且他们通过openssl verify命令传递了OK。
openssl genrsa -aes256 -out intermediate/private/intermediate.key.pem 4096
openssl req -config intermediate/openssl.cnf -new -sha256 -key intermediate/private/intermediate.key.pem -out intermediate/csr/intermediate.csr.pem -subj "/CN=AC Pruebas Inter (4096)/O=ORG S.A. de C.V./OU=Org unit/emailAddress=testinterca@org.com.mx/streetAddress=myStreet, myNumber/postalCode=09999/C=MX/ST=my City/L=my Locality/2.5.4.45=ORG990701NN3/1.2.840.113549.1.9.2=Responsable: ORG"
openssl ca -config openssl.cnf -extensions v3_intermediate_ca -days 3650 -notext -md sha256 -in intermediate/csr/intermediate.csr.pem -out intermediate/certs/intermediate.cert.pem
然后我将Inter CA证书扩展名重命名为.CRT,以便使用Windows客户端应用程序打开它,但在状态证书字段的“证书路径”选项卡中,它会显示一条错误消息,指出证书没有有效签名。我已在受信任的根证书存储区中安装了CA根证书,但错误消息仍然存在。
这可能是问题吗?
答案 0 :(得分:0)
问题解决了,我使用Windows客户端的安装按钮以错误的方式安装根证书。使用MMC Windows实用程序在此MS TechNet paper中描述了正确的方法。一旦正确安装了根证书,错误消息就会消失。