เหตุใด Windows 2012 R2 จึงไม่เชื่อถือใบรับรองที่ลงนามด้วยตนเองของฉัน

ในสภาพแวดล้อมการทดสอบฉันกำลังถูกระงับการทดสอบบางสิ่งที่ต้องติดตั้งในไม่ช้า (จริง ๆ แล้ว แต่คุณรู้ว่ากำหนดเวลาดำเนินไปอย่างไร ... ) เนื่องจาก Windows ปฏิเสธที่จะเชื่อถือใบรับรองที่ลงนามด้วยตนเองที่เรามีใน สภาพแวดล้อมการทดสอบแบบแยก ในขณะที่ฉันสามารถทำตามขั้นตอนปัญหากับใบรับรอง "ของจริง" และเทคนิค DNS บางประการเพื่อเหตุผลด้านความปลอดภัย / การจำแนกประเภทฉันไม่มีใบรับรองดังกล่าว

ฉันพยายามเชื่อมต่อกับเซิร์ฟเวอร์อีเมลที่ใช้ Linux ชื่อ Zimbra มันกำลังใช้ใบรับรอง OpenSSL ที่ลงชื่อด้วยตนเองที่สร้างขึ้นโดยอัตโนมัติ ในขณะที่หน้าเว็บของ Google ได้เปิดขึ้นโดยเฉพาะอ้างถึงเว็บไซต์ IIS ที่มีใบรับรองที่ลงนามด้วยตนเองของ IIS แต่ฉันไม่คิดว่าวิธีการสร้างหน้าเว็บนั้นเป็นเรื่องสำคัญ

ตามคำแนะนำที่ฉันพบที่นี่และที่นี่สิ่งนี้เป็นเรื่องง่าย ๆ ในการติดตั้งใบรับรองลงในร้านค้า Trusted Root Certification Authority ของเครื่องคอมพิวเตอร์ ซึ่งฉันได้ทำไปแล้วรวมถึงการคัดลอกใบรับรองด้วยตนเองและนำเข้าโดยตรงผ่านสแน็ปอิน MMC การลงชื่อเข้าใช้และการเริ่มระบบใหม่จะไม่เปลี่ยนแปลงอะไรเลย

นี่คือข้อผิดพลาดใบรับรองที่ฉันได้รับทุกครั้ง:

และนี่คือเส้นทางการรับรอง (สปอยเลอร์: เป็นเพียงใบรับรองเท่านั้น):

สุดท้ายนี่คือใบรับรองที่ซ่อนอยู่ในที่เก็บใบรับรองของคอมพิวเตอร์ในระบบอย่างปลอดภัยตามคำแนะนำที่ฉันพบว่าควรเป็น:

คำแนะนำเหล่านี้อ้างอิง Vista โดยเฉพาะ (อย่างที่สองไม่ได้พูดถึงระบบปฏิบัติการ) และ IIS ในขณะที่ฉันใช้ Server 2012 R2 เชื่อมต่อกับเซิร์ฟเวอร์ที่ใช้ Linux มีความแตกต่างในตัวช่วยสร้างการนำเข้า (เช่นฉันมีตัวเลือกที่จะนำเข้าสำหรับผู้ใช้ปัจจุบันหรือระบบท้องถิ่นแม้ว่าฉันจะลองทั้งสองอย่าง) ดังนั้นอาจมีบางสิ่งที่แตกต่างที่ฉันต้องทำที่นี่ การตั้งค่าที่ฉันไม่พบที่ต้องเปลี่ยนเพื่อให้เชื่อถือได้จริง ๆใบรับรองที่ฉันได้บอกให้ไว้วางใจ

วิธีที่ถูกต้องในการทำให้ Windows Server 2012 R2 เชื่อถือใบรับรองที่ลงนามด้วยตนเองคืออะไร

ข้อผิดพลาดที่คุณได้รับไม่ใช่ว่าเป็นใบรับรองรูทที่เชื่อถือได้ แต่ไม่สามารถยืนยันการเชื่อมโยงกับใบรับรองที่เชื่อถือได้ หากส่วนใดส่วนหนึ่งของเครือข่ายถูกทำลายไม่น่าเชื่อถือหรือหายไปคุณจะได้รับข้อผิดพลาดดังกล่าว ข้อผิดพลาดที่ฉันได้รับกับที่ไม่น่าเชื่อถือลงนามด้วยตนเองรากนี่คือ: ใบรับรองรูท CA นี้ไม่น่าเชื่อถือ หากต้องการเปิดใช้งานความน่าเชื่อถือให้ติดตั้งใบรับรองนี้ในที่เก็บผู้ออกใบรับรองหลักที่เชื่อถือได้ แต่สำหรับคุณแล้วมันบอกว่าไม่สามารถตรวจสอบใบรับรองหลักที่เชื่อถือได้ นี่อาจเป็นไปได้ว่าในระหว่างกระบวนการเซ็นชื่อด้วยตนเองคุณอาจบอก openssl ให้ลงชื่อใบรับรองด้วยรูทอื่น (ไม่ใช่เซ็นชื่อด้วยตนเอง) หรืออาจไม่ได้ตั้งเป็นรูท CA หากเป็นรายการแรกคุณต้องเชื่อถือรูทที่ลงชื่อด้วยแทน ถ้าเป็นตัวหลังมันเป็นเรื่องของการตั้งค่าคุณสมบัติบางอย่างใน openssl.conf

จากสิ่งที่ฉันสามารถทำงานได้คุณต้องเพิ่ม zmaster เป็น Trusted source CA เนื่องจากเป็นสิทธิ์ในการออก WS2k12 พยายามตรวจสอบใบรับรองกับโฮสต์ที่ไม่รู้อะไรเลย คุณพูดถูกแล้วว่าวิธีการสร้างไม่สำคัญ แต่เป็นแหล่งที่ตรวจสอบได้ นี่เป็นเอฟเฟกต์ที่คุณประสบ: WS2k12 ไม่เชื่อถือใบรับรองเพียงเพราะมีชื่อ $ Random_issuing_authority เท่านั้นจึงต้องสามารถตรวจสอบใบรับรองได้

ฉันมีปัญหาเดียวกันกลับกลายเป็นว่าโซลูชันของฉันคืออัปเดตไฟล์. crt และ. key สำหรับเมลเซิร์ฟเวอร์ตามที่ใช้โดย dovecot Exim4 บนจดหมายมีชุดใบรับรอง / คีย์ที่ปรับปรุงแล้ว แต่ dovecot ยังคงชี้ไปที่ชุดใบรับรอง / คีย์เก่า

คู่ใบรับรอง / คีย์เก่าทำงานได้ดีกับสถานการณ์ส่วนใหญ่ แต่ไม่ใช่กับ outlook.com หรือกับ MS Outlook 2013

ปัญหาเกี่ยวกับ outlook.com ทำให้ฉันอัพเกรดใบรับรอง exim4 เมื่อเร็ว ๆ นี้ตอนนี้ dovecot [และเซิร์ฟเวอร์เว็บเมล] ก็ใช้ไฟล์ใบรับรอง (และคีย์) ใหม่ด้วย เมลเซิร์ฟเวอร์เองก็เพิ่งอัพเกรด [จาก Debian squeeze-lts ไปเป็น wheezy] เมื่อเร็ว ๆ นี้การตั้งค่าเก่านั้นใช้ได้ดีกับชุดใบรับรอง / กุญแจเก่า แต่หลังจากการอัพเกรดฉันต้องสร้างชุดใบรับรอง / คีย์ใหม่ก่อน ผลิตภัณฑ์ MS จะทำงานอย่างถูกต้องกับเซิร์ฟเวอร์อีเมล

ฉันคิดว่าปัญหาคือคุณเข้าถึงทรัพยากรได้อย่างไร สำหรับเครือข่ายท้องถิ่นของคุณคุณอาจใช้ชื่อโฮสต์แทนชื่อโดเมนแบบเต็ม อย่างไรก็ตามคุณได้ออกใบรับรองกับชื่อโดเมนแบบเต็ม

ติดตั้งใบรับรองไปยังผู้ออกใบรับรองหลักที่เชื่อถือได้และผู้เผยแพร่ที่เชื่อถือได้