Импорт самозаверяющего сертификата (CA) в Windows Certmgr.msc с использованием Chrome или IE не работает

Question

Используя Openssl, я сгенерировал свой собственный CertificateAuthority (CA) и с помощью этого CA сгенерировал самозаверяющий сертификат и ключ сервера.Этот сертификат и ключ сервера использовались для настройки прокси-сервера Apache HTTPD и сервера Tomcat, который успешно запускается, и я могу загрузить пользовательский интерфейс приложения и работать должным образом (все функции в порядке)

Теперь, поскольку это самозаверяющий серверсертификат, на панели URL браузера отображается Ошибка сертификата / Не защищен каждый раз.Я пытаюсь импортировать этот сертификат в мое хранилище Windows 10000 * Trusted Root Certification Authorities , используя Chrome или IE.Импорт сертификата выполнен успешно.Глядя на сертификат в диспетчере сертификатов Windows (certmgr.msc), Windows говорит, что «у него недостаточно информации для проверки этого сертификата».При просмотре пути к сертификату отображается только один сертификат (сам сертификат (с желтым восклицательным знаком), а статус сертификата указывает: «Не удалось найти издателя этого сертификата»), и при проверке имени сертификата я обнаружил, чтовместо сертификата CA сертификат сервера импортируется.Хотя я вижу сертификат на certmgr.msc, но в браузере импортированный сертификат даже не отображается в разделе «Доверенные корневые центры сертификации».Общее имя (CN), SubjectAl альтернативное имя (SAN) и т. Д. Все присутствуют, как и ожидалось, так как я знаю, что они важны.

После того, как я вручную импортировал сертификат CA (который у меня уже есть) отдельно от браузера, пользовательский интерфейс загружается с зеленым замком, как и ожидалось.

Я проверил в Интернете предложения и вижу, что существует множество тем, таких как this0 , this1 , this2 this3 , this4 , this5 без особой помощи.Ни один из них не решил эту проблему импорта без какого-либо ручного импорта сертификата CA.

Чего мне не хватает?При импорте сертификата браузера, почему импортируется сертификат сервера, а не сертификат CA?
Что нужно сделать, чтобы импортировать сертификат CA, непосредственно считывающий сертификат сервера?Должны ли мы установить сертификат CA вручную?Если да, то как импортировать этот сертификат CA на удаленный компьютер, когда я пытаюсь получить доступ к своему приложению извне системы (браузер удаленной системы)?любезно помогите.

Answer 1

Наконец-то я смог выяснить, как решить эту проблему.Отвечая на мой собственный вопрос здесь, чтобы это могло помочь кому-либо еще, сталкивающемуся с той же самой проблемой.

Сначала вы создаете свой собственный CA и закрытый ключ сервера, а затем, используя этот CA, подписываете сертификат сервера.Мы использовали прокси-сервер Apache Httpd, и в конфигурации вместе с SSLCertificateFile для SSLCACertificateFile должен быть установлен сертификат CA.После загрузки URL-адреса в браузере отобразится «Ошибка сертификата» или «Незащищенный».При нажатии на импорт сертификата в разделе «Сведения о сертификате» вы увидите сертификат CA, а затем сертификат сервера.Нажмите, чтобы сохранить сертификат CA локально в Доверенные корневые центры сертификации (сохранить CA и NOT сертификат сервера), чтобы вы могли установить этот CA (то, что мы создали) и после того, как сертификат CA будетПосле успешного импорта соединение будет показано как безопасное с зеленым замком в строке URL.Это можно сделать с локального или любого удаленного компьютера, получающего доступ к URL-адресу.

Все сертификаты, которые мы заново генерируем и подписываем этим же центром сертификации, впоследствии будут по сути доверенными.