Как создать сертификат SSL с помощью Microsoft Certificate Services, а затем установить / настроить его для работы с Apache?

Question

Я сгенерировал запрос сертификата, отправил его в программу Microsoft Certificate Services. Выдает сертификат. Я загрузил его в conf / ssl / server.cert

Я настроил его в Apache для использования

SSLCertificateFile conf/ssl/server.cert
SSLCertificateKeyFile conf/ssl/server.key

Когда я запускаю сервер с этим конфигом, я получаю

Сбой безопасного соединения Произошла ошибка при подключении к 192.168.1.100.

Тип сертификата не утвержден к применению. (Код ошибки: sec_error_inadequate_cert_type) Невозможно отобразить страницу, которую вы пытаетесь просмотреть, поскольку не удалось проверить подлинность полученных данных.

• Пожалуйста, свяжитесь с владельцами веб-сайта, чтобы сообщить им об этой проблеме.

Если я скачаю сертификат CA и установлю его с

SSLCertificateFile conf/ssl/server.crt
SSLCertificateKeyFile conf/ssl/server.key
SSLCACertificateFile conf/ssl/cacert.crt

Сервер не запускается.

Хорошо работает, если я создаю самозаверяющий сертификат и устанавливаю его, но мне нужно, чтобы он пришел из Служб сертификации Microsoft, чтобы он не предупреждал внутренних пользователей о сертификате.

Answer 1

Похоже, ваш сертификат не может быть использован для сервера. IIRC, вы можете просмотреть сертификат в браузере и найти «Использование» или какой-либо другой язык, и на нем должно быть указано «Сервер SSL» (возможно, среди прочего).

Answer 2

Необходимо убедиться, что в выданном сертификате «Аутентификация сервера» указана как одно из разрешенных применений в расширении использования расширенного ключа. Самый простой способ сделать это (и единственный способ для Win2k3 Standard) - использовать шаблон сертификата веб-сервера.

Вам необходимо использовать оснастку MMC служб сертификатов, чтобы добавить этот шаблон сертификата в список разрешенных, а затем настроить разрешения, чтобы соответствующие пользователи могли запрашивать сертификаты.