我们购买了通配符证书(*.example.com)。我得到了一个 .pem 文件(包括证书和密钥),例如“wildcard.example.pem”。
作为认证工具,我选择了XCA。计划是将通配符证书导入 XCA 并针对该通配符证书执行 CSR 请求。我可以用它生成证书和密钥(我尝试将其作为模板或 RootCA,但两者都不起作用)。我可以将它们加载到网络服务器中,但浏览器仍然告诉我:“这是一个自签名证书,警告警告 - 帮助帮助......”如何才能使用这种结构获得正确的自签名证书,而不发出警告FF、Chrome 和其他浏览器?
难道我的计划完全是假的并且我不理解演练吗?在这种情况下我该如何继续下去呢?
答案1
所有证书都有一个设置,说明证书可用于什么用途。当您从公共 CA 购买证书时(无论是否用于通配符域),该证书通常仅限于加密、Web 服务器和客户端身份验证。
这意味着该证书不能用于颁发新证书。
如果您打算颁发仅供内部使用的证书,则应创建一个新的自签名证书用作根 CA 证书。我不熟悉 XCA,但 CA 软件中通常有一些工具可以执行此操作。
如果您要颁发证书供外部使用,我强烈建议您联系了解 PKI 的公司来帮助您正确设置。这并不容易,而且也不便宜。
答案2
为了避免这些警告,您应该在浏览器中安装证书颁发机构的证书。或者安装此自签名证书并信任它。