我有一个 PKI 树,ironport 是 PKI 树第二级的 CA(用于颁发 HTTPS 检查证书)
尽管我将根证书部署到所有客户端,并且 chrome/IE 可以正常工作,但 Firefox 仍维护着独立于 Windows 的证书存储。
我只想要求帮助台将根证书而不是 Ironport 中间证书导入 Firefox 受信任存储。我认为这里的问题与其他网站问题类似,设备没有发送“链接/链式”证书(例如,将根证书与 HTTPS 流一起发送)
由于 ironport UI 仅允许导入 PEM 格式的证书,有什么方法可以让 ironport 将整个 HTTPS 公链发送到浏览器,而不仅仅是最后一英里的证书?
答案1
在 Ironport 网络管理页面的网络/证书下,您可以定义希望用于 SMTPS 和 HTTPS 的各种证书。
定义新证书时,您可以上传(最后一步)PKCS#12 证书。
此后,您可以通过同一页面编辑现有证书。页面底部有一个折叠部分“中间证书(可选)”。打开它,它将允许您上传完成证书链所需的尽可能多的中间证书。
现在您可以将此证书与 Ironport 上的 HTTPS 服务关联起来,它将发送完整的证书链。
我们在这里使用需要 3 个中间证书的 QuoVadis 证书来执行此操作,并且有效。