我有以下内容:
- OpenSSL 生成的自签名内部 CA 证书
- OpenSSL 生成的内部 CA 签名通配符证书
该证书保护我们的内部网站。例如“myservice.corp.example.com”
在此示例中,通配符证书具有以下值得注意的字段:
CN = “.corp.example.com” DNS = “.abc.corp.example.com” DNS = “*.xyz.corp.example.com”
(即最后两个是 SAN)
为了使 CA 链可以被操作系统接受,我在工作站上安装了 CA 证书。
这在 macOS 上运行良好。“良好”==“浏览器中的绿色站点安全图标”。我在站点范围的钥匙串中安装了 CA 证书,并将信任设置为“始终信任”
但是,在 Windows 10 上,我通过证书管理单元安装 CA 证书(或右键单击证书 -> 安装)。无论我做什么,我都会在证书中收到以下错误通知:
- 证书 -> 常规 -> “无法保证此证书的完整性。该证书可能已损坏或已被更改。”
- 证书 -> 证书路径 -> 证书状态 -> “此证书具有无效的数字签名”
最后,RSA密钥为2048位,CA证书和自签名证书上的签名算法均为sha256
我有冲刷但目前找不到任何能帮助我的解决方案,但似乎可能是以下之一:
- 发行者和主体不能匹配。还是必须匹配?不确定。(它们在我的 CA 证书中匹配)
- 不满足最小密钥长度。(虽然我们使用的是 2048 位)
- 还有别的吗?
我的问题是,我甚至不知道如何在 Windows 上排除此故障。我是 Linux 管理员。因此,请求故障排除步骤和可能的解决方案。
答案1
如果两者具有相同的“通用名称”,我们会遇到此错误。这更适合作为评论,但网站限制通过代表点发表评论。