有效的 SSL/TLS 证书必须包含“客户端身份验证”目的 (OID 1.3.6.1.5.5.7.3.2) 吗?

有效的 SSL/TLS 证书必须包含“客户端身份验证”目的 (OID 1.3.6.1.5.5.7.3.2) 吗?

换句话说,我们 CA 颁发的 SSL 证书缺少“客户端身份验证”目的是否是其不被浏览器信任的原因?

如果是这样,如何在 CSR(证书签名请求)中或在 AD CA(Active Directory 证书颁发机构)中颁发证书期间添加该目的/ OID?

我问的原因是:

我查看过的大多数有效 (受信任) SSL 证书,包括 outlook.com:

outlook.com SSL 证书

... 有两个“目的”/扩展密钥使用字段值/OID 列出,“客户端”和“服务器”:

TLS WWW Server Authentication (OID.1.3.6.1.5.5.7.3.1)
TLS WWW Client Authentication (OID.1.3.6.1.5.5.7.3.2)

NET::ERR_CERT_COMMON_NAME_INVALID...而我使用的本地根 CA 颁发的无效(错误) SSL 证书试图去上班,有一个“服务器”,但没有“客户端”:

本地根 CA 颁发 SSL 证书

当然,一些有效的 SSL 证书(例如 gmail.com 和 google.com)也只有服务器身份验证目的/OID,而没有“客户端”目的。我只是想排除这是导致我的 SSL 证书不受信任的可能原因。

google.com SSL 证书

谢谢!

PS:自签名(而非本地 CA 颁发的)SSL 证书在相关内联网站点上运行(受信任),因此问题不在于 IIS 或绑定。相反,问题在于其中一个证书或信任链 - 我只是不确定如何解决此问题。

相关内容