%20%E5%90%97%EF%BC%9F.png)
换句话说,我们 CA 颁发的 SSL 证书缺少“客户端身份验证”目的是否是其不被浏览器信任的原因?
如果是这样,如何在 CSR(证书签名请求)中或在 AD CA(Active Directory 证书颁发机构)中颁发证书期间添加该目的/ OID?
我问的原因是:
我查看过的大多数有效 (受信任) SSL 证书,包括 outlook.com:
... 有两个“目的”/扩展密钥使用字段值/OID 列出,“客户端”和“服务器”:
TLS WWW Server Authentication (OID.1.3.6.1.5.5.7.3.1)
TLS WWW Client Authentication (OID.1.3.6.1.5.5.7.3.2)
NET::ERR_CERT_COMMON_NAME_INVALID...而我使用的本地根 CA 颁发的无效(错误) SSL 证书试图去上班,有一个“服务器”,但没有“客户端”:
当然,一些有效的 SSL 证书(例如 gmail.com 和 google.com)也只有服务器身份验证目的/OID,而没有“客户端”目的。我只是想排除这是导致我的 SSL 证书不受信任的可能原因。
谢谢!
PS:自签名(而非本地 CA 颁发的)SSL 证书在相关内联网站点上运行(受信任),因此问题不在于 IIS 或绑定。相反,问题在于其中一个证书或信任链 - 我只是不确定如何解决此问题。