web-dev-qa-db-ja.com

Windows 2012 R2が自己署名証明書を信頼しないのはなぜですか?

テスト環境では、私は現在、すぐに展開する必要があるいくつかのテスト(実際にはすでにですが、締め切りがどうなっているのかを知っています...)をためらっています。これは、Windowsが、隔離されたテスト環境。 「実際の」証明書といくつかのDNSトリックを使用して問題を回避することもできますが、セキュリティ/コンパートメント化の理由から、証明書は示していません。

Zimbraと呼ばれるLinuxベースの電子メールサーバーに接続しようとしています。自動生成された自己署名OpenSSL証明書を使用しています。 Googleが明らかにしたページはIIS IIS自己署名証明書付きのウェブサイト)を特に参照していますが、実際にそれを生成する方法は重要ではないと思います。

私が見つけた指示 here および here によると、これは証明書をローカルコンピュータの信頼されたルート証明機関ストアにインストールするという単純な問題であるはずです。証明書を手動でコピーし、MMCスナップインを介して直接インポートします。ログアウトと再起動によって何も変更されることはありません。

ここに私が毎回得る証明書エラーがあります: enter image description here

そして、これが認証パスです(ネタバレ:証明書そのものです): enter image description here

最後に、ここにある証明書は、ローカルコンピュータの証明書ストアに安全に格納されています。 enter image description here

Linuxベースのサーバーに接続するServer 2012 R2を使用している間、これらの手順は特にVista(2番目はOSについては触れていません)とIISを参照しています。インポートウィザードにはいくつかの違いがあります(私の場合、現在のユーザーまたはローカルシステム用にインポートするオプションがありますが、両方試してみました)。そこで、ここで行う必要のある違いがあるのでしょうか。私が見つけていない設定のどこかを変更するには、変更する必要があります本当に本当に信頼するようにすでに言った証明書を信頼しますか?

Windows Server 2012 R2に自己署名証明書を信頼させる正しい方法は何ですか?

ssl-certificatewindows-server-2012-r2certificate
9
Kromey

受け取ったエラーは、それが信頼されたルート証明書ではないということではなく、信頼された証明書に対してチェーンの上位を検証できないことです。チェーンの一部が壊れている、信頼できない、または欠落している場合、そのようなエラーを受け取ります。信頼できない自己署名rootで発生するエラーは次のとおりです:このCAルート証明書は信頼されていません。信頼を有効にするには、この証明書を信頼されたルート証明機関ストアにインストールします。しかし、あなたのために、それは信頼されたルート証明書まで検証することができないと言います。これは、自己署名プロセス中に、opensslに別のルート(自己署名ではない)で証明書に署名するように指示したか、ルートCAとして設定されていない可能性があります。それが最初の場合は、代わりに署名されたルートを信頼する必要があります。後者の場合は、openssl.confにいくつかのプロパティを設定するだけです。

1
flashbang

私が解決できることから、zmasterを信頼できるソースCAとして追加する必要があります。これは、発行機関であるため、WS2k12は、何も知らないホストに対して証明書を検証しようとしています。生成方法は重要ではありませんが、検証可能なソースは重要です。これはあなたが経験している効果があります:WS2k12は$ Random_issuing_authorityという名前を持っているからといって証明書を信頼しないので、証明書を検証できる必要があります。

1
James Gugelstuphukenmuch Moore

同じ問題がありましたが、私の解決策は、dovecotが使用するメールサーバーの.crtファイルと.keyファイルを更新することでした。メールのExim4には更新された証明書/キーセットがありましたが、dovecotはまだ古い証明書/キーセットを指しています。

古い証明書とキーのペアはほとんどの状況で正常に機能しましたが、Outlook.comやMS Outlook 2013では機能しませんでした。

Outlook.comの問題により、最近exim4証明書がアップグレードされました。現在、dovecot(およびWebメールサーバー)も新しい証明書(およびキー)ファイルを使用しています。メールサーバー自体も最近アップグレードされました[古いDebian squeeze-ltsからwheezyへ]。古い設定は古い証明書/キーセットで問題なく機能しましたが、アップグレード後、前に新しい証明書/キーセットを作成する必要がありました。 MS製品はメールサーバーで適切に動作します。

0
Andrew McGlashan

問題は、リソースにどのようにアクセスしたかです。ローカルネットワークでは、完全なドメイン名の代わりにホスト名を使用する場合があります。ただし、証明書は完全なドメイン名に対して発行されます。

0
puffel