Windows 2012 R2が自己署名証明書を信頼しないのはなぜですか?

9

テスト環境で、私は現在、すぐに展開する必要があるいくつかのテスト(実際には既にですが、締め切りがどうなるかを知っています...)をためらっています。これは、Windowsが、隔離されたテスト環境。「実際の」証明書といくつかのDNSトリックを使用して問題を回避することはできますが、セキュリティ/コンパートメント化の理由から、証明書は示していません。

Zimbraと呼ばれるLinuxベースの電子メールサーバーに接続しようとしています。自動生成された自己署名OpenSSL証明書を使用しています。Googleが明らかにしたページは、IIS自己署名証明書を備えたIIS Webサイトを特に参照していますが、それを生成する方法は実際には重要ではないと思います。

ここここで見つけ手順によると、これは証明書をローカルコンピュータの信頼されたルート証明機関ストアにインストールするという簡単な問題です。証明書を手動でコピーし、MMCスナップインを介して直接インポートするだけでなく、これを行いました。ログアウトと再起動は何も変更しません。

ここに私が毎回得る証明書エラーがあります: ここに画像の説明を入力してください

そして、これが認定パスです(ネタバレ:証明書そのものです): ここに画像の説明を入力してください

最後に、ここにある証明書は、ローカルコンピュータの証明書ストアに安全に格納されています。 ここに画像の説明を入力してください

Linuxベースのサーバーに接続するServer 2012 R2を使用している間、これらの手順は特にVista(2番目はOSについては触れていません)とIISを参照しています。インポートウィザードにはいくつかの違いがあります(私の場合、現在のユーザーまたはローカルシステム用にインポートするオプションがありますが、両方試してみました)。信頼できると既に言った証明書を本当に本当に信頼できるようにするために変更する必要がある、私が見つけていない場所の設定ですか?

Windows Server 2012 R2に自己署名証明書を信頼させる正しい方法は何ですか?

ssl-certificate  windows-server-2012-r2  certificate 
クロミー
ソース
問題を再現できません。IISの「自己署名証明書の作成」を使用して、それを個人ストア(Webホスティングストアでも試した)にインストールすることを選択した場合、問題はまったくありません。どのようにして証明書を作成しましたか?IISから、または証明機関MMCスナップインから?
宛先ストアを明示的に選択してみましたか(mmcコンソール内からインポート)?
JoaoCC 2014年
@SujaySarma IIS Webサイト用ではなく、Zimbraと呼ばれるLinuxアプリケーション用です。これはOpenSSLの自己署名証明書です。
Kromey
@ user1703840はい、私はMMCとIEの証明書インポートウィザードの両方を使用して、宛先ストアを明示的に指定し、Windowsが自動的にそれを選択できるようにしました。どちらの方法でも同じ結果になりますが、どれもありません。
Kromey
え?Linuxはどこから来たのですか?質問全体と投稿したリンク(スクリーンショットを含む)は、Windows Server 2012 R2とIISに関するものです。どうか明らかにしてください。

回答:

1

受け取ったエラーは、信頼されたルート証明書ではないということではなく、信頼された証明書へのチェーンを検証できないことです。チェーンの一部が壊れている、信頼できない、または欠落している場合、そのようなエラーを受け取ります。信頼できない自己署名ルートで発生するエラーこれは、このCAルート証明書は信頼されていません。信頼を有効にするには、この証明書を信頼されたルート証明機関ストアにインストールします。しかし、あなたのために、それは信頼されたルート証明書まで検証することができないと言います。これは、自己署名プロセス中に、opensslに別のルート(自己署名ではない)で証明書に署名するように指示したか、ルートCAとして設定されていない可能性があります。それが最初の場合は、代わりに署名されたルートを信頼する必要があります。後者の場合は、openssl.confにいくつかのプロパティを設定するだけです。

フラッシュバン
ソース
スクリーンショットは、証明書が信頼されたルートCAにインストールされていること、およびチェーン全体が証明書自体であることを示しています。これはルートであるため、信頼されたルートCAで十分です。問題は、なぜそうではないかということです。
Kromey 2014年
これはルートではないかもしれません。信頼されたルートストアに追加されていないわけではありません。エラーはそれについて奇妙なものです-それがCAであると想定されている場合、信頼できるCAまでそれを検証できないと言ってはいけません-これが、私が実際にはルートではないが、別の証明書。
flashbang 2014年
証明書を取得しようとしているボックスでこのコマンドを実行し、openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 30 -sha256 -nodesその証明書を信頼されたルートCAストアにインポートしてください。(もちろん、それをZimbraが使用する証明書とキーになるように構成します)。
flashbang 14年
ああ、私はあなたの意味を理解しています。すみません、誤解しました。しかし、それがルートでない場合、それが「証明のパス」ウィンドウに表示されるべきではないでしょうか?いずれにせよ、残念ながら、これ以上実際にテストすることはできません-正当な証明書を手に入れることができました。hostsファイルを少しハッキングすることで、そのように機能しました。
Kromey 2014年
スクリーンショットに基づいて、証明書はルートCAからのものです。idp.godaddy.comの証明書の詳細を見ると、パス全体が表示され、それを比較として使用できます。MMCで証明書のプロパティを確認すると、証明書の目的にサーバー認証が含まれていますか?(2番目のスクリーンショットで証明書を右クリックし、プロパティを選択します)。
John Auld、2014年
1

私が解決できることから、zmasterを信頼できるソースCAとして追加する必要があります。これは、発行機関であるため、WS2k12は、何も知らないホストに対して証明書を検証しようとしています。生成方法は重要ではありませんが、検証可能なソースは重要です。これはあなたが経験している効果があります:WS2k12は$ Random_issuing_authorityという名前を持っているからといって証明書を信頼していないので、証明書を検証できる必要があります。

ジェームス・グゲルシュトゥプケンムーチ・ムーア
ソース
これは自己署名証明書です。信頼できるルートCAストアに証明書を配置することにより、定義上、発行者を信頼します。
Chris McKeown 2014年
何か足りない場合を除き、それはまさに私がやったことです-信頼されたルートCAストア内のzmasterの証明書を示す3番目のスクリーンショットを参照してください。
Kromey 2014年
0

同じ問題がありましたが、私の解決策は、dovecotが使用するメールサーバーの.crtファイルと.keyファイルを更新することでした。メールのExim4には更新された証明書/キーセットがありましたが、dovecotはまだ古い証明書/キーセットを指しています。

古い証明書とキーのペアはほとんどの状況で正常に機能しましたが、outlook.comやMS Outlook 2013では機能しませんでした。

outlook.comに問題があったため、最近exim4証明書をアップグレードしました。現在、dovecot(およびWebメールサーバー)も新しい証明書(およびキー)ファイルを使用しています。メールサーバー自体も最近アップグレードされました[古いDebian squeeze-ltsからwheezyへ]。古いセットアップは古い証明書/キーセットで問題なく機能しましたが、アップグレード後、前に新しい証明書/キーセットを作成する必要がありました。 MS製品はメールサーバーで適切に動作します。

アンドリュー・マクグラシャン
ソース
0

問題は、リソースにどのようにアクセスしたかです。ローカルネットワークでは、完全なドメイン名の代わりにホスト名を使用する場合があります。ただし、証明書は完全なドメイン名に対して発行されます。

ふぐ
ソース
この質問にはすでに受け入れられた回答があります。
BE77Y 2016
-1

信頼されたルート証明機関と信頼された発行元に証明書をインストールします。

ディマフ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.