Ya, itu berfungsi dengan baik; otoritas sertifikat Windows tidak ragu menjalankannya sebagai bawahan dari root non-Windows.
Diuji dengan root OpenSSL dan bawahan Windows 2008 R2 dalam mode Perusahaan.
Beberapa hal yang dapat dilakukan dengan baik dengan apa yang diharapkan MS CA di konfigurasi OpenSSL:
Lokasi AIA dan CDP yang valid harus berlaku untuk sertifikat root, di bagian yang dikonfigurasi oleh x509_extensions
properti [req]
bagian untuk root yang ditandatangani sendiri. Sesuatu di sepanjang garis ini:
authorityInfoAccess = caIssuers;URI:http://test-rootca.test.local/root.pem
crlDistributionPoints = URI:http://test-rootca.test.local/root.crl
Konfigurasi OpenSSL yang diberikan mungkin tidak mengizinkan CA bawahan secara default. Ubah itu untuk permintaan yang ditandatangani (pastikan ini tidak ada untuk permintaan yang seharusnya bukan CA, tentu saja). Ini akan berada di bagian yang dikonfigurasikan oleh x509_extensions
properti [ca]
bagian:
basicConstraints=CA:TRUE
certificatePolicies=2.5.29.32.0
Jadi, kami akan melakukan CA untuk menguji.
Buat root Anda:
openssl req -new -x509 -keyout /etc/ssl/private/root.key -out /etc/ssl/certs/root.pem -nodes -extensions v3_ca
Biasakan konfigurasi Anda dan buat file dan direktori yang diperlukan di [ca]
bagian konfigurasi OpenSSL Anda.
Semua siap untuk membuat sisi Microsoft segalanya berjalan; membuat CA bawahan Windows dengan penandatanganan manual.
Unggah permintaan sertifikat ke server OpenSSL. Saat Anda melakukannya, unduh sertifikat root. Impor ke toko root tepercaya - komputer, bukan pengguna Anda!
Keluarkan sertifikat bawahan:
openssl ca -in test-subca.req
(you might need to specify a permissive policy manually with -policy, check your config)
Jika itu tidak berhasil, CA Anda mungkin memiliki masalah dengan config - direktori sertifikat baru, file indeks, file seri, dll. Periksa pesan kesalahan.
Jika itu pergi, maka itu saja. Jika belum, buat CRL dan masukkan ke CDP yang Anda konfigurasi di atas; Saya baru saja menginstal Apache dan menghentikannya di webroot:
openssl ca -gencrl -out /var/www/root.crl
Dan letakkan sertifikat Anda di lokasi AIA, jika belum:
cp /etc/ssl/certs/root.pem /var/www/root.pem
Unduh sertifikat bawahan yang baru dikeluarkan dan instal ke CA dengan snap-in MMC Otoritas Sertifikasi. Itu akan mengeluh tentang masalah apa pun dengan kepercayaan atau validasi, tetapi tidak memiliki keberatan moral untuk mengambilnya.
Hasil akhir; Windows CA yang berfungsi tanpa mengeluh dari snap-in Enterprise PKI, dengan tanda OpenSSL Generated Certificate
pada atribut.