Mengapa Windows 2012 R2 tidak mempercayai sertifikat yang saya tandatangani sendiri?

Dalam lingkungan pengujian, saya saat ini sedang terhambat dari pengujian beberapa hal yang perlu segera dikerahkan (sebenarnya sudah, tetapi Anda tahu bagaimana tenggat waktu pergi ...) karena Windows menolak untuk mempercayai sertifikat yang ditandatangani sendiri yang kami miliki di kami lingkungan pengujian terisolasi. Meskipun saya hanya bisa melangkah ke samping masalah dengan sertifikat "nyata" dan beberapa trik DNS, untuk alasan keamanan / kompartementalisasi saya tidak mengatakan sertifikat.

Saya mencoba untuk terhubung ke server email berbasis Linux bernama Zimbra; itu menggunakan sertifikat OpenSSL yang ditandatangani sendiri yang dibuat secara otomatis. Sementara halaman yang muncul di Google merujuk secara khusus ke situs web IIS dengan sertifikat yang ditandatangani sendiri oleh IIS, saya tidak berpikir metode menghasilkannya benar-benar penting.

Menurut instruksi yang saya temukan di sini dan di sini , ini seharusnya menjadi masalah sederhana dengan menginstal sertifikat ke toko Otoritas Sertifikasi Rumput Akar Terpercaya komputer lokal. Yang telah saya lakukan, juga secara manual menyalin sertifikat dan mengimpornya langsung melalui snap-in MMC. Logout dan reboot tidak mengubah apa pun.

Inilah kesalahan sertifikat yang saya dapatkan setiap kali:

Dan inilah Jalur Sertifikasi (spoiler: itu hanya sertifikat itu sendiri):

Akhirnya, inilah sertifikat yang tersimpan dengan aman di toko sertifikat komputer lokal, persis seperti instruksi yang saya temukan mengatakan seharusnya:

Instruksi ini secara khusus merujuk Vista (well, yang kedua tidak menyebutkan OS) dan IIS, sementara saya menggunakan Server 2012 R2 yang terhubung ke server berbasis Linux; ada beberapa perbedaan dalam panduan impor (seperti saya memiliki opsi untuk mengimpor untuk pengguna saat ini atau sistem lokal, meskipun saya sudah mencoba keduanya), jadi mungkin ada sesuatu yang berbeda yang harus saya lakukan di sini? Pengaturan di suatu tempat yang belum saya temukan yang harus diubah untuk membuatnya benar-benar mempercayai sertifikat yang sudah saya perintahkan untuk dipercaya?

Apa cara yang benar untuk membuat Windows Server 2012 R2 mempercayai sertifikat yang ditandatangani sendiri?

Kesalahan yang Anda terima bukan karena bukan sertifikat root tepercaya, tetapi tidak dapat memverifikasi rantai ke sertifikat tepercaya. Jika ada bagian dari rantai rusak, tidak dipercaya, atau hilang, Anda akan menerima kesalahan seperti itu. Kesalahan yang saya dapatkan dengan root yang tidak dapat dipercaya dan ditandatangani sendiriapakah ini: Sertifikat root CA ini tidak tepercaya. Untuk mengaktifkan kepercayaan, instal sertifikat ini di toko Otoritas Sertifikasi Root Tepercaya. Tetapi bagi Anda, katanya tidak dapat memverifikasi hingga sertifikat root tepercaya. Ini mungkin bahwa selama proses penandatanganan sendiri, Anda mungkin telah memberi tahu openssl untuk menandatangani sertifikat dengan root yang berbeda (bukan self-sign), atau itu mungkin belum ditetapkan sebagai root CA. Jika ini yang pertama, Anda harus memercayai root yang sudah ditandatanganinya. Jika itu yang terakhir, itu masalah pengaturan beberapa properti di openssl.conf.

dari apa yang saya bisa kerjakan Anda perlu menambahkan zmaster sebagai sumber Tepercaya CA karena otoritas penerbitan, WS2k12 sedang mencoba memverifikasi sertifikat terhadap host yang tidak tahu apa-apa tentang itu. Anda benar karena metode pembuatannya tidak penting tetapi sumber yang dapat diverifikasi itu. Ini memiliki efek yang Anda alami: bahwa WS2k12 tidak mempercayai sertifikat hanya karena memiliki nama $ Random_issuing_authority, ia harus dapat memverifikasi sertifikat.

Saya memiliki masalah yang sama, ternyata solusi saya adalah memperbarui file .crt dan .key untuk server mail seperti yang digunakan oleh dovecot. Exim4 pada surat memiliki set cert / key yang diperbarui, tetapi dovecot masih menunjuk ke set cert / key yang lama.

Pasangan sertifikat / kunci yang lama berfungsi dengan baik pada sebagian besar situasi, tetapi tidak dengan outlook.com atau dengan MS Outlook 2013.

Masalah dengan outlook.com menyebabkan saya memutakhirkan sertifikat exim4 baru-baru ini - sekarang dovecot [dan server webmail] juga menggunakan file cert (dan kunci) baru. Server e-mail itu sendiri juga baru-baru ini ditingkatkan [dari squeeze-lts Debian lama ke wheezy], setup lama baik-baik saja dengan set sertifikat / kunci lama, tetapi setelah upgrade, saya perlu membuat set sertifikat / kunci baru sebelum Produk MS akan berfungsi dengan baik dengan server mail.

Saya pikir masalahnya adalah bagaimana Anda mengakses sumber daya. Untuk jaringan lokal Anda, Anda mungkin menggunakan nama host alih-alih nama domain lengkap. Namun, sertifikat Anda dikeluarkan terhadap nama domain lengkap.

Instal sertifikat ke Otoritas Sertifikasi Root Tepercaya dan Penerbit Tepercaya.