Windows检测证书作为根证书颁发机构

Question

问:如何让Windows检测适合安装在“受信任的根证书颁发机构”中的证书？

背景:我正在构建一个内部站点，希望用户能够下载服务器的根证书，并将其作为“受信任的根证书颁发机构”安装在他们的Windows证书信任商店中。当用户打开证书文件时，他们到达常规证书检查屏幕。

​

​

然后，用户可以单击“安装证书”，然后选择“根据证书类型自动选择证书存储”。

不可避免地，选择此选项将证书安装到“中级证书颁发机构”，而不是“受信任的根证书颁发机构”。

​

​

根证书以自签名根证书的形式在OpenSSL中生成.openssl x509报告：

X509v3 extensions: X509v3 Basic Constraints: critical CA:TRUE, pathlen:1

如果Windows出于安全原因禁止以这种自动方式将证书安装为受信任的根证书颁发机构，我不会感到惊讶，但我只是在Microsoft或MSDN站点上找不到任何说明其“自动选择”工作方式的文档。如有任何澄清，将不胜感激。

Answer 1

如果Windows出于安全原因禁止以这种自动方式将证书安装为受信任的根证书颁发机构，我不会感到惊讶，但我只是在Microsoft或MSDN站点上找不到任何说明其“自动选择”工作方式的文档。

你遇到过确切的问题。Microsoft不允许用户自动在受信任的根CA存储中自动安装CA证书。您应该指示用户在适当的存储中安装此证书。

附注：我完全不喜欢你分发根证书的方式。用户如何知道这是您的证书？他们怎么知道你不会冒充其他网站？整个想法看上去很糟糕。如果有许多客户端，那么我建议从商业提供商那里购买最便宜的SSL证书。