使用Chrome或IE导入到windows Certmgr.msc的自签名证书(CA)不起作用

Question

使用Openssl，我生成了自己的CertificateAuthority ( CA )，并使用这个CA生成了自签名的服务器证书和密钥。此服务器证书和密钥用于配置Apache代理和Tomcat服务器，这些服务器成功启动，我能够加载应用程序UI并按预期工作(所有功能都很好)

现在，由于它是一个自签名的服务器证书，所以浏览器URL窗格每次都会显示证书错误/不安全。我尝试使用chrome或IE将此证书导入到我的windows 受信任根证书颁发机构存储中。证书导入成功。查看(certmgr.msc)中的证书时，Windows表示它“没有足够的信息来验证此证书”。查看证书路径时，唯一显示的证书是证书本身(带有黄色感叹号)，证书状态指示：“找不到证书的颁发方”，并检查证书名称，我发现服务器证书不是CA证书，而是导入了服务器证书。虽然我可以在certmgr.msc上看到证书，但在浏览器上导入的证书甚至不显示在受信任的根证书颁发机构下。公共名称(CN)、SubjectAlternativeName (SAN)等都如我所期望的那样存在，因为我知道它们很重要。

在我从浏览器单独手动导入CA证书(我已经拥有)之后，UI将像预期的那样加载绿色挂锁。

我在网上查看了一些建议，我可以看到很多线程都存在，比如this0、this1、this2 this3、this4、this5，而没有太多的帮助。如果没有任何手动的CA证书导入，他们都没有解决这个导入问题。

我遗漏了什么？在浏览器证书导入时，为什么要导入服务器证书而不是CA证书？

如何导入直接从服务器证书读取的CA证书？我们应该手动安装CA证书吗？如果是，那么当我试图从系统外部访问应用程序(远程系统浏览器)时，如何在远程计算机上导入此CA证书？帮帮忙吧。

Answer 1

最后，我想出了解决这个问题的办法。在这里回答我自己的问题，这样可以帮助其他面临同样问题的人。

最初，您生成自己的CA和和服务器私钥，然后使用该CA对服务器证书进行签名。我们使用的是Apache代理服务器，在配置中以及SSLCertificateFile中，需要将SSLCACertificateFile设置为CA证书。在浏览器中加载URL时，将显示“证书错误”或“不安全”。单击导入证书时，在“证书详细信息”下，您将看到CA证书后面跟着服务器证书。单击此处可将CA证书本地保存到受信任根证书颁发机构(保存CA和而不是服务器证书)，以便您可以安装此CA (我们创建的证书)，并且一旦CA证书成功导入，该连接将在地址栏中显示为安全的绿色挂锁。这可以通过本地或任何访问URL的远程机器来完成。

在此之后，我们新生成并由该CA签名的所有证书都将被信任。