使用pkcs -certfile包装到底是做什么的？

Question

我一直在使用openssl pkcs12命令将我的证书/密钥打包到Windows 8上，

openssl pkcs12 -export         \
    -in win8client-cert.pem    \
    -inkey win8client-key.pem  \
    -certfile ca-cert.pem      \
    -out win8client.p12                                                                                                                           

然而，我并不完全清楚它的作用。如果我给它提供-certfile，为什么证书文件也必须手动安装在主机上(一个Windows8框)？当我获取.p12并解压仙人掌(在Windows上使用证书MMC )时，我可以在主机上安装它，一切都正常。

为什么不能从.p12中获得CA证书(据我理解，这只是一种打包格式)。

Answer 1

当导入PKCS#12文件时，证书MMC将所有证书放在Personal/Certificates文件夹中，甚至是CA证书。问题是CA证书必须位于受信任的根证书颁发机构/证书文件夹中，才能在证书链验证中实际用作根。因此，如果您在导入PKCS#12容器后手动将证书移动到该文件夹，则一切都应按预期工作。