Так, це працює чудово; авторизація сертифіката Windows не має жодних труднощів щодо того, що він працює як підлеглий корінь, який не є Windows.
Тестовано з коренем OpenSSL та підпорядкованим Windows 2008 R2 у режимі Enterprise.
Кілька речей, які можуть грати добре з тим, що очікує MS CA у конфігурації OpenSSL:
Дійсні місця AIA та CDP повинні застосовуватися до кореневого сертифіката у розділі, налаштованому x509_extensions
властивістю [req]
розділу для самопідписаного кореня. Щось у цьому напрямку:
authorityInfoAccess = caIssuers;URI:http://test-rootca.test.local/root.pem
crlDistributionPoints = URI:http://test-rootca.test.local/root.crl
Даний конфігурація OpenSSL, ймовірно, не дозволяє за замовчуванням підпорядковувати ЦС. Змініть це для підписаних запитів (переконайтеся, що це не місце для запитів, які, звичайно, не повинні бути КА). Це буде в розділі, налаштованому x509_extensions
властивістю [ca]
розділу:
basicConstraints=CA:TRUE
certificatePolicies=2.5.29.32.0
Отже, ми зробимо ЦА для тестування.
Зробіть свій корінь:
openssl req -new -x509 -keyout /etc/ssl/private/root.key -out /etc/ssl/certs/root.pem -nodes -extensions v3_ca
Поспіліть із конфігурацією та створіть необхідні файли та каталоги в [ca]
розділі вашого конфігурації OpenSSL.
Все готово для того, щоб перейти на сторону дій Майкрософт; створити підпорядкований ОС Windows з підписанням вручну.
Завантажте запит на сертифікат на сервер OpenSSL. Поки ви працюєте над цим, завантажте кореневий сертифікат. Імпортуйте його в магазин надійних коренів - комп’ютера, а не вашого користувача!
Видайте підлеглому сертифікат:
openssl ca -in test-subca.req
(you might need to specify a permissive policy manually with -policy, check your config)
Якщо це не спрацювало, у Вашого ЦА, ймовірно, є проблема з конфігурацією - новий каталог certs, файл індексу, послідовний файл тощо. Перевірте повідомлення про помилку.
Якщо пішло, то це все. Якщо ви цього не зробили, створіть CRL і вставте його в CDP, який ви налаштували вище; Я щойно встановив Apache і заклинив його в webroot:
openssl ca -gencrl -out /var/www/root.crl
І поставте свій сертифікат у місце AIA, якщо його ще немає:
cp /etc/ssl/certs/root.pem /var/www/root.pem
Завантажте нещодавно виданий підлеглий сертифікат та встановіть його до КА за допомогою оснащення Центру сертифікації MMC. Він буде вирішувати будь-які проблеми з довірою чи підтвердженням, але не має моральних заперечень проти цього.
Кінцевий результат; працюючий ОС Windows без скарг на оснащення Enterprise PKI, з OpenSSL Generated Certificate
атрибутами, що повідомляють.