Perché Windows 2012 R2 non si fida del mio certificato autofirmato?

9

In un ambiente di test, attualmente sono trattenuto dal test di alcune cose che devono essere implementate presto (in realtà già, ma sai come vanno le scadenze ...) perché Windows si rifiuta di fidarsi del certificato autofirmato che abbiamo nel nostro ambiente di test isolato. Mentre potrei solo affrontare il problema con il certificato "reale" e alcuni trucchi DNS, per motivi di sicurezza / compartimentazione non ho detto certificato.

Sto tentando di connettermi a un server di posta elettronica basato su Linux chiamato Zimbra; utilizza un certificato OpenSSL autofirmato generato automaticamente. Mentre le pagine che Google ha creato si riferiscono in particolare ai siti Web IIS con certificati autofirmati IIS, non credo che il metodo di generazione sia effettivamente importante.

Secondo le istruzioni che ho trovato qui e qui , questa dovrebbe essere una semplice questione di installazione del certificato nell'archivio dell'autorità di certificazione radice Trusted del computer locale. Cosa che ho fatto, oltre a copiare manualmente il certificato e importarlo direttamente tramite lo snap-in MMC. Disconnessioni e riavvii non cambiano nulla.

Ecco l'errore del certificato che ottengo ogni volta: inserisci qui la descrizione dell'immagine

Ed ecco il percorso di certificazione (spoiler: è solo il certificato stesso): inserisci qui la descrizione dell'immagine

Infine, ecco il certificato nascosto in modo sicuro nell'archivio certificati del computer locale, esattamente come le istruzioni che ho trovato dicono che dovrebbero essere: inserisci qui la descrizione dell'immagine

Queste istruzioni fanno riferimento in particolare a Vista (bene, il secondo non menziona il sistema operativo) e IIS, mentre sto usando Server 2012 R2 per la connessione a un server basato su Linux; ci sono alcune differenze nella procedura guidata di importazione (come la mia ha la possibilità di importare per l'utente corrente o il sistema locale, anche se ho provato entrambi), quindi forse c'è qualcosa di diverso che devo fare qui? Un'impostazione da qualche parte non ho trovato che deve essere cambiata per renderlo davvero affidabile per il certificato di cui ho già detto di fidarsi?

Qual è il modo corretto per rendere Windows Server 2012 R2 un certificato autofirmato?

ssl-certificate windows-server-2012-r2 certificate

— Kromey
fonte

Impossibile riprodurre il problema. Se si utilizza "Crea un certificato autofirmato" di IIS e si sceglie di installarlo nell'archivio personale (anche provato l'archivio di hosting Web), non vi è alcun problema. Come hai creato il certificato? Da IIS o dallo snap-in MMC dell'Autorità di certificazione?

Hai provato a selezionare esplicitamente l'archivio di destinazione (importandolo dalla console mmc)?

— JoaoCC,

@SujaySarma Non è per un sito Web IIS, ma per un'applicazione Linux chiamata Zimbra. È un certificato autofirmato OpenSSL.

— Kromey,

@ user1703840 Sì, ho specificato esplicitamente l'archivio di destinazione, oltre a consentire a Windows di selezionarlo automaticamente, tramite MMC e la procedura guidata di importazione certificati in IE. Stessi risultati in entrambi i casi, che è nessuno.

— Kromey,

Eh? Da dove viene Linux? Tutta la tua domanda e i collegamenti che hai pubblicato (compresi i tuoi screenshot) riguardano Windows Server 2012 R2 e IIS. Si prega di precisare.

1

L'errore che ricevi non è che non è un certificato radice attendibile, ma che non è in grado di verificare la catena fino a un certificato attendibile. Se qualsiasi parte della catena è rotta, non attendibile o mancante, si riceverà un tale errore. L'errore che ottengo con una radice non attendibile e autofirmataè questo: questo certificato radice CA non è attendibile. Per abilitare l'attendibilità, installare questo certificato nell'archivio Autorità di certificazione radice attendibili. Ma per te, dice che non può verificare fino a un certificato radice attendibile. È possibile che durante il processo di autofirmazione, sia possibile che sia stato detto a openssl di firmare il certificato con una radice diversa (non autofirmata) o che non sia stato impostato come CA principale. Se è il primo, devi invece fidarti della radice con cui è stato firmato. Se è quest'ultimo, si tratta di impostare alcune proprietà in openssl.conf.

— flashbang
fonte

Le schermate mostrano che il certificato è installato nella CA radice attendibile e mostrano anche che l'intera catena è il certificato stesso: è la radice e pertanto essere nella CA radice attendibile dovrebbe essere sufficiente. La domanda è: perché no?

— Kromey,

Sto dicendo che potrebbe non essere il root, non che non sia stato aggiunto al negozio di root attendibile. L'errore è ciò che è strano al riguardo - non dovrebbe dire che non può verificarlo fino a una CA fidata, se si suppone che sia una CA - motivo per cui sto suggerendo che in realtà non è una radice, ma ha firmato con un altro certificato.

— flashbang,

prova a eseguire questo comando nella casella in cui stai cercando di ottenere il certificato per: openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 30 -sha256 -nodese importando quel certificato nell'archivio della CA principale attendibile. (oltre a configurarlo per essere il certificato e la chiave usati da Zimbra, ovviamente).

— flashbang,

Oh, capisco cosa intendi. Scusate ho frainteso. Ma se non è il root, non dovrebbe essere visualizzato nella finestra Percorso certificazione? In ogni caso, sfortunatamente, non posso davvero testarlo ulteriormente - sono riuscito a ottenere il nostro certificato legittimo e insieme a un po 'di hacking nel hostsfile ha funzionato in quel modo.

— Kromey,

Il certificato proviene da una CA principale, in base alla schermata. Se guardi i dettagli del certificato per idp.godaddy.com viene presentato l'intero percorso e puoi usarlo come confronto. Se si esaminano le proprietà del certificato in MMC, include l'autenticazione del server ai fini del certificato? (Fare clic con il tasto destro del mouse sul certificato nella seconda schermata e selezionare Proprietà).

— John Auld,

1

da quello che posso capire è necessario aggiungere zmaster come CA di origine attendibile poiché si tratta dell'autorità di emissione, WS2k12 sta cercando di verificare il certificato su un host di cui non sa nulla. Hai ragione nel dire che il metodo di generazione non è importante ma è una fonte verificabile. Questo ha l'effetto che stai riscontrando: che WS2k12 non si fida di un certificato solo perché ha un nome di $ Random_issuing_authority, deve essere in grado di verificare il certificato.

— James Gugelstuphukenmuch Moore
fonte

Si tratta di un certificato autofirmato: inserendo il certificato nell'archivio CA della radice attendibile, si confida per definizione nell'emittente.

— Chris McKeown,

A meno che non mi manchi qualcosa, è esattamente quello che ho fatto: vedere il terzo screenshot che mostra il certificato di zmaster all'interno dell'archivio CA della radice attendibile.

— Kromey,

0

Ho avuto lo stesso problema, la mia soluzione è stata quella di aggiornare i file .crt e .key per il server di posta utilizzato da dovecot. Exim4 sulla posta aveva un set di chiavi / certificato aggiornato, ma dovecot stava ancora puntando al vecchio set di chiavi / certificato.

La vecchia coppia cert / key ha funzionato bene con la maggior parte delle situazioni, ma non con outlook.com né con MS Outlook 2013.

Problemi con outlook.com mi hanno fatto aggiornare di recente il certificato exim4 - ora dovecot [e il server webmail] usa anche i nuovi file cert (e chiave). Anche il server di posta stesso è stato recentemente aggiornato [dal vecchio Debian squeeze-lts al wheezy], il vecchio setup andava bene con il vecchio set cert / key, ma dopo l'aggiornamento, avevo bisogno di creare il nuovo set cert / key prima I prodotti MS funzionerebbero correttamente con il server di posta.

— Andrew McGlashan
fonte

0

Penso che il problema sia che come hai avuto accesso alle risorse. Per la tua rete locale, potresti usare il nome host invece del nome di dominio completo. Tuttavia, il certificato viene emesso rispetto al nome di dominio completo.

— puffel
fonte

Questa domanda ha già una risposta accettata.

— BE77Y,

-1

Installa il certificato presso le autorità di certificazione radice attendibili e gli editori attendibili.

— Dimaf
fonte