MS2012 を使用してルート CA と中間 CA を構成しました。CA によって発行された SSL 証明書を使用して Apache Web サーバーにアクセスしたときにエラーが発生しました。
エラーは「攻撃者が192.168.56.74からあなたの情報を盗もうとしている可能性があります」です。Apache SSL構成ガイドに従って、ssl.conf SSLCertificateChainFile /root/ssl/elabCA.pemに以下を追加しました。
Chrome ブラウザの [詳細] に次のメッセージが表示されます。192.168.56.74 は通常、情報を保護するために暗号化を使用します。今回、Google Chrome が 192.168.56.74 に接続しようとしたとき、Web サイトは異常で誤った資格情報を返しました。
以前にこれに遭遇した人はいますか?Apache の設定または CA の設定のどちらが原因か、ヒントを共有していただければ幸いです。openssl x509 -text -noout -in xx.cer を使用して証明書情報を共有できます。
答え1
すべてのルート CA と中間 CA を作成し、それらからサーバーに一日中証明書を発行することはできますが、それらのサーバーに接続するために使用するブラウザーは、明示的に指示されない限り、それらの証明書を信頼しません。
ルート CA をクライアント/ブラウザの信頼されたルート ストアにインポートするか、パブリック CA (つまり、クライアント/ブラウザの信頼されたルート ストアに既に存在するもの) によって署名されたサーバー証明書を取得する必要があります。
これが一般公開サイト用である場合、letsencrypt.org から、ほとんどのブラウザーで信頼される無料の署名付き証明書を入手できます。これが内部サイト用であり、通常はドメイン コントローラーを通じて管理する PC のユーザーが閲覧する場合は、ドメイン ポリシーを通じてルート CA をユーザーにプッシュできます。