Configuré una CA raíz e intermedia usando MS2012. Encontré un error al acceder al servidor web Apache utilizando el certificado SSL emitido por la CA.
El error es "Los atacantes podrían estar intentando robar su información de 192.168.56.74". He seguido la guía de configuración SSL de Apache para agregar lo siguiente en ssl.conf SSLCertificateChainFile /root/ssl/elabCA.pem
El siguiente mensaje se muestra en Avance desde el navegador Chrome. 192.168.56.74 normalmente utiliza cifrado para proteger su información. Cuando Google Chrome intentó conectarse a 192.168.56.74 esta vez, el sitio web devolvió credenciales inusuales e incorrectas.
¿Alguien encontró esto antes? Agradezco que pueda compartir algunas sugerencias, ya sean causadas por la configuración de Apache o la configuración de CA. Puedo compartir la información del certificado usando openssl x509 -text -noout -in xx.cer
Respuesta1
Puede crear todas las CA raíz e intermedia y emitir certificados a partir de ellas para sus servidores todo el día... pero el navegador que utiliza para conectarse a esos servidores no confiará en esos certificados hasta que se le indique explícitamente que lo haga.
Debe importar la CA raíz al almacén raíz confiable del cliente/navegador o hacer que una CA pública firme el certificado del servidor; es decir, uno que ya está en el almacén raíz de confianza de su cliente/navegador.
Si se trata de un sitio público, puede obtener certificados firmados gratuitos en los que confían la mayoría de los navegadores desde letsencrypt.org. Si esto es para un sitio interno, y normalmente lo verán los usuarios de las PC que usted administra a través de un controlador de dominio, puede enviarles su CA raíz a través de la política de dominio.