MS 憑證服務可以從屬於使用 OpenSSL 建立的 CA

Question 1

是的，它工作得很好； Windows 憑證授權單位對於作為非 Windows 根的下屬運作沒有任何疑慮。

在企業模式下使用 OpenSSL 根和 Windows 2008 R2 從屬系統進行測試。

有幾件事可以很好地滿足 MS CA 在 OpenSSL 配置中的期望：

有效的 AIA 和 CDP 位置應適用於根證書，位於自簽名根部分x509_extensions的屬性配置的部分。[req]沿著這些思路：

authorityInfoAccess = caIssuers;URI:http://test-rootca.test.local/root.pem
crlDistributionPoints = URI:http://test-rootca.test.local/root.crl

預設情況下，給定的 OpenSSL 設定可能不允許從屬 CA。更改簽名請求的設定（當然，對於不應該是 CA 的請求，請確保此設定不適用）。這將位於由x509_extensions該部分的屬性配置的部分中[ca]：
```
basicConstraints=CA:TRUE
certificatePolicies=2.5.29.32.0
```

所以，我們會做一個CA來測試。

讓你的根：

openssl req -new -x509 -keyout /etc/ssl/private/root.key -out /etc/ssl/certs/root.pem -nodes -extensions v3_ca

修改您的配置並在[ca]OpenSSL 設定部分建立必要的檔案和目錄。

一切準備就緒，讓微軟方面的工作順利進行；建立具有手動簽署的 Windows 從屬 CA。

將憑證請求上傳到 OpenSSL 伺服器。在此過程中，下載根憑證。將其導入電腦的受信任根儲存中，而不是您的使用者！

頒發從屬證書：

openssl ca -in test-subca.req
(you might need to specify a permissive policy manually with -policy, check your config)

如果這不起作用，您的 CA 可能有設定問題 - 新的憑證目錄、索引檔案、序列檔案等。

如果它去了，那就這樣了。如果還沒有，請建立一個 CRL 並將其放入您上面配置的 CDP 中；我剛剛安裝了 Apache 並將其卡在 webroot 中：

openssl ca -gencrl -out /var/www/root.crl

並將您的證書放入 AIA 位置（如果尚未放置）：

cp /etc/ssl/certs/root.pem /var/www/root.pem

下載新頒發的從屬憑證並使用憑證授權單位 MMC 管理單元將其安裝到 CA。它會抱怨任何信任或驗證方面的問題，但它在道德上並不反對接受它。

最終結果;一個正常工作的 Windows CA，企業 PKI 管理單元不會發出任何抱怨，並且OpenSSL Generated Certificate在屬性中具有洩漏資訊的功能。

工作CA

Answer