Как с openssl выпустить сертификат CA, чтобы он автоматически импортировался в Доверенные корневые центры сертификации?

Question

krosh @krosh

Как с openssl выпустить сертификат CA, чтобы он автоматически импортировался в Доверенные корневые центры сертификации?

Для генерации самоподписанных сертификатов используем openssl.

Пользователи сами импортируют сертификат в систему и иногда ошибаются хранилищем.

Хочется генерировать сертификат CA так, что бы при его импорте в Windows, пользователю не приходилось выбирать хранилище и при этом он устанавливался в "Доверенные корневые центры сертификации" (пользователя или системы это не сильно важно сейчас).

Тот сертифкат, которым пользуемся сейчас, автоматически импортируется в хранилище "Промежуточные центры сертификации" и после этого личные сертификаты считаются недоверенными.

UPD1. Суть вопроса в том, как понять логику стандартного мастера импорта сертификатов в Windows? На основании каких полей и свойств сертификата он определяет хранилище?

Вопрос задан более трёх лет назад
662 просмотра

Комментировать

Подписаться 2 Оценить Комментировать

Пригласить эксперта

Ответы на вопрос 3

2 комментария

3 комментария

krosh @krosh Автор вопроса

Почему стандартный мастер импорта сертификатов не сможет этого сделать? Не умеет или там другая логика, которую не умеет openssl?

Написано более трёх лет назад
Максим Гришин @vesper-bot

krosh: ЕМНИП не умеет именно автоматически выбрать. В параметрах ему можно указать, в какой контейнер импортировать, для этого понадобится батник. А так - сертификат является вообще корневым как таковой? Если нет, то и нечего ему по факту делать в корневых, поэтому логика и запихивает его в intermediate. Если да, то вообще-то странно, но если вы проверили, и именно этот сертификат импортируется криво, проще написать батник, чем маяться с разгадкой, почему он падает не в тот контейнер.

Написано более трёх лет назад
krosh @krosh Автор вопроса

Максим Гришин: сертификат является именно корневым и если руками его ставить в правильное хранилище, то потом сертификаты пользователей правильно работают и система им доверяет, все как и нужно. Какие поля в сертификате отвечают за его тип, есть такие?

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Компьютерные сети

+2 ещё

Средний
Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?
- 1 подписчик
- вчера
- 97 просмотров
2

ответа
Цифровые сертификаты

Простой
Как обновить сертификат через certbot (--manual)?
- 1 подписчик
- вчера
- 31 просмотр
2

ответа
Linux

+1 ещё

Простой
Как сделать автоматическую проверку работоспособности и рестарт Apache и Mariadb в случае падения?
- 1 подписчик
- 17 апр.
- 100 просмотров
2

ответа
PostgreSQL

+2 ещё

Простой
Где искать рекомендуемые настройки SSL-аутентификации для Docker-образа Posgres?
- 1 подписчик
- 17 апр.
- 59 просмотров
3

ответа
Цифровые сертификаты

+1 ещё

Средний
Какой SSL-сертификат лучше использовать для стэйджинга?
- 2 подписчика
- 17 апр.
- 112 просмотров
2

ответа
Windows

+1 ещё

Средний
Как открыть экранную клавиатуру в режиме киоска?
- 1 подписчик
- 15 апр.
- 152 просмотра
1

ответ
Системное администрирование

+1 ещё

Простой
Какое можно использовать клиент-серверное приложение видеоконференции p2p?
- 1 подписчик
- 15 апр.
- 64 просмотра
1

ответ
Системное администрирование

+1 ещё

Простой
На каком виртуальном сервере процессор мощнее?
- 1 подписчик
- 14 апр.
- 192 просмотра
3

ответа
Windows

+1 ещё

Простой
Как настроить Windows под гостевой компьютер общего пользования?
- 3 подписчика
- 12 апр.
- 926 просмотров
5

ответов
Системное администрирование

+1 ещё

Простой
Есть централизованный Касперский, как блокировать определенные приложения?
- 1 подписчик
- 12 апр.
- 114 просмотров
3

ответа
Показать ещё Загружается…

Инженер по системному администрированию

Деловая среда от Сбербанка • Москва

До 209 000 ₽

Системный администратор (инженер) 🚀

Хабр • Москва

от 140 000 ₽

Системный администратор

Глобал Смарт Системс • Санкт-Петербург

от 100 000 до 120 000 ₽

Исправить адаптивную верстку на Tilda Zero Block

20 апр. 2024, в 06:39

4000 руб./за проект

Доработка аддона для Xenforo v2.2.13

20 апр. 2024, в 06:06

200 руб./за проект

Привязка к Маркетплейсам 1С Розница 2.3

20 апр. 2024, в 05:26

10000 руб./за проект

Answer 1 · 2017-08-22 10:10:02

chupasaurus @chupasaurus

Сею рефлекторное, злое, временное

Командлет Import-Certificate

Ответ написан более трёх лет назад

2 комментария

Answer 2 · 2017-08-22 10:32:18

Автоматом именно ручной импорт не выйдет, а вот групповой политикой - выйдет. Нет групповой политики - пишите к нему батник для импорта.

Answer 3 · 2017-10-05 09:48:23

Если ПК не в домене АД, то импортировать серитификаты можно с помощью утилиты certutil.exe (в архиве 2 версии утилиты, эта утилита входит в состав CryptoPro и WindowsSDK)

certutil.exe -f -user -addstore Root myROOTcertFile.cer

или

certutil.exe -f -user -addstore CA myCAcertFile.cer

Как с openssl выпустить сертификат CA, чтобы он автоматически импортировался в Доверенные корневые центры сертификации?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт