Как создать сертификат подписанный своим СА в windows?

Создаю сертификат подписанный собственным СА сертификат
Задача подписать PDF и xls файлы используя свой доверительный центр
Работает но не  подходит поскольку говорит что сертификат недоверительный
openssl genrsa -out C:\certificate\rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -days 365 -out C:\certificate\rootCA.crt
openssl genrsa -out C:\certificate\server101.mycloud.key 4096
openssl req -new -key server101.mycloud.key -out server101.mycloud.csr
openssl x509 -req -in server101.mycloud.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out server101.mycloud.crt -days 365

Так же как я понял винде нужен другой формат сертификата
openssl pkcs12 -export -inkey server101.mycloud.key  -in server101.mycloud.crt -name my_name -out final_result.pfx
5ac2002d3ae0a699359049.png
Что не так ?
  • Вопрос задан
  • 1131 просмотр
Решения вопроса 4
SagePtr
@SagePtr
Еда - это святое
"Этот сертификат недействителен для данного назначения". К примеру, у вас он для проверки подлинности сервера, а вы его применяете для подписи кода.
Ответ написан
shambler81
@shambler81 Автор вопроса
5ac2355eb4be7287373380.png
Все вроде ок, но не понятно почему появляется ошибка ;(
Ответ написан
Комментировать
akelsey
@akelsey
CRL (Certificate revocation list) он найти не может. Когда вы подписываете сертификат своим рутовым - то он прописывает URL CRL. Вот система и не может его найти. О чем вам и пишут черным по желтому.
Ответ написан
Комментировать
CityCat4
@CityCat4 Куратор тега Цифровые сертификаты
Внимание! Изменился адрес почты!
CRL найти не может. В сертификате имеется запись CDP (CRL Distribution Point), указывающая либо на урл с файлом crl, либо на OCSP. Но при проверке статуса CRL проверяющая система не смогла его получить, чтобы проверить тот факт, что сертификат не отозван.
Тут надо либо обеспечить доступность CRL по задаваемой ссылке, либо ссылку на CRL тупо убрать. Правда, с "убрать" лучше поосторожнее - некоторые программы настолько глухо на CRL завязаны, что получив сертификат без CDP, не признают его за сертификат :)
UPD: Винда прекрасно переваривает CSR, созданные на линухе и прекрасно генерит сертификаты по этим CSR. Но вот PKCS#12 я предпочитаю все равно на линухе сворачивать :)
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы