是的,它工作正常。Windows证书颁发机构对作为非Windows根的从属身份运行没有限制。
在企业模式下使用OpenSSL根目录和Windows 2008 R2下属进行测试。
MS CA在OpenSSL配置中期望与以下几点配合:
有效的AIA和CDP位置应适用于根证书,在该部分的x509_extensions属性中[req]为自签名根配置了该部分。遵循以下原则:
authorityInfoAccess = caIssuers;URI:http://test-rootca.test.local/root.pem
crlDistributionPoints = URI:http://test-rootca.test.local/root.crl
默认情况下,给定的OpenSSL配置可能不允许从属CA。更改已签名请求的数量(当然,对于那些不应该是CA的请求,请确保该位置不正确)。这将在该部分的x509_extensions属性所配置的[ca]部分中:
basicConstraints=CA:TRUE
certificatePolicies=2.5.29.32.0
因此,我们将进行CA测试。
扎根:
openssl req -new -x509 -keyout /etc/ssl/private/root.key -out /etc/ssl/certs/root.pem -nodes -extensions v3_ca
弄弄您的配置,并在[ca]您的OpenSSL配置部分创建必要的文件和目录。
一切都将推动微软的发展。创建具有手动签名的Windows从属CA。
将证书请求上传到OpenSSL服务器。在使用时,下载根证书。将其导入计算机的可信根存储-而不是您的用户!
颁发下级证书:
openssl ca -in test-subca.req
(you might need to specify a permissive policy manually with -policy, check your config)
如果那不起作用,则说明您的CA可能与配置有关-新的certs目录,索引文件,串行文件等。请检查错误消息。
如果成功了,那么就是这样。如果还没有,请制作一个CRL并将其放入上面配置的CDP中;我刚安装了Apache并将其卡在webroot中:
openssl ca -gencrl -out /var/www/root.crl
如果还没有,请将您的证书放在AIA位置:
cp /etc/ssl/certs/root.pem /var/www/root.pem
下载新发行的从属证书,然后使用证书颁发机构MMC管理单元将其安装到CA。它会处理有关信任或验证的任何问题,但是在道德上并不反对。
最终结果; 正常运行的Windows CA,而Enterprise PKI管理单元没有任何抱怨,并且OpenSSL Generated Certificate属性中有一个提示。
