为什么Windows 2012 R2不信任我的自签名证书？

在测试环境中，由于Windows拒绝信任我们拥有的自签名证书，我目前无法进行一些需要尽快部署的事情（实际上已经，但是您知道截止日期如何...）。孤立的测试环境。尽管我可以通过“真实”证书和一些DNS技巧来绕开问题，但是出于安全性/隔离化的原因，我没有提到该证书。

我正在尝试连接到名为Zimbra的基于Linux的电子邮件服务器。它正在使用自动生成的自签名OpenSSL证书。虽然Google专门打开的页面是指具有IIS自签名证书的IIS网站，但我认为生成它的方法实际上并不重要。

根据我在此处和此处找到的说明，这很简单，只需将证书安装到本地计算机的“受信任的根证书颁发机构”存储中即可。我已经完成了这些工作，以及手动复制证书并通过MMC管理单元直接将其导入。注销和重新启动不会更改任何内容。

这是我每次都收到的证书错误：

这是“认证路径”（破坏者：这只是证书本身）：

最后，这是安全存放在本地计算机的证书存储区中的证书，与我发现的说明完全一样：

当我使用Server 2012 R2连接到基于Linux的服务器时，这些说明专门针对Vista（嗯，第二个没有提及OS）和IIS。导入向导中有一些差异（例如，尽管我已经尝试了两者，但我的选项可以为当前用户或本地系统导入），所以也许在这里我需要做些不同的事情吗？我尚未发现的某个设置必须进行更改才能使其真正信任我已经告诉它信任的证书？

使Windows Server 2012 R2信任自签名证书的正确方法是什么？

您收到的错误不是它不是受信任的根证书，而是它不能验证到受信任证书的链。如果链的任何部分损坏，不可信或丢失，您将收到此类错误。我使用不受信任的自签名根获得的错误是这样的：此CA根证书不受信任。要启用信任，请在“受信任的根证书颁发机构”存储中安装此证书。但是对于您来说，它说它不能验证最多受信任的根证书。这可能是因为在自签名过程中，您可能已告诉openssl使用不同的根（不是自签名）对证书进行签名，或者可能尚未将其设置为根CA。如果是第一个，则必须信任与其签署的根。如果是后者，则需要在openssl.conf中设置一些属性。

根据我的判断，您需要将zmaster添加为受信任的源CA，因为这是颁发机构，WS2k12试图针对一无所知的主机验证证书。没错，生成方法并不重要，但可验证的来源很重要。这会产生您所遇到的效果：WS2k12不仅仅因为名称为$ Random_issuing_authority而信任证书，它需要能够验证证书。

我遇到了同样的问题，原来我的解决方案是为dovecot使用的邮件服务器更新.crt和.key文件。邮件中的Exim4具有更新的证书/密钥集，但是dovecot仍指向旧的证书/密钥集。

旧的证书/密钥对在大多数情况下都可以正常工作，但不适用于outlook.com或MS ​​Outlook 2013。

outlook.com的问题导致我最近升级了exim4证书-现在dovecot [和网络邮件服务器]也使用了新的证书（和密钥）文件。邮件服务器本身最近也进行了升级（从旧的Debian squeeze-lts升级到wheezy），旧的设置可以很好地使用旧的证书/密钥集，但是升级之后，我需要在之前创建新的证书/密钥集MS产品可以与邮件服务器正常工作。

我认为问题在于您如何访问资源。对于本地网络，您可以使用主机名而不是完整域名。但是，您的证书是针对完整域名颁发的。

将证书安装到受信任的根证书颁发机构和受信任的发布者。