Pourquoi Windows 2012 R2 ne fait-il pas confiance à mon certificat auto-signé?
Dans un environnement de test, je suis actuellement tenu de tester certaines choses qui doivent être déployées bientôt (déjà déjà, mais vous savez comment les délais vont ...) Parce que Windows refuse de faire confiance au certificat auto-signé que nous avons dans notre environnement de test isolé. Bien que je puisse simplement faire appel à la question avec le certificat "réel" et quelques astuces DNS, pour des raisons de sécurité/compartimentation, je n'ai pas ledit certificat.
Je tente de vous connecter à un serveur de messagerie basé sur Linux appelé Zimbra; Il utilise un certificat openssl auto-signé généré automatiquement. Tandis que les pages Google sont activées spécifiquement se réfèrent spécifiquement à IIS Sites Web avec IIS Certificats auto-signés, je ne pense pas que la méthode de génération de cela compte réellement.
Selon les instructions que j'ai trouvées ici et ici , cela devrait constituer une simple question d'installation du certificat dans le magasin d'autorités de certification de la racine de la racine de l'ordinateur local. Ce que j'ai fait, ainsi que de la copie manuelle du certificat et de l'importer directement via MMC log-in. Les déconnateurs et les redémarrages ne changent rien.
Voici l'erreur de certificat que je reçois à chaque fois: 
Et voici le chemin de certification (spoiler: c'est juste le certificat lui-même): 
Enfin, voici le certificat caché en toute sécurité dans le magasin de certificats de l'ordinateur local, exactement comme les instructions que j'ai trouvées disent qu'ils devraient être: 
Ces instructions font spécifiquement référence à Vista (Eh bien, la seconde ne mentionne pas le système d'exploitation) et IIS, tandis que j'utilise Server 2012 R2 Connexion à un serveur Linux; Il existe certaines différences dans l'assistant d'importation (comme la mine a la possibilité d'importer pour l'utilisateur ou du système local actuel, même si j'ai essayé les deux), alors peut-être qu'il y a quelque chose de différent que je dois faire ici? Un cadre quelque part que je n'ai pas trouvé cela doive être changé pour le faire vraiment véritablement Faites confiance au certificat que j'ai déjà dit de faire confiance?
Quelle est la bonne façon de faire de Windows Server 2012 R2 Trust un certificat auto-signé?
L'erreur que vous recevez n'est pas que ce n'est pas un certificat racine de confiance, mais qu'il n'est pas capable de vérifier la chaîne à un certificat de confiance. Si une partie de la chaîne est cassée, non confirmée ou manquante, vous recevrez une telle erreur. L'erreur que je reçois avec une racine non approuvée, auto-signée root est la suivante: ce certificat racine de l'autorité de certification n'est pas approuvé. Pour activer la confiance, installez ce certificat dans le magasin des autorités de certification racine de confiance. Mais pour vous, il est dit qu'il ne peut pas vérifier jusqu'à un certificat de racine de confiance. Cela peut être que pendant le processus d'auto-signature, vous avez peut-être pu vous dire à OpenSSL de signer le certificat avec une racine différente (non auto-signes) ou ne peut pas avoir été définie comme une ca. Ca. Si c'est le premier, vous devez faire confiance à la racine qu'elle a été signée avec à la place. Si c'est ce dernier, il s'agit d'établir quelques propriétés dans openssl.conf.
d'après ce que je peux travailler, vous devez ajouter ZMaster en tant que source de confiance en CA puisque c'est l'autorité émettrice, WS2K12 tente de vérifier le certificat contre un hôte, cela ne connaît rien. Vous avez raison de savoir que la méthode de génération n'est pas importante, mais une source vérifiable est. Cela a l'effet que vous vivez: que WS2K12 ne fait pas confiance à un certificat simplement parce qu'il a un nom de $ aléatoire_issuing_authority, il doit être capable de vérifier le certificat.
J'ai eu le même problème, ce qui éteint ma solution consistait à mettre à jour les fichiers .Crt et .Key pour le serveur de messagerie utilisé par DOVECOT. EXIM4 sur le courrier a eu un ensemble de certificats/clés mis à jour, mais DOVECOT portait toujours sur l'ancien ensemble de certificats/clés.
L'ancienne paire de clés/clés a fonctionné bien avec la plupart des situations, mais pas avec Outlook.com ni avec MS Outlook 2013.
Problèmes avec Outlook.com m'a amené à mettre à niveau le certificat EXIM4 récemment - DOVECOT [et le serveur WebMail] utilise également les fichiers Nouveau Cert (et Key). Le serveur de messagerie lui-même a également été récemment mis à niveau [à partir de Old Debian Squeez-LTS sur Wheeezy], l'ancienne configuration était bien tout autour avec l'ancien CERT/Key Set, mais après la mise à niveau, je devais créer le nouvel ensemble CERT/Key avant Les produits MS fonctionnent correctement avec le serveur de messagerie.
Je pense que le problème est que comment avez-vous accédé aux ressources. Pour votre réseau local, vous pouvez utiliser le nom d'hôte au lieu d'un nom de domaine complet. Cependant, votre certificat est émis contre le nom de domaine complet.