问题[ssl-certificate](server)

我正在使用 OCSP 设置 CA，但收到了验证错误。

设置非常简单

• CA 在默认的 C: 文件夹中发布 CRL
• CA 在 AIA 字段中发布 OCSP URL
• OCSP 撤销配置正在运行（绿色复选标记），且 OCSP 证书（仍然有效）
• IIS Web 服务器正在运行 OCSP 目录
• DNS 通过目录指向正确的 IP

我按照以下步骤撤销了我在此过程中制作的一些测试证书：

• 手动发布吊销文件夹
• 设置包含带有 OCSP URL 的根证书的 GPO，以检查有效性，即使原始证书未在其 AIA 字段中包含它

在测试有效性时，我遇到了一些错误。

错误 1：

在上图中，CRL 确认证书已过期且无效。

然而，我仍然在用它，只是因为我预料它会报错。结果并没有。我可以正常访问该网站，没有任何问题，也没有收到无效的警告。

错误 2：

GPO 会引导客户端设备检查 OCSP，以验证那些原本未包含 OCSP 的证书。令人惊讶的是，我的 OCSP 甚至无法正常工作。我以前certutil -url确认过，得到的是“状态：不成功”。我找不到任何可能的状态列表，但我猜应该会看到“已撤销”或“已过期”之类的信息。

我创建了CA如下：

1. 带有私钥的自签名证书 root-ca.cer
2. 其他证书，用root-ca.cer签名，其名称为admin-ca.cer
3. 使用admin-ca.cer签名的客户端证书，其名称为client.cer

openssl verifyadmin-ca.cer 与 root-ca.cer 的对接通过，但 client.cer 与 admin-ca.cer 的对接在第 1 级失败。

我想如果我将 root-ca.cer 添加到我的操作系统中的受信任证书中，这将解决问题，但如果可能的话，我想避免这种情况。相反，我是否可以client.cer以这种方式构建一个，使其包含所有链，直到root-ca.cer？

如果这很重要，那么的目的client.cer是在通过 SSL 连接到我的服务器时用作客户端证书。一个虚拟主机用作root-ca.cerCA，另一个用作admin-ca.cerCA - 而那个不起作用。

我们收到 pfSense 中两个 CA 即将过期的通知 - 如下所示以黄色显示：

这些都是：

• Acmecert: O=(STAGING) Internet Security Research Group, CN=(STAGING) Pretend Pear X1, C=US
• Acmecert: O=Internet Security Research Group, CN=ISRG Root X1, C=US

我最近在 Netgate 论坛上发现了一个帖子X1，看起来非常相似。它讨论了CA，而我们即将到期的两个 CA 也是X1。

这些 CA没有“续订”按钮。

删除这两个 CA 安全吗？

之后我们如何测试它没有引起任何问题？

我们每天都会收到通知：

我已经建立了一个网站并使用 certbot 创建了 SSL 证书。

在我尝试过的每个系统上，除了手机上的 Chrome 之外，页面都可以正常加载。

在 Chrome 中，在手机（Android）上，我收到 NET::ERR_CERT_AUTHORITY_INVALID

在手机上的 FF 中加载正常。在平板电脑上的 Chrome 或 FF 中加载正常。在笔记本电脑和/或台式机上的 Chrome 或 FF 中加载正常。

Chrome 运行不顺畅，是怎么回事？

当我尝试登录我的邮件客户端时，收到以下信息：

This certificate belongs to:
   mail.ssk.pm

This certificate was issued by:
   R3
   Let's Encrypt
   US

This certificate is valid
   from Thu, 21 Mar 2024 18:03:06 UTC
     to Wed, 19 Jun 2024 18:03:05 UTC

SHA1 Fingerprint: 2BAC DF4D 2E6A BC4B BDBB 9746 6A39 D523 9306 DE4A
SHA256 Fingerprint: 2BAC DF4D 2E6A BC4B BDBB 9746 6A39 D523
                    9306 DE4A87A9 CAC5 AAD1 6E8A 8796 9232 D4B6 4EAB 97EF ECEF 437D 1BFC 4369 96AE 6FF4 C503

WARNING: Server certificate has expired

但是当我执行 certbox --nginx renew 时我得到了这个：

certbot --nginx renew
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/mail.ssk.pm.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certificate not yet due for renewal

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/ssk.pm.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certificate not yet due for renewal

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
The following certificates are not due for renewal yet:
  /etc/letsencrypt/live/mail.ssk.pm/fullchain.pem expires on 2024-08-19 (skipped)
  /etc/letsencrypt/live/ssk.pm/fullchain.pem expires on 2024-08-18 (skipped)
No renewals were attempted.

我这里遗漏了什么吗？

什么是主题名称/主题备用名称以及它们之间有何不同？

特别是“主题名称”选项卡下方的模板。除了在注册证书时将信息放入主题选项卡中的额外步骤之外，这对正常证书请求有何变化。

主题名称 (SN)/主题备用名称 (SAN) 在 Microsoft 公钥基础设施 (PKI) 中的作用是什么？如何使用 SAN，以及哪些场景可以从将其包含在证书中受益？

我找到了这篇文章，这是我用来生成 CA 证书的内容：

openssl genrsa -des3 -out myCA.key 2048
openssl req -x509 -new -nodes -key myCA.key -sha256 -days 1825 -out myCA.pem

我将其命名为“MyCert”

我用它来签署为本地主机生成的证书（它是 ChatGPT 的输出）

$ openssl req -newkey rsa:2048 -nodes -keyout localhost.key -out localhost.csr
$ openssl x509 -req -in localhost.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial -out localhost.crt -days 365 -sha256

我已将 CA 证书添加到系统中（我使用 Fedora）：

sudo cp myCA.pem /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust extract

我重新启动了服务器，当访问时https://localhost

得到这个错误：

NET::ERR_CERT_COMMON_NAME_INVALID
Subject: localhost
Issuer: MyCert

我做错了什么？我使用 CA 证书的默认字段：

CN = MyCert
O = Default Company Ltd
L = Default City
C = pl

本地主机证书具有这些字段：

CN = localhost
C = pl

如何在 Fedora 上正确创建 CA 证书并为 Apache 签署证书？

我试图了解当涉及 CDN 时，TLS 如何在客户端和源之间终止。

我认为当客户端直接连接到源时，这非常简单，可以为与源服务器关联的任意数量的证书/SAN 成员建立握手。

但如果我需要 CDN 怎么办？如果不上传相同的源证书并将其配置为从 CDN 呈现，是否无法在我的源之前使用第 3 方 CDN？

我知道不同的 CDN 处理事情的方式不同。例如，Google CDN 似乎能够通过应用于上游 GCP LB 的证书来正确终止 TLS。这是不是只有 GCDN 才能做到的特殊事情，因为它们与 GCP 紧密集成？

理想情况下，我希望能够在自己的来源托管自己的证书，并且只需将 CDN 通过 TCP 直接发送到来源，以便客户端和来源服务器可以通过零额外配置进行端到端认证和加密在 CDN 上，而 CDN 仍然负责缓存部分。但听起来这似乎是不可能的？

client => cdn => origin(cert)

以下是在https://www.ssllabs.com/ssltest/index.html上测试 SSL 的结果

看起来我们有两张证书。我读得对吗？使用该证书的 SSL 服务 (CloudFlare.com) 是否指向特定证书？

首先，我在谷歌上搜索了 openssl，比如这个，并且还尝试了数十次创建有效的自签名证书。
但我想询问服务器故障会快得多。

我的平台是一台安装了 openssl 3.2.0 精简版的 Windows 10 计算机。基础设施没有域存在，只是一个测试环境。

目标是为Windows主机和Windows远程管理https协议创建一个自签名证书以供使用，我确实知道Windows powershell“New-SelfSignedCertificate”可以直接解决我的需求，但这不是我想要的。

Openssl 是我需要的工具。我想使用 openssl 生成一个自签名证书（从 0 开始），与“New-SelfSignedCertificate”可以生成的证书相同。

我在导入证书（从 openssl 生成）后配置“winrm”时遇到问题。错误消息是：

settings Error number:  -2144108306 0x803380EE
The WinRM client cannot process the request. 
The Enhanced Key Usage (EKU) field of the certificate is not set to "Server Authentication". 
Retry the request with a certificate that has the correct EKU.  

这是我用来创建自签名证书的命令：
#Generate a private key
openssl genpkey -algorithm RSA -out private-key.pem

#生成证书签名请求（CSR）
openssl req -new -key private-key.pem -out certificatesigningrequest.pem -days 3650 -subj "/C=US/ST=Colorado/L=aspen/CN=10.0.2.4/OU=myhostgroup/O=testinfra" -addext "keyUsage=digitalSignature,keyEncipherment" -addext "extendedKeyUsage=serverAuth,clientAuth"

#生成自签名证书
openssl x509 -req -in certificatesigningrequest.pem -signkey private-key.pem -out self-signed.crt

#将私钥和证书合并到PKCS#12文件中(PFX/P12)
openssl pkcs12 -export -in self-signed.crt -inkey private-key.pem -out certificate.pfx -password pass:P@ssw0rd

执行上面列出的命令行时，它们都没有错误消息，但是，“keyUsage”和“extendedKeyUsage”永远无法插入，并且这些扩展永远不会出现在证书中。当尝试使用 https 配置 winrm 以使用此证书时，结果是错误消息，如上所示。

我想逐一解决问题。
任何人都可以提供一些关于如何使用 openssl 3 处理证书扩展的提示吗？