请问如何根据自己的CA根证书生成端实体证书?我以这种方式生成了根 CA:
openssl req -x509 -newkey rsa:4096 -sha256 -days 3650 -nodes \
-keyout example.key -out example.crt -subj /CN=MyCompany \
-addext subjectAltName=IP:192.168.100.82
openssl pkcs12 -export -out cert.pfx -inkey example.key -in example.crt
我已将 cer 文件导入Windows Trusted Root Certification Authorities并将 pfx 文件导入IIS Server Certificates。
它适用于 Chrome、IE 和 Edge,但 Firefox 报告我的证书存在问题:MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY
我用谷歌搜索了它,我了解到我应该拥有由我的 CA 根证书签名的最终实体证书。我试图生成最终实体证书:
openssl genrsa -out server.key 4096
openssl req -new -key server.key -out server.csr -subj /CN=MyCompanyEE -addext subjectAltName=IP:192.168.100.82
openssl x509 -req -in server.csr -CA cert.pem -CAkey example.key -CAcreateserial -out server.crt -days 3650 -sha256
openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt
OpenSSL 响应:
Signature ok
subject=CN = MyCompanyEE
Getting CA Private Key
我也已将 server.pfx 导入IIS 服务器证书,并将我的 Web 应用程序的绑定更改为使用服务器证书,但现在它在 Firefox 或 Chrome 中都不起作用。
Firefox 说:SSL_ERROR_BAD_CERT_DOMAIN,
Chrome 说:NET::ERR_CERT_COMMON_NAME_INVALID。
我做错了什么?