Windows 2012 R2 को मेरे स्व-हस्ताक्षरित प्रमाणपत्र पर भरोसा क्यों नहीं है?

9

परीक्षण के माहौल में, मुझे वर्तमान में कुछ चीजों का परीक्षण करने से रोक दिया जा रहा है, जिन्हें जल्द ही तैनात करने की आवश्यकता है (वास्तव में पहले से ही, लेकिन आप जानते हैं कि समय सीमा कैसे तय की जाती है ...) क्योंकि विंडोज हमारे पास स्वयं के हस्ताक्षरित प्रमाण पत्र पर भरोसा करने से इनकार करता है पृथक परीक्षण वातावरण। हालांकि मैं "वास्तविक" प्रमाण पत्र और कुछ DNS ट्रिक्स के साथ समस्या को साइड-स्टेप कर सकता हूं, सुरक्षा / कंपार्टमेंटलाइज़ेशन कारणों के लिए मैंने प्रमाण पत्र नहीं कहा है।

मैं एक लिनक्स-आधारित ईमेल सर्वर से कनेक्ट करने का प्रयास कर रहा हूं जिसे जोम्ब्रा कहा जाता है; यह स्वतः-जनरेट किए गए स्व-हस्ताक्षरित ओपनएसएसएल प्रमाणपत्र का उपयोग कर रहा है। जबकि Google ने विशेष रूप से IIS वेबसाइटों को IIS स्व-हस्ताक्षरित प्रमाणपत्रों के साथ संदर्भित किया है, मुझे नहीं लगता कि इसे उत्पन्न करने का तरीका वास्तव में मायने रखता है।

निर्देश मैंने पाया के अनुसार यहाँ और यहाँ , इस स्थानीय कंप्यूटर के विश्वसनीय रूट प्रमाणन प्राधिकरण की दुकान में प्रमाण पत्र को स्थापित करने का एक सरल बात होना चाहिए। जो मैंने किया है, साथ ही प्रमाण पत्र को मैन्युअल रूप से कॉपी करके सीधे एमएमसी स्नैप-इन के माध्यम से आयात किया है। लॉग-आउट और रिबूट कुछ भी नहीं बदलते हैं।

यहां मुझे हर बार प्रमाणपत्र त्रुटि मिलती है: यहां छवि विवरण दर्ज करें

और यहाँ प्रमाणन पथ (बिगाड़ने: यह सिर्फ प्रमाण पत्र ही है): यहां छवि विवरण दर्ज करें

अंत में, यहाँ प्रमाण पत्र सुरक्षित रूप से स्थानीय कंप्यूटर के सर्टिफिकेट स्टोर में टिक गया है, बिल्कुल जैसा कि मैंने पाया है कि निर्देश कहते हैं कि उन्हें होना चाहिए: यहां छवि विवरण दर्ज करें

ये निर्देश विशेष रूप से विस्टा का संदर्भ देते हैं (ठीक है, दूसरा ओएस का उल्लेख नहीं करता है) और आईआईएस, जबकि मैं सर्वर 2012 R2 का उपयोग लिनक्स-आधारित सर्वर से कनेक्ट कर रहा हूं; आयात विज़ार्ड में कुछ अंतर हैं (जैसे कि मेरे पास वर्तमान उपयोगकर्ता या स्थानीय प्रणाली के लिए आयात करने का विकल्प है, हालांकि मैंने दोनों की कोशिश की है), इसलिए शायद कुछ अलग है जो मुझे यहाँ करना है? कहीं न कहीं एक सेटिंग जो मुझे नहीं मिली है उसे वास्तव में भरोसेमंद बनाने के लिए इसे बदलना होगा जो मैंने पहले ही बता दिया है कि इस पर भरोसा करना चाहिए?

Windows Server 2012 R2 को स्व-हस्ताक्षरित प्रमाणपत्र बनाने का सही तरीका क्या है?

ssl-certificate windows-server-2012-r2 certificate

— Kromey
स्रोत

आपकी समस्या को पुन: उत्पन्न करने में असमर्थ। यदि आप IIS के "स्व-हस्ताक्षरित प्रमाणपत्र बनाएं" का उपयोग करते हैं और इसे व्यक्तिगत स्टोर में स्थापित करने का चयन करते हैं (वेब होस्टिंग स्टोर भी आज़माया जाता है), तो कोई समस्या नहीं है। आपने प्रमाण पत्र कैसे बनाया? IIS से या प्रमाणन प्राधिकरण MMC स्नैपइन से?

क्या आपने गंतव्य स्टोर को स्पष्ट रूप से चुनने की कोशिश की है?

— जोआओसीसी

@SujaySarma यह एक आईआईएस वेबसाइट के लिए नहीं है, लेकिन एक लिनक्स एप्लिकेशन के लिए है जिसे जोब्रा कहा जाता है। यह एक OpenSSL स्व-हस्ताक्षरित प्रमाण पत्र है।

— Kromey

@ user1703840 हां, मैंने स्पष्ट रूप से गंतव्य स्टोर को निर्दिष्ट किया है, साथ ही विंडोज को स्वचालित रूप से इसे चुनने के लिए अनुमति दी है, दोनों एमएमसी और IE में प्रमाण पत्र आयात विज़ार्ड के माध्यम से। समान परिणाम या तो रास्ता है, जो कोई भी नहीं है।

— क्रॉमी

है ना? लिनक्स कहाँ से आया? आपके संपूर्ण प्रश्न और आपके द्वारा पोस्ट किए गए लिंक (आपके स्क्रीनशॉट सहित) Windows Server 2012 R2 और IIS से संबंधित हैं। कृपया स्पष्ट करें।

1

आपके द्वारा प्राप्त की जा रही त्रुटि यह नहीं है कि यह एक विश्वसनीय रूट प्रमाणपत्र नहीं है, लेकिन यह एक विश्वसनीय प्रमाण पत्र के लिए श्रृंखला को सत्यापित करने में सक्षम नहीं है । यदि श्रृंखला का कोई भी हिस्सा टूटा हुआ, अविश्वसनीय, या गायब है, तो आपको ऐसी त्रुटि मिलेगी। त्रुटि जो मुझे एक अविश्वसनीय, स्व-हस्ताक्षरित रूट के साथ मिलती हैयह है: यह CA रूट प्रमाणपत्र विश्वसनीय नहीं है। विश्वास को सक्षम करने के लिए, इस प्रमाणपत्र को विश्वसनीय रूट प्रमाणन प्राधिकारी स्टोर में स्थापित करें। लेकिन आपके लिए, यह कहता है कि यह एक विश्वसनीय रूट प्रमाणपत्र तक सत्यापित नहीं कर सकता है। यह हो सकता है कि स्व-हस्ताक्षर करने की प्रक्रिया के दौरान, आपने सर्टिफिकेट को एक अलग रूट (स्व-संकेत नहीं) के साथ हस्ताक्षर करने के लिए कहा हो, या इसे रूट सीए के रूप में सेट नहीं किया गया हो। यदि यह पहला है, तो आपको उस रूट पर भरोसा करना चाहिए जो इसके बजाय हस्ताक्षरित था। यदि यह उत्तरार्द्ध है, यह openssl.conf में कुछ गुण स्थापित करने की बात है।

— फ़्लैश बैंग
स्रोत

स्क्रीनशॉट से पता चलता है कि प्रमाणपत्र ट्रस्टेड रूट CA में स्थापित है, और यह भी दर्शाता है कि पूरी श्रृंखला ही प्रमाणपत्र है - यह रूट है, और इसलिए ट्रस्टेड रूट CA में पर्याप्त होना चाहिए। सवाल क्यों नहीं है?

— क्रॉमी

मैं कह रहा हूं कि यह रूट नहीं हो सकता है, ऐसा नहीं है कि इसे विश्वसनीय रूट स्टोर में नहीं जोड़ा गया है। त्रुटि यह है कि इसके बारे में क्या अजीब है - यह नहीं कहना चाहिए कि यह इसे एक विश्वसनीय सीए तक सत्यापित नहीं कर सकता है, अगर यह एक सीए माना जाता है - यही कारण है कि मैं सुझाव दे रहा हूं कि यह वास्तव में एक जड़ नहीं है, लेकिन इसके साथ हस्ताक्षर किए गए एक और प्रमाण पत्र।

— फ्लैशबंग

इस आदेश को उस बॉक्स पर चलाने का प्रयास करें, जिसके लिए आप प्रमाणपत्र प्राप्त करने का प्रयास कर रहे हैं: openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 30 -sha256 -nodesऔर उस प्रमाणपत्र को विश्वसनीय रूट CA स्टोर में आयात करना। (और साथ ही यह विन्यस्त करने प्रमाणपत्र और कुंजी Zimbra द्वारा प्रयोग किया जाता ज़ाहिर है, होना करने के लिए)।

— फ्लैशबंग

ओह, मैं समझता हूं कि तुम्हारा क्या मतलब है। माफ़ कीजिए मैंने गलत समझा। लेकिन अगर यह रूट नहीं है, तो क्या यह प्रमाणन पथ विंडो में दिखाई नहीं देना चाहिए? किसी भी मामले में, दुर्भाग्यवश, मैं वास्तव में इसे और परीक्षण नहीं कर सकता हूं - मैं हमारे कानूनी प्रमाण पत्र को पकड़ने में कामयाब रहा, और hostsफ़ाइल में थोड़ी सी हैकिंग के साथ इसे इस तरह से काम करना पड़ा।

— क्रोमे

आपका प्रमाणपत्र स्क्रीन शॉट के आधार पर एक रूट सीए से है। यदि आप idp.godaddy.com के लिए प्रमाण पत्र विवरण को देखते हैं , तो पूरा रास्ता प्रस्तुत किया जाता है और आप इसका उपयोग तुलना के रूप में कर सकते हैं। यदि आप एमएमसी में प्रमाण पत्र के गुणों को देखते हैं, तो क्या यह सर्टिफिकेशन उद्देश्यों में सर्वर प्रमाणीकरण शामिल है? (दूसरी स्क्रीन शॉट में सर्टिफिकेट पर राइट क्लिक करें और प्रॉपर्टी चुनें)।

— जॉन Auld

1

क्या मैं बाहर काम कर सकते हैं से आप एक विश्वसनीय स्रोत CA के रूप में zmaster जोड़ने की जरूरत है क्योंकि जारी करने वाले प्राधिकारी, WS2k12 एक मेजबान के खिलाफ प्रमाण पत्र को सत्यापित करने की कोशिश कर रहा है जिसके बारे में कुछ भी नहीं जानता है। आप सही हैं कि पीढ़ी पद्धति महत्वपूर्ण नहीं है, लेकिन एक सत्यापन योग्य स्रोत है। इसका वह प्रभाव है जो आप अनुभव कर रहे हैं: WS2k12 केवल एक प्रमाणपत्र पर भरोसा नहीं कर रहा है क्योंकि इसमें $ random_issuing_authority का नाम है, इसे प्रमाणपत्र को सत्यापित करने में सक्षम होने की आवश्यकता है।

— जेम्स गुगेलस्टुपुखेनमच मूर
स्रोत

यह एक स्व-हस्ताक्षरित प्रमाणपत्र है - ट्रस्टेड रूट सीए स्टोर में प्रमाण पत्र जारी करके आप जारीकर्ता पर भरोसा करते हैं।

— क्रिस मैककेन

जब तक मुझे कुछ याद नहीं आ रहा है, ठीक यही मैंने किया है - ट्रस्टेड रूट सीए स्टोर के भीतर तीसरे स्क्रीनशॉट को ज़मास्टर का प्रमाणपत्र दिखाते हुए देखें।

— Kromey

0

मुझे भी यही समस्या थी, पता चला कि मेरा समाधान डाक सर्वर के लिए .crt और .key फ़ाइलों को अपडेट करने के लिए था जैसा कि dovecot द्वारा उपयोग किया जाता है। मेल पर Exim4 में एक अद्यतन प्रमाणपत्र / कुंजी सेट था, लेकिन dovecot अभी भी पुराने प्रमाणपत्र / कुंजी सेट की ओर इशारा कर रहा था।

पुराने सर्टिफिकेट / की-पेयर ने ज्यादातर स्थितियों के साथ काम किया, लेकिन आउटलुक डॉट कॉम से और न ही एमएस आउटलुक 2013 से।

Outlook.com की समस्याओं ने मुझे हाल ही में exim4 प्रमाणपत्र को अपग्रेड करने के लिए प्रेरित किया है - अब dovecot [और वेबमेल सर्वर] भी नई प्रमाणपत्र (और कुंजी) फ़ाइलों का उपयोग करता है। मेल सर्वर को भी हाल ही में अपग्रेड किया गया था [पुराने डेबियन निचोड़-एलटी से मट्ठे तक], पुराना सेटअप पुराने सर्टिफिकेट / की-सेट के साथ चारों ओर ठीक था, लेकिन अपग्रेड के बाद, मुझे पहले नया सर्टिफिकेट / की-सेट बनाने की जरूरत थी। MS उत्पाद मेल सर्वर के साथ ठीक से काम करेंगे।

— एंड्रयू मैकग्लाशन
स्रोत

0

मुझे लगता है कि समस्या यह है कि आपने संसाधनों का उपयोग कैसे किया। अपने स्थानीय नेटवर्क के लिए, आप पूर्ण डोमेन नाम के बजाय होस्ट नाम का उपयोग कर सकते हैं। हालाँकि, आपको पूर्ण डोमेन नाम के विरुद्ध प्रमाणपत्र जारी किया जाता है।

— puffel
स्रोत

इस सवाल का पहले से ही एक स्वीकृत जवाब है।

— BE77Y

-1

विश्वसनीय रूट प्रमाणीकरण प्राधिकारी और विश्वसनीय प्रकाशकों को प्रमाणपत्र स्थापित करें।

— Dimaf
स्रोत