Windows 2012 R2가 자체 서명 인증서를 신뢰하지 않는 이유는 무엇입니까?

9

테스트 환경에서 나는 현재 배포해야 할 것들 (실제로 이미 있지만 마감일이 어떻게되는지 알고 있습니다)을 테스트하지 않고 있습니다 .Windows는 우리가 자체 서명 한 인증서를 신뢰하지 않기 때문에 고립 된 테스트 환경. "실제"인증서와 일부 DNS 트릭으로 문제를 회피 할 수는 있지만 보안 / 구획화를 위해 인증서를 말하지 않았습니다.

Zimbra라는 Linux 기반 전자 메일 서버에 연결하려고합니다. 자동 생성 된 자체 서명 된 OpenSSL 인증서를 사용하고 있습니다. Google이 구체적으로 작성한 페이지는 IIS 자체 서명 인증서가있는 IIS 웹 사이트를 참조하지만 실제로 생성 방법은 중요하지 않다고 생각합니다.

여기 및 여기 에서 찾은 지침에 따르면 로컬 컴퓨터의 신뢰할 수있는 루트 인증 기관 저장소에 인증서를 설치하면됩니다. 내가 한 일뿐 만 아니라 수동으로 인증서를 복사하고 MMC 스냅인을 통해 직접 가져옵니다. 로그 아웃 및 재부팅해도 아무런 변화가 없습니다.

매번 발생하는 인증서 오류는 다음과 같습니다. 여기에 이미지 설명을 입력하십시오

인증 경로는 다음과 같습니다 (스포일러 : 인증서 자체 임). 여기에 이미지 설명을 입력하십시오

마지막으로, 내가 찾은 지시 사항에 따라 로컬 컴퓨터의 인증서 저장소에 안전하게 인증서를 집어 넣었습니다. 여기에 이미지 설명을 입력하십시오

이 지침은 특히 Vista (잘, 두 번째는 OS를 언급하지 않음)와 IIS를 참조하며, Linux 기반 서버에 연결하는 Server 2012 R2를 사용하고 있습니다. 가져 오기 마법사에는 몇 가지 차이점이 있습니다 (예 : 두 가지를 모두 시도했지만 현재 사용자 또는 로컬 시스템을 가져올 수있는 옵션이 있음). 여기에서해야 할 다른 것이 있습니까? 내가 찾지 못한 어딘가에서 이미 신뢰한다고 말한 인증서를 실제로 신뢰 하도록 변경해야 합니까?

Windows Server 2012 R2가 자체 서명 된 인증서를 신뢰하도록하는 올바른 방법은 무엇입니까?

ssl-certificate windows-server-2012-r2 certificate

— 크로 미
소스

문제를 재현 할 수 없습니다. IIS의 "자체 서명 된 인증서 만들기"를 사용하고 개인 저장소 (웹 호스팅 저장소도 시도)에 설치하도록 선택하면 전혀 문제가 없습니다. 인증서는 어떻게 작성 했습니까? IIS 또는 인증 기관 MMC 스냅인에서?

mmc 콘솔 내에서 가져 오기 대상 저장소를 명시 적으로 선택하려고 했습니까?

— JoaoCC 2016 년

@SujaySarma IIS 웹 사이트가 아니라 Zimbra라는 Linux 응용 프로그램을위한 것입니다. OpenSSL 자체 서명 인증서입니다.

— Kromey 2016 년

@ user1703840 예, IE의 MMC와 인증서 가져 오기 마법사를 통해 대상 저장소를 명시 적으로 지정하고 Windows가 자동으로 저장소를 선택할 수 있도록 허용했습니다. 어느 쪽이든 같은 결과입니다.

— Kromey 2016 년

응? 리눅스는 어디에서 왔습니까? 귀하의 전체 질문과 귀하가 게시 한 링크 (스크린 샷 포함)는 Windows Server 2012 R2 및 IIS를 다루고 있습니다. 명확히하십시오.

1

받는 오류는 신뢰할 수있는 루트 인증서가 아니라 체인 을 신뢰할 수있는 인증서 로 확인할 수 없다는 것입니다 . 체인의 일부가 손상되었거나 신뢰할 수 없거나 누락 된 경우 이러한 오류가 발생합니다. 신뢰할 수없는 자체 서명 된 루트에서 발생하는 오류이 :이 CA 루트 인증서는 신뢰할 수 없습니다. 신뢰를 사용하려면이 인증서를 신뢰할 수있는 루트 인증 기관 저장소에 설치하십시오. 그러나 신뢰할 수있는 루트 인증서까지 확인할 수는 없습니다. 자체 서명 프로세스 중에 openssl에게 인증서가 아닌 다른 루트 (자체 서명이 아님)로 서명하도록 지시했거나 루트 CA로 설정되지 않았을 수 있습니다. 첫 번째 루트 인 경우 대신 서명 한 루트를 신뢰해야합니다. 후자 인 경우 openssl.conf에 몇 가지 속성을 설정해야합니다.

— 플래시 뱅
소스

스크린 샷은 인증서가 신뢰할 수있는 루트 CA에 설치되어 있고 전체 체인이 인증서 자체임을 보여줍니다. 루트이므로 신뢰할 수있는 루트 CA에 있으면 충분합니다. 문제는 왜 그렇지 않습니까?

— Kromey 2016 년

신뢰할 수있는 루트 저장소에 추가되지 않은 것이 아니라 루트가 아닐 수도 있습니다. 오류는 이상한 점입니다 .CA 여야 한다면 신뢰할 수있는 CA까지 확인할 수 없다고 말해서는 안됩니다. 그래서 실제로 루트가 아니라고 제안하는 이유는 무엇입니까? 다른 인증서.

— flashbang

인증서를 openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 30 -sha256 -nodes가져 오려는 상자에서이 명령을 실행 하고 해당 인증서를 신뢰할 수있는 루트 CA 저장소로 가져옵니다. (물론 Zimbra가 사용하는 인증서 및 키로 구성).

— flashbang

아 무슨 말인지 알 겠어 미안, 오해 했어 그러나 루트가 아닌 경우 인증 경로 창에 표시되어서는 안됩니까? 어쨌든 불행히도 실제로 이것을 더 이상 테스트 할 수는 없습니다. 적법한 인증서를 보유하고 hosts파일 에서 약간의 해킹과 함께 그렇게 작동했습니다.

— Kromey

인증서는 스크린 샷을 기반으로 루트 CA에서 발급 한 것입니다. idp.godaddy.com 의 인증서 세부 정보를 보면 전체 경로가 표시되며이를 비교로 사용할 수 있습니다. MMC에서 인증서 속성을 보면 인증서 목적에 서버 인증이 포함됩니까? (두 번째 스크린 샷에서 인증서를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택하십시오).

— John Auld

1

WS2k12는 발급 기관이므로 zmaster를 신뢰할 수있는 소스 CA로 추가해야합니다 .WS2k12는 아무것도 모르는 호스트에 대해 인증서를 확인하려고합니다. 생성 방법은 중요하지 않지만 검증 가능한 소스는 중요합니다. 이는 WS2k12가 $ Random_issuing_authority라는 이름을 가지고 있기 때문에 인증서를 신뢰하지 않으므로 인증서를 확인할 수 있어야합니다.

— 제임스 구겔 스투 푸 무무 흐 무어
소스

자체 서명 된 인증서입니다. 인증서를 신뢰할 수있는 루트 CA 저장소에 배치하면 발급자를 신뢰하게됩니다.

— Chris McKeown

내가 빠진 것이 아니라면 그것은 내가 한 것입니다-신뢰할 수있는 루트 CA 저장소 내에서 zmaster의 인증서를 보여주는 세 번째 스크린 샷을 참조하십시오.

— Kromey 2016 년

0

나는 같은 문제가 있었는데, 해결책은 dovecot이 사용하는 메일 서버의 .crt 및 .key 파일을 업데이트하는 것이 었습니다. 메일의 Exim4에 업데이트 된 인증서 / 키 세트가 있지만 도브 코트는 여전히 기존 인증서 / 키 세트를 가리 켰습니다.

이전 인증서 / 키 쌍은 대부분의 상황에서 잘 작동했지만 outlook.com이나 MS Outlook 2013에서는 작동하지 않았습니다.

outlook.com의 문제로 인해 최근 exim4 인증서를 업그레이드하게되었습니다. 이제 dovecot [및 웹 메일 서버]도 새로운 인증서 (및 키) 파일을 사용합니다. 메일 서버 자체도 최근에 [이전 Debian squeeze-lts에서 wheezy로] 업그레이드되었으며, 이전 설정은 이전 인증서 / 키 세트로 잘 작동했지만 업그레이드 후에는 이전에 새로운 인증서 / 키 세트를 만들어야했습니다. MS 제품은 메일 서버에서 제대로 작동합니다.

— 앤드류 맥 클라 샨
소스

0

문제는 리소스에 어떻게 액세스했는지에 관한 것입니다. 로컬 네트워크의 경우 전체 도메인 이름 대신 호스트 이름을 사용할 수 있습니다. 그러나 전체 도메인 이름에 대해 인증서가 발급됩니다.

— 붓다
소스

이 질문에는 이미 허용 된 답변이 있습니다.

— BE77Y

-1

신뢰할 수있는 루트 인증 기관 및 신뢰할 수있는 게시자에게 인증서를 설치하십시오.

— 디 마프
소스