使用OpenSSL的IIS上的不可信證書

Question

我正在使用OpenSSL來避免支付費用。在我的服務器IIS乳寧8和Windows Server 2012的

我創造了我的證書是這樣的：

1. 使用IIS創建一個證書請求

2. 用下面的命令來創建一個RSA私鑰

   OpenSSL的genrsa -des3 -out cakey.pem 2048

3. 此後我用這個命令生成證書

   OpenSSL的REQ -new -key cakey.pem -x509 -days 1825 -Extensions v3_ca退房手續ca.crt

4. 最後，我用這個簽名的證書請求：

   OpenSSL的X​​509 -req -days 365 -in certreq.txt -CA ca.crt -CAkey cakey.pem -CAcreateserial退房手續iis.cer

但是，當我瀏覽到該網站，我得到一個「錯誤」告訴​​我，這是一個「不可信證書「：本網站提供的安全證書不是由可信證書頒發機構頒發的。

Answer 1

您從OpenSSL工具獲得的是自簽名證書。當然，任何瀏覽器都不會信任它，因爲誰能說你值得信任。

如果您想建立公共網站，請購買證書。這是你必須支付的東西，就像公共域名一樣。

相反，如果您爲貴公司託管內部網站，則有多種方法可以設置您自己的CA，例如使用Microsoft Active Directory證書服務。

Answer 2

在嘗試訪問運行在CA層次結構下生​​成的證書的IIS服務器之前，您是否已將CA證書安裝到瀏覽器中？這裏有一些information about that step。