证书链 PKI 中不存在 ADCS 根 CA
ADCS Root CA not present in certificate chain PKI
我们有 Windows 2019 DC - ADCS PKI。它由根 CA 和从属 CA 组成。当从属 CA 颁发证书时,根 CA 不在链中。如果您打开颁发的证书并转到“证书路径”选项卡,从属 CA 证书是链中最高的。如果单击它,它会显示“找不到此证书的颁发者”。作为证书状态。
现在我有2个问题。
- 我可以在我的 PKI 配置中更改什么,以便根 CA 始终出现在新颁发的证书中。 (我认为这是由于配置错误造成的)。
- 我可以将根 CA 添加到已颁发的证书中吗?
我认为您误解了根 CA 证书的作用以及证书链的概念。
当您的从属 CA 向终端实体(例如 IIS)颁发证书时,颁发的证书与从属 CA 的唯一联系是 CA 的名称嵌入在证书中(颁发者字段)并且此证书由 CA 的私钥签名,此签名也作为证书的一部分嵌入。 CA 证书未以任何其他方式附加到您的证书。
当您双击 Windows 中的证书时,它会显示该证书的详细信息。当您查看“证书路径”选项卡时,它会尽可能多地向您显示链。它将查看您的证书的颁发者,如果它可以从它的证书存储或通过从存储库下载它来访问 Sub CA 证书,它也会列出它。该 CA 证书也有一个颁发者(在您的情况下是根 CA),如果它可以访问其证书存储中的颁发者,它也会在证书路径中列出它。
Root CA 安装在一个名为 trust-anchor store 的特定证书存储中。这是您(或您的管理员)安装您已验证并决定信任的根证书的地方。这些用于构建证书链。也就是说,如果您的证书链接到此信任锚存储中的根 CA 证书,那么您就是隐含地信任您的证书。如果证书未链接到您的信任锚存储中的根 CA 证书,则您不信任该证书。你现在看到的就是后者。也就是说,您尚未在信任锚存储中安装根 CA 证书。
在 Windows 中,信任锚存储显示为您的 Certificates MMC 的子文件夹,称为 Trusted Root Certification Authorities.
您可以手动将根 CA 导入此信任锚存储(右键单击,所有任务 > 导入... , 或者您可以使用 Active Directory 或组策略将它们分发到所有或部分计算机。
一旦您在信任锚存储中安装了根 CA,您应该能够查看整个链并且不会得到 找不到此证书的颁发者。 留言.
我们有 Windows 2019 DC - ADCS PKI。它由根 CA 和从属 CA 组成。当从属 CA 颁发证书时,根 CA 不在链中。如果您打开颁发的证书并转到“证书路径”选项卡,从属 CA 证书是链中最高的。如果单击它,它会显示“找不到此证书的颁发者”。作为证书状态。
现在我有2个问题。
- 我可以在我的 PKI 配置中更改什么,以便根 CA 始终出现在新颁发的证书中。 (我认为这是由于配置错误造成的)。
- 我可以将根 CA 添加到已颁发的证书中吗?
我认为您误解了根 CA 证书的作用以及证书链的概念。
当您的从属 CA 向终端实体(例如 IIS)颁发证书时,颁发的证书与从属 CA 的唯一联系是 CA 的名称嵌入在证书中(颁发者字段)并且此证书由 CA 的私钥签名,此签名也作为证书的一部分嵌入。 CA 证书未以任何其他方式附加到您的证书。
当您双击 Windows 中的证书时,它会显示该证书的详细信息。当您查看“证书路径”选项卡时,它会尽可能多地向您显示链。它将查看您的证书的颁发者,如果它可以从它的证书存储或通过从存储库下载它来访问 Sub CA 证书,它也会列出它。该 CA 证书也有一个颁发者(在您的情况下是根 CA),如果它可以访问其证书存储中的颁发者,它也会在证书路径中列出它。
Root CA 安装在一个名为 trust-anchor store 的特定证书存储中。这是您(或您的管理员)安装您已验证并决定信任的根证书的地方。这些用于构建证书链。也就是说,如果您的证书链接到此信任锚存储中的根 CA 证书,那么您就是隐含地信任您的证书。如果证书未链接到您的信任锚存储中的根 CA 证书,则您不信任该证书。你现在看到的就是后者。也就是说,您尚未在信任锚存储中安装根 CA 证书。
在 Windows 中,信任锚存储显示为您的 Certificates MMC 的子文件夹,称为 Trusted Root Certification Authorities.
您可以手动将根 CA 导入此信任锚存储(右键单击,所有任务 > 导入... , 或者您可以使用 Active Directory 或组策略将它们分发到所有或部分计算机。
一旦您在信任锚存储中安装了根 CA,您应该能够查看整个链并且不会得到 找不到此证书的颁发者。 留言.