-1

我已经创建了一个具有以下属性的根证书、中间 CA 和 Ssl 证书。

根证书:

扩展密钥使用(客户端身份验证、时间戳)

中级 CA

扩展密钥使用(服务器身份验证、客户端身份验证时间戳)

SSL 证书。

扩展密钥使用(服务器身份验证、客户端身份验证时间戳)

我在 chrome (Img Attached) 中遇到了错误,但在 Firefox 中同样可以正常工作,尽管我在 Microsoft 信任库中添加了 Root 和 Intermediate CA。

SSL 错误

我没有在根证书中包含服务器身份验证作为扩展密钥。有没有办法在这个根证书下创建 ssl 证书。请帮忙

4

1 回答 1

0

否。如果 CA 证书(根证书或中间证书)包含扩展密钥使用扩展,则颁发的证书只能具有这些 EKU 的子集(除非 CA 的 EKU 具有“任何使用”EKU)。

一般来说,根证书不会有 EKU 扩展(适用于所有用途),如果中间证书由同一家公司拥有,它通常也不会有 EKU 扩展。如果中间 CA 是发行伙伴关系,则发行 CA 将经常约束从属 CA。

例如 www.microsoft.com (2018-06-05) 的 TLS 证书,其中使用了委托签发 CA 协议:

  • www.microsoft.com
    • EKU:TLS 服务器身份验证、TLS 客户端身份验证
  • 微软 IT TLS CA 4
    • EKU:TLS 服务器身份验证、TLS 客户端身份验证、OCSP 签名
  • 巴尔的摩 Cyber​​Trust 根
    • (无 EKU 扩展)

与 www.wikipedia.org 比较:

  • *.wi​​kipedia.org
    • EKU:TLS 服务器身份验证、TLS 客户端身份验证
  • GlobalSign 组织验证 CA - SHA256 - G2
    • (无 EKU 扩展)
  • GlobalSign 根 CA
    • (无 EKU 扩展)
于 2018-06-05T16:02:32.450 回答