使用OpenSSL的IIS上的不可信证书

Question

我正在使用OpenSSL来避免支付费用。在我的服务器IIS乳宁8和Windows Server 2012的

我创造了我的证书是这样的：

1. 使用IIS创建一个证书请求

2. 用下面的命令来创建一个RSA私钥

   OpenSSL的genrsa -des3 -out cakey.pem 2048

3. 此后我用这个命令生成证书

   OpenSSL的REQ -new -key cakey.pem -x509 -days 1825 -Extensions v3_ca退房手续ca.crt

4. 最后，我用这个签名的证书请求：

   OpenSSL的X​​509 -req -days 365 -in certreq.txt -CA ca.crt -CAkey cakey.pem -CAcreateserial退房手续iis.cer

但是，当我浏览到该网站，我得到一个“错误”告诉​​我，这是一个“不可信证书“：本网站提供的安全证书不是由可信证书颁发机构颁发的。

Answer 1

您从OpenSSL工具获得的是自签名证书。当然，任何浏览器都不会信任它，因为谁能说你值得信任。

如果您想建立公共网站，请购买证书。这是你必须支付的东西，就像公共域名一样。

相反，如果您为贵公司托管内部网站，则有多种方法可以设置您自己的CA，例如使用Microsoft Active Directory证书服务。

Answer 2

在尝试访问运行在CA层次结构下生​​成的证书的IIS服务器之前，您是否已将CA证书安装到浏览器中？这里有一些information about that step。