Нам необходимо развернуть серверное приложение, в которое встроен собственный SSL-сертификат. Он будет перенесен на неизвестное количество серверов, которые будут работать вверх и вниз.
Мы можем сгенерировать этот сертификат с помощью любого CA, но в итоге у нас будет только файл pfx сертификата 509 (выданный godaddy или другим CA). У нас могут быть промежуточные сертификаты, но этот веб-сервер прост и позволяет нам указывать только файл pfx.
Мы не сможем распространять или устанавливать промежуточные сертификаты.
Это приложение на C #, работающее на Win2008 и более поздних версиях.
Какие есть способы решить эту проблему?
- Есть ли сертификат, который достаточно надежен, чтобы браузеры могли доверять ему без промежуточных сертификатов?
-- или ?
Вы можете добавить дополнительные сертификаты из цепочки доверия в Файл PKCS # 12 с использованием openssl.
Например, чтобы включить цепочку доверия, вы можете использовать следующую команду:
openssl pkcs12 -export -in input.pfx -out bundle.pfx -CAfile allcacerts.crt -chain
Это попытается включить всю цепочку доверия сертификатов в ваш выходной файл pfx. Вам может потребоваться включить -passin <input password> и -passout <output password> для требований к паролю. Вы можете принудительно включить какие-либо конкретные сертификаты с помощью -certfile cacert.crt чтобы включить все сертификаты в этот файл.
Вы можете использовать ту же утилиту для проверки файла pfx, чтобы увидеть его содержимое и распечатать значительный объем диагностической информации.
openssl pkcs12 -in bundle.pfx -info