Мне нужно настроить защищенную связь между двумя компьютерами с Windows. Для этого я создал набор сертификатов и сохранил их как файлы .x509.
Если я приступлю к их установке на другой машине, я получу The integrity of this certificate cannot be guaranteed. The certificate may be corrupted or may have been altered. предупреждение. Я понимаю, что это означает, что он не может проверять сертификаты в цепочке, но я не знаю, что мне нужно сделать, чтобы авторизовать их. Раньше мне удавалось сделать это, просмотрев корневой сертификат из импортированного сертификата в диспетчере сертификатов, экспортировав его как файл .cer, а затем повторно импортировав этот файл в хранилище «Trusted Root Certification Authorities», но это не так. Кажется, здесь не работает, и если честно, я в основном делаю это как процесс вуду - я не понимаю, в чем его цель, и, учитывая, что я хочу иметь возможность автоматизировать все это с помощью Powershell, я думаю, что мне нужно углубить мое понимание здесь. Если, конечно, у кого-то нет удобного скриптлета, в котором это предусмотрено. Это было бы отлично.
Что я действительно хочу сделать, так это иметь набор файлов, представляющих мою текущую цепочку сертификатов, которые можно импортировать как часть процесса установки, при любом взаимодействии с администратором, и установить рабочую цепочку, которую я затем могу использовать из своего приложения. чтобы установить безопасную трубу между двумя машинами.
Я устанавливаю актуальные сертификаты, которые планирую использовать для LocalMachine\My
Думаю, вы уже решили свою проблему, но эта проблема случилась и со мной. Я немного поискал в сети и нашел проблему.
В моем случае CRL в «точках распространения CRL» не обновлялись. В своем сертификате вы можете видеть, что у вас есть точки распространения, которые ведут в каталог, в котором находятся все списки отзыва сертификатов.
Сертификат подтверждает, что его нет в CRL.
Мой сертификат был промежуточным ЦС, и CRL нашего корневого ЦС не обновлялся. Так что вы должны это проверить.
Надежные корневые сертификаты - это самоподписанные сертификаты. Таким образом, проверка сертификата не должна приводить к ошибке, если ваш компьютер с Windows не понимает алгоритмы, используемые для создания / подписания сертификата.
Один из таких случаев Windows Server 2003 и SHA-2 семейство алгоритмов. Windows Server 2003 не понимает SHA-2 семейство алгоритмов. Недавно я столкнулся с этой проблемой, и исправление заключалось в установке исправления на машине, которое устраняет эту проблему - это ссылка на сайт для исправления.