Назад | Перейти на главную страницу

Центр сертификации Windows Server 2012rs, IIS, клиент Linux, OpenSSL

У меня есть Windows Server 2012r2, который действует как центр сертификации и как https-сервер IIS. У меня есть клиент linux.

Эта команда отлично работает на моем Linux-клиенте и ведет себя точно так же, как и ожидалось, поэтому я могу поверить, что мой клиент практически не поврежден:

$ openssl s_client -connect google.com:443 -showcerts

Я экспортировал общедоступный сертификат CA как CA.cer со своего Windows Server и скопировал его на свой Linux-клиент.

Я выпустил самозаверяющий сертификат для IIS. В сертификате указано «Имя субъекта: CN = example.com, CN = *. Example.com» и «Альтернативное имя субъекта: IPV4 = 10.1.1.10, IPV4 = 10.1.1.11, IPV4 = 100.100.100.100». Я установил его правильно, это означает, что в привязках веб-сайтов по умолчанию для *: 443.

Я не могу представить, как это может быть проще, но я думаю, что сделал что-то не так именно в этом небольшом моменте, как вы увидите в примере ниже:

На моем Linux-клиенте я запускаю:

$ openssl s_client -showcerts -CAfile CA.cer -connect 10.1.1.11:443

В результате вижу:

CONNECTED(00000005)
depth=0 CN = *.example.com, CN = example.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = *.example.com, CN = example.com
verify error:num=27:certificate not trusted
verify return:1
depth=0 CN = *.example.com, CN = example.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=*.example.com/CN=example.com
   i:/DC=com/DC=example/CN=Positive Example, Inc.
-----BEGIN CERTIFICATE-----
:
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=*.example.com/CN=example.com
issuer=/DC=com/DC=example/CN=Positive Example, Inc.
---
No client certificate CA names sent
---
SSL handshake has read 2002 bytes and written 431 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-SHA384
    Session-ID: XXX...
    Session-ID-ctx: 
    Master-Key: XXX...
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1481129355
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---

Есть ли у кого-нибудь мысли по поводу этой процедуры?

Спасибо за помощь.