Я использую openssl pkcs12 команда для упаковки моих сертификатов / ключей для Windows 8,
openssl pkcs12 -export \
-in win8client-cert.pem \
-inkey win8client-key.pem \
-certfile ca-cert.pem \
-out win8client.p12
Однако мне не совсем понятно, что он делает. Если я кормлю его -certfile почему файл сертификата также должен быть вручную установлен на хост-машине (поле Windows 8)? Когда я беру .p12 и извлеките cacert (используя Certificates MMC в Windows), я могу установить его на хост-бокс, и все работает нормально.
Почему нельзя просто получить сертификат CA от .p12 (Насколько я понимаю, это просто формат упаковки).
MMC Certificates при импорте файла PKCS # 12 помещает все сертификаты в Личные / Сертификаты папку, даже сертификат CA. Проблема в том, что сертификаты CA должны находиться в Надежные корневые центры сертификации / сертификаты папка, которая будет фактически использоваться как корень при проверке цепочки сертификатов. Следовательно, если вы вручную переместите сертификат в эту папку после импорта контейнера PKCS # 12, все должно работать должным образом.