У меня есть дерево PKI, а Ironport - это CA на втором уровне дерева PKI (для выдачи сертификатов проверки HTTPS)
Хотя я развернул корневой сертификат для всех клиентов и chrome / IE работает правильно, Firefox поддерживает собственное хранилище сертификатов независимо от Windows.
Я хочу попросить службу поддержки только импортировать корневой сертификат, а не промежуточный сертификат Ironport в доверенное хранилище Firefox. Я предполагаю, что проблема здесь аналогична другим проблемам веб-сайта, когда устройство не отправляет «связанные / связанные» сертификаты (например, отправка корневого сертификата в потоке HTTPS)
Поскольку пользовательский интерфейс ironport позволяет импортировать только сертификат формата PEM, есть ли способ заставить Ironport отправлять в браузеры всю публичную цепочку HTTPS, а не только сертификат последней мили?
На странице веб-администрирования Ironport в разделе Сеть / Сертификаты вы можете определить различные сертификаты, которые вы хотите использовать для SMTPS и HTTPS.
При определении нового сертификата вы можете загрузить (последний шаг) сертификат PKCS # 12.
После этого вы можете редактировать существующий сертификат на той же странице. Внизу страницы свернутый раздел «Международные сертификаты (необязательно)». Откройте его, и вы сможете загрузить столько международных сертификатов, сколько необходимо для завершения цепочки.
Теперь вы можете связать этот сертификат со своей службой HTTPS на Ironport, и он отправит полную цепочку сертификатов.
Мы делаем это здесь, используя сертификаты QuoVadis, для которых требуется 3 промежуточных сертификата, и это работает.