makecert
に問題があり、件名の代替名を持つ自己署名入りのSSL証明書を生成できません(SAN)を配置します。 Google Chromeの最新バージョンでは、HTTPS経由でWebサイトにアクセスするとセキュリティエラーが発生します。私は文脈を試して理解するためにいくつかの記事を読んでおり、makecert
は十分に古く、SANでX509 v3証明書の生成をサポートすることができないという結論に達しました。自己署名付きルート証明書とそのルートCAに基づく中間証明書を生成するための代替手段はありますか?Windows 7以上で実行可能な他のものを使用してください。自己署名証明書(Subject Alternative Nameを持つX509 v3)を自分のルート証明書で生成してMakeCert.exeを置き換える方法があります
次のようにルート証明書が生成され、次のようにルートCA以上と
makecert.exe -pe -ss Root -sr LocalMachine -n "CN=DIGITALMARKETRESEARCHAPPS PTY LTD, O=DIGITALMARKETRESEARCHAPPS PTY LTD, OU=DIGITALMARKETRESEARCHAPPS PTY LTD" -eku 1.3.6.1.5.5.7.3.1 -r -cy authority -a sha256
中間証明書が作成されます。
makecert.exe -pe -ss my -n "CN=www.myawesomesite.com.au, O=DIGITALMARKETRESEARCHAPPS PTY LTD, OU=DIGITALMARKETRESEARCHAPPS PTY LTD" -sky exchange -in "DIGITALMARKETRESEARCHAPPS PTY LTD"
私はNew-SelfsignedCertificateEx
またはNew-SelfSignedCertificate
のいずれかを使用する方法を見つけるように見えることはできません上記のパラメータに正確にマッピングし、指定されたルートCAを使用して証明書を作成します。
本当にありがとうございます、正しい方向に助けてください。
現時点では、makecert.exe
を利用してクライアントが使用するこの古いアプリケーションがあり、その場でSSL証明書を生成します。残念なことに、これはずっと前に行われたもので、今のところ全体のアーキテクチャを変更するように戻って彼らに伝えるのは難しいです。特にGoogleのXhromeは、以下のこの記事で説明したようにmakecert
によって生成されたこれらの証明書文句を言ってきた:
http://www.telerik.com/blogs/understanding-fiddler-certificate-generators
あなたがopenssl.exe' 'でそれをすべて行うことができます。オフトピック。 – EJP
New-SelfSignedCertificate PowerShellコマンドレットですべて実行できます。 – Crypt32
おかげさまでEJPとCrypt32に感謝します。私はopensslについての記事を読んだが、この文脈ではパッケージ化されたmakecert.exeを別の実行可能ファイルに置き換えるか、あるいは私が一緒に配布できるようにする必要がある。 基本的には次のようになります: アプリケーション - > HTTPS要求を検査するためにfiddlerコアを使用します - > makecert.exe を呼び出してprocessinfoを使用して外部プロセスを起動し、ルート証明書とエンドエンティティ証明書を作成します。 私はNew-SelfSignedCertificateを試しましたが、信頼の連鎖を作成することができず、すべてのパラメータがWindows 7および8,8.1で動作するわけではありません –