Loading
close

客户端如何导入私有CA证书到受信任的证书颁发机构中

time 更新时间:2022-05-06 19:00:29

问题描述

客户端访问服务时,浏览器提示 “您的连接不是私密连接“等安全告警信息,错误代码示例为 NET::ERR_CERT_AUTHORITY_INVALID,如下图所示:

./images/windows0.png

问题原因

本产品提供的是私有CA服务,不在浏览器及操作系统默认的受信任颁发机构中。使用本产品生成的私有证书配置了HTTPS的服务后,仍需在客户端安装证书链到受信任的证书颁发机构中。

解决方案

请参考本章节内容,将私有CA添加到受信任的证书办法机构中。

说明:

Firefox浏览器是从浏览器内部的证书库检查当前证书的签发CA是否受浏览器信任,而不是读取操作系统中的证书库,因此其配置方式不同于其它浏览器。

Windows操作系统

本节介绍在Windows操作系统中,如何导入私有证书的签发CA证书链,使其成为受信任的证书颁发机构。

  1. 在证书与密钥服务页面,下载该私有证书的签发CA链上所有的CA证书文件,即该证书的签发CA、签发CA的上一级签发CA,以此类推直至根CA。

  2. 双击某个CA证书文件,在弹出的窗口中单击 安装证书

    ./images/windows1.png

  3. 存储位置选择 当前用户,单击 下一页

    ./images/windows2.png

  4. 选择 将所有的证书都放入下列存储(P)

    ./images/windows3.png

  5. 单击 浏览,如果是根CA选择 受信任的根证书颁发机构,如果是从属CA选择 中间证书颁发机构。选择完成后单击 确定

    ./images/windows4.png

  6. 单击 下一页

    ./images/windows5.png

  7. 单击 完成,弹出安全警告窗口。

    ./images/windows6.png

  8. 单击 ,提示导入成功。

    ./images/windows7.png ./images/windows8.png

  9. 重复以上步骤,依次安装该私有证书的签发CA到根CA的所有CA证书。

  10. 在浏览器中验证证书导入结果,以Microsoft Edge浏览器为例。

    1. 打开Microsoft Edge浏览器,进入设置页面。

      ./images/windows9.png

    2. 在 “隐私、搜索和服务” 菜单项中找到 “安全性”,单击“管理证书”。

      ./images/windows10.png

    3. 在弹出的证书窗口中,查看“受信任的根证书颁发机构” 和“中间证书颁发机构”页签,即可查看到导入的根CA证书和从属CA证书。

      ./images/windows11.png

macOS操作系统

本节介绍在macOS操作系统中,如何导入私有证书的签发CA证书链,使其成为受信任的证书颁发机构。

  1. 在证书与密钥服务页面,下载该私有证书的签发CA链上所有的CA证书文件,即该证书的签发CA、签发CA的上一级签发CA,以此类推直至根CA。

  2. 双击某个证书文件,弹出密码输入窗口。

    ./images/windows12.jpeg

  3. 输入系统密码,单击 修改钥匙串,弹出钥匙串列表。

    ./images/windows13.jpeg

  4. 此时虽然私有CA的证书已经导入到系统钥匙串中,但仍不受系统信任。

    ./images/windows14.jpeg

  5. 右键单击导入的私有CA证书,选择“显示简介”。

    ./images/windows15.jpeg

  6. 展开“信任”下的详细信息。

    ./images/windows16.jpeg

  7. 将详细信息中的所有选项改为“始终信任”。

    ./images/windows17.jpeg

  8. 关闭窗口。此时由于修改了文件属性,需要再次输入系统密码。

    ./images/windows18.jpeg

  9. 再次在钥匙串列表中查看导入的私有CA证书,已被系统信任。

    ./images/windows19.jpeg

Firefox浏览器

本节介绍如何在Firefox浏览器中导入私有证书的签发CA证书链,使其成为受信任的证书颁发机构。

  1. 在证书与密钥服务页面,下载该私有证书的签发CA链上所有的CA证书文件,即该证书的签发CA、签发CA的上一级签发CA,以此类推直至根CA。
  2. 打开 Firefox 浏览器设置页面。

./images/windows20.png

  1. 在“隐私与安全”菜单项中,找到“证书”,单击 查看证书

./images/windows21.png

  1. 在弹出的证书管理器中,选择“证书颁发机构”页签,单击 导入

./images/windows23.png

  1. 选择下载好的私有CA证书文件,单击 打开

./images/windows24.png

  1. 勾选 “信任由此证书颁发机构来标识网站” 和 “信任由此证书颁发机构来标识电子邮件用户”选项,单击 确定

./images/windows25.png

  1. 私有证书导入成功,可在“证书管理器”窗口中的“证书颁发机构”页签下看到已导入的私有CA。

./images/windows26.png

  1. 重复以上步骤,安装该私有证书的签发CA到根CA的所有CA证书。
此篇文章对你是否有帮助?
没帮助
locked-file

您暂无权限访问该产品