客户端如何导入私有CA证书到受信任的证书颁发机构中

问题描述

客户端访问服务时，浏览器提示 “您的连接不是私密连接“等安全告警信息，错误代码示例为 NET::ERR_CERT_AUTHORITY_INVALID，如下图所示：

问题原因

本产品提供的是私有CA服务，不在浏览器及操作系统默认的受信任颁发机构中。使用本产品生成的私有证书配置了HTTPS的服务后，仍需在客户端安装证书链到受信任的证书颁发机构中。

解决方案

请参考本章节内容，将私有CA添加到受信任的证书办法机构中。

说明：

Firefox浏览器是从浏览器内部的证书库检查当前证书的签发CA是否受浏览器信任，而不是读取操作系统中的证书库，因此其配置方式不同于其它浏览器。

Windows操作系统

本节介绍在Windows操作系统中，如何导入私有证书的签发CA证书链，使其成为受信任的证书颁发机构。

1. 在证书服务页面，下载该私有证书的签发CA链上所有的CA证书文件，即该证书的签发CA、签发CA的上一级签发CA，以此类推直至根CA。

2. 双击某个CA证书文件，在弹出的窗口中单击 安装证书。

   

3. 存储位置选择 当前用户，单击 下一页。

   

4. 选择 将所有的证书都放入下列存储(P)。

   

5. 单击 浏览，如果是根CA选择 受信任的根证书颁发机构，如果是从属CA选择 中间证书颁发机构。选择完成后单击 确定。

   

6. 单击 下一页。

   

7. 单击 完成，弹出安全警告窗口。

   

8. 单击 是，提示导入成功。

   

9. 重复以上步骤，依次安装该私有证书的签发CA到根CA的所有CA证书。

10. 在浏览器中验证证书导入结果，以Microsoft Edge浏览器为例。

    1. 打开Microsoft Edge浏览器，进入设置页面。

       

    2. 在 “隐私、搜索和服务” 菜单项中找到 “安全性”，单击“管理证书”。

       

    3. 在弹出的证书窗口中，查看“受信任的根证书颁发机构” 和“中间证书颁发机构”页签，即可查看到导入的根CA证书和从属CA证书。

       

macOS操作系统

本节介绍在macOS操作系统中，如何导入私有证书的签发CA证书链，使其成为受信任的证书颁发机构。

1. 在证书服务页面，下载该私有证书的签发CA链上所有的CA证书文件，即该证书的签发CA、签发CA的上一级签发CA，以此类推直至根CA。

2. 双击某个证书文件，弹出密码输入窗口。

   

3. 输入系统密码，单击 修改钥匙串，弹出钥匙串列表。

   

4. 此时虽然私有CA的证书已经导入到系统钥匙串中，但仍不受系统信任。

   

5. 右键单击导入的私有CA证书，选择“显示简介”。

   

6. 展开“信任”下的详细信息。

   

7. 将详细信息中的所有选项改为“始终信任”。

   

8. 关闭窗口。此时由于修改了文件属性，需要再次输入系统密码。

   

9. 再次在钥匙串列表中查看导入的私有CA证书，已被系统信任。

   

Firefox浏览器

本节介绍如何在Firefox浏览器中导入私有证书的签发CA证书链，使其成为受信任的证书颁发机构。

1. 在证书服务页面，下载该私有证书的签发CA链上所有的CA证书文件，即该证书的签发CA、签发CA的上一级签发CA，以此类推直至根CA。
2. 打开 Firefox 浏览器设置页面。

3. 在“隐私与安全”菜单项中，找到“证书”，单击 查看证书。

4. 在弹出的证书管理器中，选择“证书颁发机构”页签，单击 导入。

5. 选择下载好的私有CA证书文件，单击 打开。

6. 勾选 “信任由此证书颁发机构来标识网站” 和 “信任由此证书颁发机构来标识电子邮件用户”选项，单击 确定。

7. 私有证书导入成功，可在“证书管理器”窗口中的“证书颁发机构”页签下看到已导入的私有CA。

8. 重复以上步骤，安装该私有证书的签发CA到根CA的所有CA证书。