Продолжаю долбится с Hotspot mikrotik финальная битва. Почему нет пути сертификации?

Question

[Dvach]

Итак, есть страница, есть настроенный хотспот на микротике. Есть wildcard сертификат например на *.example.com. Сертификат импортирован и выбран. Есть А запись на hotspot.example.com dns name в server profile указан верно. А запись на внешний адресс роутера. И всё отрабатывает как надо с части устройств. Но на части устройств (преимущественно виндовые) - баузеры не могут найти путь сертфикации. Почему путь сертификации не определяется в отдельных случаях?

Comments

[Gansterito]

Не может ли быть, что винда идет в интернет чтобы проверить ваш сертификат на отзыв, и этого интернета как раз нет? В любом случае нужно в сертификат добавлять всю цепочку, если есть кросс-сертификация с другим Центром, то их тоже. Не уверен, правда, что Mikrotik сможет )))

Answer 1

[CityCat4]

Потому что в корневых нет сертификата издателя. Винда проверяет сертификат издателя проверяемого сертификата на наличие в хранилище корневых. Если он сам не корневой (то есть у него есть свой издатель) - то проверяет и его и так далее пока не дойдет до сертификата, который сам себе издатель :)

И все сертификаты в цепочке должны присутствовать либо в "Доверенные корневые центры" либо в "Доверенные промежуточные центры". На каждом устройстве. Для винды обычно такое делают политиками.

Comments

[Dvach]

Спасибо, ваш ответ помог мне разобраться и решить проблему. Помог импорт в промежуточных сертификатов, в моём случае это сертификаты SECTIGO. После этого они подтягиваются на клиентские устройства.