Продолжаю долбится с Hotspot mikrotik финальная битва. Почему нет пути сертификации?
Итак, есть страница, есть настроенный хотспот на микротике. Есть wildcard сертификат например на *.example.com. Сертификат импортирован и выбран. Есть А запись на hotspot.example.com dns name в server profile указан верно. А запись на внешний адресс роутера. И всё отрабатывает как надо с части устройств. Но на части устройств (преимущественно виндовые) - баузеры не могут найти путь сертфикации. Почему путь сертификации не определяется в отдельных случаях?
Не может ли быть, что винда идет в интернет чтобы проверить ваш сертификат на отзыв, и этого интернета как раз нет? В любом случае нужно в сертификат добавлять всю цепочку, если есть кросс-сертификация с другим Центром, то их тоже. Не уверен, правда, что Mikrotik сможет )))
Потому что в корневых нет сертификата издателя. Винда проверяет сертификат издателя проверяемого сертификата на наличие в хранилище корневых. Если он сам не корневой (то есть у него есть свой издатель) - то проверяет и его и так далее пока не дойдет до сертификата, который сам себе издатель :)
И все сертификаты в цепочке должны присутствовать либо в "Доверенные корневые центры" либо в "Доверенные промежуточные центры". На каждом устройстве. Для винды обычно такое делают политиками.
Спасибо, ваш ответ помог мне разобраться и решить проблему. Помог импорт в промежуточных сертификатов, в моём случае это сертификаты SECTIGO. После этого они подтягиваются на клиентские устройства.
Простой
