Как с openssl выпустить сертификат CA, чтобы он автоматически импортировался в Доверенные корневые центры сертификации?

Question

[krosh]

Для генерации самоподписанных сертификатов используем openssl.

Пользователи сами импортируют сертификат в систему и иногда ошибаются хранилищем.

Хочется генерировать сертификат CA так, что бы при его импорте в Windows, пользователю не приходилось выбирать хранилище и при этом он устанавливался в "Доверенные корневые центры сертификации" (пользователя или системы это не сильно важно сейчас).

Тот сертифкат, которым пользуемся сейчас, автоматически импортируется в хранилище "Промежуточные центры сертификации" и после этого личные сертификаты считаются недоверенными.

UPD1. Суть вопроса в том, как понять логику стандартного мастера импорта сертификатов в Windows? На основании каких полей и свойств сертификата он определяет хранилище?

Answer 1

[chupasaurus]

Командлет Import-Certificate

Comments

[krosh]

Спасибо. Это решение для корпоративных пользователей, а для внешних его трудно будет использовать.

[chupasaurus]

krosh: Всего один Posh-скрипт, в который можно и сам сертификат воткнуть при желании.
Powershell есть везде (извините, но Windows XP SP2 и ранее, на которых Posh-а нет - не должны существовать на дисках).

Answer 2

[Максим Гришин]

Автоматом именно ручной импорт не выйдет, а вот групповой политикой - выйдет. Нет групповой политики - пишите к нему батник для импорта.

Comments

[krosh]

Почему стандартный мастер импорта сертификатов не сможет этого сделать? Не умеет или там другая логика, которую не умеет openssl?

[Максим Гришин]

krosh: ЕМНИП не умеет именно автоматически выбрать. В параметрах ему можно указать, в какой контейнер импортировать, для этого понадобится батник. А так - сертификат является вообще корневым как таковой? Если нет, то и нечего ему по факту делать в корневых, поэтому логика и запихивает его в intermediate. Если да, то вообще-то странно, но если вы проверили, и именно этот сертификат импортируется криво, проще написать батник, чем маяться с разгадкой, почему он падает не в тот контейнер.

[krosh]

Максим Гришин: сертификат является именно корневым и если руками его ставить в правильное хранилище, то потом сертификаты пользователей правильно работают и система им доверяет, все как и нужно. Какие поля в сертификате отвечают за его тип, есть такие?

Answer 3

[Михаил Григорьев]

Если ПК не в домене АД, то импортировать серитификаты можно с помощью утилиты certutil.exe (в архиве 2 версии утилиты, эта утилита входит в состав CryptoPro и WindowsSDK)

certutil.exe -f -user -addstore Root myROOTcertFile.cer

или

certutil.exe -f -user -addstore CA myCAcertFile.cer