Как сделать промежуточный ЦС?

Question

[Яна Кравцова]

Добрый день!

Есть:
1) Самоподписанный корневой сертификат ЦС и ключ --- сертификат валидный ( установлен в систему )
2) Подписанный корневым сертификатом --- промежуточный ЦС и ключ --- сертификат валидный
3) Подписанный промежуточным ЦС --- конечный сертификат и ключ

Так вот. Последний сертификат считается не валидным - "Невозможно обнаружить поставщика этого сертификата.".

Как правильно имея все сертификаты и ключи, сформировать третий сертификат? То бишь подписать CSR, чтобы он был валидным?

Или... Неужели придется все ЦС устанавливать в систему?

Заранее, большое спасибо!

Answer 1

[CityCat4]

Когда я реализовывал прокси с бампингом и использованием собственного CA (да, у нас тоже СA двухуровневый) - то пришлось в систему поставить оба сертификата - и корневого CA и промежуточного - и именно в корневые, пока промежуточный стоял в "Промежуточные CA" - нифига доверия не было.

Answer 2

[Николай Корабельников]

Вам надо, чтобы клиентский софт(ОС, браузер,...):
- доверял корневому УЦ
- мог построить цепочку от вашего конечного сертификата до корневого УЦ.

Для последнего пункта надо, чтобы вы:
- предоставляли клиенсткому софту не только ваш сертификат, а еще и сертификат промежуточного УЦ. Так обычно делают с SSL сертификатами веб-сайтов - веб-сервера предоставляют цепочку, а не только сам сертфиикат сайта.
ИЛИ
- загрузили в доверенные не только корневой сертификат, но и сертификат промежуточного УЦ.