Что делать с этой ошибкой при добавлении сертификата pfx?

Question

[Альберт Крожежепицкай]

Сертификат от Sectigo собран в pfx

openssl pkcs12 -inkey private.key -in _domain_com.crt -export -out _domain_com.pfx

Разворачиваю центр сертификации на Windows server 2019
При добавлении сертификата вот такая ошибка


В логах
Microsoft-Windows-CertificateServices-Deployment/Operational

Microsoft.CertificateServices.Deployment.Common.CA.CertificationAuthoritySetupException:
Microsoft.CertificateServices.Deployment.Common.CA.CertificationAuthoritySetupException
   в Microsoft.CertificateServices.ServerManager.DeploymentPlugIn.Provider.PowerShellCommandExecutor.Execute(Command command, IPowerShellEngine powerShellEngine, IRehydrator rehydrator)
   в Microsoft.CertificateServices.ServerManager.DeploymentPlugIn.Provider.CA.CAPSHProviderContext.Validate()
   в Microsoft.CertificateServices.ServerManager.DeploymentPlugIn.Provider.CA.Operations.SetExistingCertificate.Execute(ExistingCertificateParameters parameters)
   в Microsoft.CertificateServices.ServerManager.DeploymentPlugIn.DeploymentWizard.CA.ViewModels.ExistingCertificate.ExistingCertificateViewModel.Validate()

Answer 1

[CityCat4]

Хех, я так пронял, Вы схитропопить решили и подсунуть в CA обычный сертификат от комода, в расчете на то, что примет и можно будет выпускать сертификаты, в итоге подписанные комодом?
Не, так не пойдет. Сертификаты CA - имеют специальную пометочку "я CA", которую комод Вам никогда не поставит.
Вам нужно свой сертификат сгенерить, но он разумеется будет валидным только внутри Вашей конторы и то при условии распространения его политиками.

Comments

[Альберт Крожежепицкай]

штош)
Спасибо)

[CityCat4]

Не, идея была правильная :) Установить в качестве корневого сертификат комода, и выпускать валидные сертификаты :) Замечательная идея. Но проблема в том, что и комод это тоже знает :) И ему это вовсе ни к чему :)
Сертификаты, способные выпускать собственные сертификаты ни один СA Вам не сделает - это закрытая такая шайка-лейка, бизнес, причем по доходности приближающийся к дури - фактически любой CA торгует своим авторитетом :) потому что выпуск сертификата - это нуль затрат, кроме затрат на инфраструктуру (а вот на нее идет дохренааааа)
Но в рамках своей конторы Вы запросто разбрасываете сертификат своего CA по компам - и он у Вас такой же доверенный, как комод.