CityCat4

EV - просто понты, типа надежность и крутость организации
OV - есть поля, которые нельзя поставить в DV сертификате, SAN например.

JFYI: Сайт - это только очень частное применение сертификата, вообще говоря спектр его применений значительно шире

Наверное, существуют. Только вовсе не обязательно, что если не просят денег - это бесплатно :) Заплатите тем, что :
- Вам напихают рекламы в каждую дырочку
- Ключ от сертификата останется у выпускающего, да? То есть весь трафик будет им расшифрован и полезности переданы куда следует...

Путаем причину и следствие.

Следствие - при установке на сайт сертификата, полученного в российском CA, в браузере он не показывается доверенным.
Причина - производитель браузера/устройства не включил сертификат данного CA в список доверенных по своим собственным причинам.

Других причин нет.

Да, это картельный сговор. Да, это санкции-херанкции. Да, мозилла, гугл и M$ изначально не хотели добавлять российские CA в доверенные - а добавили бы - так с началом Донбасской спецоперации непременно бы выкинули.

В РФ есть CA. Просто, чтобы их сертификаты стали валидными - их корневые нужно добавлять в каждое устройство.

Взять доменное имя за копейки - на год, потом забить.
Взять бесплатный сертификат на LE - для этого он вполне годится

ПРОФИТ!

Внимательно читаем ошибку

certificate verify failed: unable to get local issuer certificate

Которая означает, что Вы используете самоподписанный сертификат, к которому нет доверия. Либо сертификат, изданный CA, к которому нет доверия.

Что делать? Добавить либо сертификат, который используете, либо сертификат издателя в то хранилище, которое идет за хранилище доверенных (обычно это /etc/ssl, но запросто может быть другое) и не забыть на него линк создать.

Зачем лезть в вопросы "внутривиндового" существования? И контроллеры доменов, и обычные тачки периодически обновляют свои сертификаты, если есть работающий виндовый CA. Причем контроллеры доменов выпускают несколько сертификатов - часть из них именно для целей работы домена. Если изначально шаблон не предусматривал одобрение администратора CA - не нужно этого делать, у винды куча своих собственных внутренних шаблонов, пусть себе живет своей жизнью.

GlobalSign одно время нам предлагал услугу subCA. Платишь абонентку, довольно дорого, получаешь личный кабинет в котормо можешь выпустить N сертификатов по собственным разумениям.
А чтобы просто получить сертификат subCA - ну, это я не знаю, наверное возможно, но не каждая контора осилит.

Для работы RDP винда тупо генерит самоподписанный сертификат и ее никак не переубедить этого не делать. Есть мануалы, где написано, что при наличии в хранилище компьютера сертификата, выпущенного по шаблону, прописанному в некоей политике - винда этого не делает, но у меня повторить не получилось - несмотря на наличие оного сертификата винда кладет на него преогромный болт и все равно выпускает свой.
Простейшим решением является тык в галочку "Доверять все равно" раз в год.

Я не так давно отвечал на этот вопрос.

Вот

Если что-то непонятно - спрашивайте, зачем задавать один и тот же вопрос повторно?

Вся система PKI - она иерархична и построена на доверии. Больше ни на чем. Только на доверии, которое достаточно один раз обмануть, чтобы перестать доверять системе в целом.

Есть некое множество контор, которые выпускают SSL-сертификаты. Они не самые лучшие и не самые правильные, просто однажды они собрались и решили замутить бизнес. Почему все доверяют им? Да просто потому что до недавнего времени не было поводов их обвинить в мошенничестве - там все в порядке (было) с "внутренней полицией", которая нарушителей выкидывала нафиг с пляжа.
Ну и - самое главное - все доверяют им, потому что их корневые сертификаты размещены в хранилищах корневых сертификатов у Windows и Mozilla (Google использует хранилище Windows).

И все

Никакой исключительности - просто тупой договорняк размером с мир. Но, поскольку всегда есть возможность поместить в хранилище корневых (кроме как в андроиде, который сразу же начинает визжать "аааа, меня контролирует Большой Брат!") свои собственные сертификаты - эта схема всех устраивала.

Пока ребята не решили выстрелить себе в ногу, прекратив выпуск сертификатов в зонах .ru/.su/.by/.рф просто по политическим мотивам. Их право - частный бизнес - он такой частный бизнес. Но тут все резко как-то вспомнили, что все "мировые удостоверяющие центры" вовсе нифига не мировые, а просто кучка самозванцев.

И будут у нас скоро госСA, госсертификаты, госбраузеры и все прочее в порядке импортозамещения.

Теперь о том, как проверяется валидность сертификата. А проверяется она очень просто - если сертификат выпущен CA, который находится в списке доверенных - он валидный.

ВСЕ!

Ты можешь развернуть свой CA, поместить его сертификат в хранилище корневых у себя на компе - и все сертификаты, выпущенные им - для тебя - станут валидными. Выпускай хоть для vk.com, хоть для whitehouse.gov.

И вот именно поэтому все так боятся поместить в хранилище корневых сертификат от какого-нибудь госСA - потому что все сертификаты, выпущенные им система будет считать валидными! Она не делает разницы между сертификатом от Thawte и от "Товарищ Майор Inc." - она примет сертификат и от того, и от того. А товарищ майор, получив возможность выпускать сертификаты, валидные в Вашей системе, будет выпускать их на ходу и подсовывать их вместо "настоящих", получая доступ к сессионным ключам и таким образом расшифровывая https-трафик (что собственно Fiddler и делает)

Потому что чудище это. Обло, огромно, озорно, стозевно и лаяй. Куча все возможных параметров, и еще большая куча их комбинаций, позволяющая делать множество вещей настолько большое, что описать затруднительно.

Была книжка, там в начале как раз про создание и настройку CA, не все правда, написано, только основные моменты.

Размыто все и непонятно потому что МММ - Мы Можем Многое. Ну в смысле реально там можно многое :)

Что за сертификаты будут выпускаться? Какая будет информация в Subject? Какой срок действия? Будет ли использоваться CDP? AIA? Будет ли выпускаться PKCS#12 или же так передаваться? Допустимо ли наличие в базе двух сертификатов с одинаковым Subject? Какая информация будет необходимой для Subject (без нее будет в выпуске отказано).

Бездна вопросов :) Если что - мыло в профиле, но отвечаю не сразу

Перевыпускаться.
- в GlobalSign - вроде пока башню не сносит, все у кого недавно были отзывы в LE, перевыпускаются там.
- в азиатских CA (правда я не знаю ни один)
- в российских СA (правда, работать будет только в недо-браузерах типа Спутника, где интегрированы российские CA)
- самоподписанный или в собственном CA (будет постоянно выкидывать предупреждение о невалидности сертификата)

Гуглим, пока еще работает :)

Глеб, скорее всего ты в процесс экспериментов что-то такое перенастроил, что делает шаблоны недоступными. Проверь изменения, откати назад.

Единственный известный мне аналог фото#опа - это gimp.
Что касается ssl сертификатов, то Вы конечно же имеете в виду корневой CA? Полноценного корневого CA, внесенного в Windows, Android и FF нет. Есть различные ведомственные CA, но их конечно же придется добавлять вручную.
Есть российские конторы, которые выпускают сертификаты в GlobalSign - в нем, кстати, перевыпустились недавно Центробанк, ВТБ, Сбер и сайт "Путин сегодня", которым судя по всему LE отозвал сертификаты.

Нет, если не боишься увидеть на своем сайте рекламу подгузников, квашеной капусты и средств для увеличения... да-да, его, родимого!
Сейчас идет повальный переход на https и на всякого, у кого сайт еще не зашифрован, разные хитровывернутые товарисчи кидаются аки голодный песик...