我们需要部署一个内置了自己的 SSL 证书的服务器应用程序。这将被滚动到未知数量的服务器上,这些服务器会上下波动。
我们可以使用任何 CA 生成此证书,但最终,我们将只有 509 证书 pfx 文件(由 Godaddy 或任何 CA 颁发)。我们可以拥有中间证书,但这个 Web 服务器很简单,只让我们指定 pfx 文件。
我们将无法分发或安装中间证书。
该应用程序是在 Win2008 及更高版本上运行的 C# 应用程序。
有什么方法可以解决这个问题?
-- 是否有足够可靠的证书让浏览器在没有中间证书的情况下信任它?
- 或者 ?
And*_*zek 13
您可以使用 openssl将信任链中的其他证书添加到PKCS #12 文件。
例如,要包含信任链,您可以使用以下命令:
openssl pkcs12 -export -in input.pfx -out bundle.pfx -CAfile allcacerts.crt -chain
这将尝试在您的输出 pfx 中包含整个证书信任链。您可能需要包括-passin <input password>和-passout <output password>密码要求。您可以强制包含任何特定证书-certfile cacert.crt以包含该文件中的所有证书。
您可以使用相同的实用程序检查 pfx 文件以查看其内容并打印大量诊断信息。
openssl pkcs12 -in bundle.pfx -info