我的工作决定颁发他们自己的证书颁发机构(CA) 来安全地处理我们工作的不同方面，而无需支付证书费用。

• 对电子邮件进行加密签名
• 加密电子邮件内容
• 访问诸如基于IRC客户证书的公司之类的内容。
• 自动撤销前员工的钥匙

他们给我发了一个.pem文件，我不知道如何将它添加到我的 Ubuntu 安装中。发送的说明是：“在 Mac 上双击它应该会安装它。” 

我该如何进行？我需要做的东西OpenSSL的创建.key，.csr或.crt文件？

当我在 Chrome 中访问任何 github.com 页面时，我收到一个非常丑陋的错误：

您尝试访问 github.com，但服务器提供了由不受您计算机操作系统信任的实体颁发的证书。这可能意味着服务器已生成自己的安全凭据，Chrome 无法依赖这些凭据获取身份信息，或者攻击者可能试图拦截您的通信。

您无法继续，因为网站运营商已要求提高此域的安全性。

当我访问https://www.digicert.com/ 时也会发生同样的事情（在 Chrome 和 curl 中）。这个奇怪的问题大约在一个半星期前开始。

这是我单击地址栏中的坏锁图标时看到的内容：

但是 gist.github.com 工作得很好：

它也不适用于 curl：

在 Firefox 中一切正常。

如何解决我的根 CA 问题？

这是它在 Firefox 中的样子：

更新：

我注意到链中的第一个证书在我损坏的 Chrome/Safari 中与我另一台计算机上的 Chrome 不同。

（不再有讨厌的红色 X，因为我在 Safari 中信任它。）看看发行人有何不同？我能怎么办？

在 Windows 7 (Windows 7 Professional x64) 上，如何在本地机器存储中查看和安装证书？

该certmgr.msc插件允许我查看安装在当前用户存储证书，而不是本地计算机存储。

我正在尝试从 .PFX 文件安装。在 Windows 8 上，您会看到一个安装到本地计算机或当前用户存储的选项，但 Windows 7 中似乎没有此选项。

有人可以告诉我，也许可以链接到描述它的文献，Mac OS X 上的数字证书存储位置在哪里？我知道我可以使用“钥匙串”应用程序访问证书。但是磁盘上存储的证书在哪里？例如，在 Linux 下，它们位于/etc/ssl/certs但在 Mac OS X 下，它们在此文件夹中没有证书。

我读到一些关于证书存储在“钥匙串文件”中的信息？这是正确的吗？如果是的话，有人可以向我解释它的技术细节。

如果有人有这些东西的详细文献，将它们链接到这里会很有帮助。谢谢！

我使用的是 Windows 7 SP1，今天，即 9 月 30 日，我面临 DST 根 CA X3 证书到期的问题。

这个问题（可能会影响数百万用户）在这里得到了完美的描述：https://scotthelme.co.uk/lets-encrypt-old-root-expiration/

以防万一：按 Win+R，打开inetcpl.cpl，选择“内容”选项卡，选择“证书”按钮，选择“受信任的根证书颁发机构”选项卡，选择“DST Root CA X3”证书并查看其到期日期。在我的系统上，日期是 2021 年 9 月 30 日。

Chrome 和 Edge 无法打开大多数 https 网站。火狐浏览器运行良好。在 Win7 的另一台 PC 上，Chrome 和 Edge 仍然可以工作。我想说这很奇怪，但我怀疑他们明天就会停止工作。

根据这篇文章，通常（即，如果您安装所有更新），这会影响使用 WinXP SP2 或更早版本的用户。但由于我禁用了 Win7 的更新，我也遇到了这个问题。

我不想安装Win7的所有更新，因为我自己的经验是它经常破坏系统。顺便说一句，我什至不确定它们是否仍然可以从微软下载。因此，我只需要这个更新即可解决此 DST Root CA X3 问题。所以我的问题是我到底需要安装哪个更新？

如果有一些解决方法而不是安装更新，我们也欢迎。

我们的企业机器管理员通过 Active Directory 分发企业根 CA 证书，但 Chrome 默认不信任系统证书。有没有办法调整 Chrome 以信任这些证书，而不是手动将它们添加到 Chrome CA 存储？我知道我们可以在 Firefox 中做到这一点，所以我认为 Chrome 也有可能。

编辑

我知道如何将它们添加到 Chrome CA 商店。我想知道是否有办法直接要求 Chrome 信任系统信任存储。我用 Windows 标记了这个问题，因为我主要在 Windows 上工作（使用 Active Directory），但最好知道 Chrome 是否可以信任 macOS Keychain Access或/etc/ssl/certs在 Linux 上。

更新

我已经验证当前 Chrome 将尊重 Windows 系统信任存储中的任何证书。这个问题现在毫无意义。谢谢大家。

有没有办法使用命令行将证书添加到本地计算机的受信任根证书颁发机构？我尝试使用 certmgr.exe，它显示成功，但是当我检查根 CA 时，我在那里看不到我的证书。

我跟着这里的指南：

http://msdn.microsoft.com/en-us/library/ms172241.aspx

基本上尝试这个命令：

certmgr.exe -add -c mycertificate.cer -s -r localMachine root

该命令在命令行上运行并显示成功，但我无法通过 mmc 在实际受信任的根存储中看到证书，这是自签名证书的过程不同吗？我已经设置了一个带有 SSL 绑定的 IIS 服务器到这个最初放在“我的”商店中的证书。但是我通过自动脚本做所有事情，所以我想知道如何使用 cmd 行选项将此证书添加到受信任的根 CA 中？

我无法验证 PDF 上的签名。

关于 PDF 证书的一些重要信息：

Validity Start : 2011/12/21
Validity End   : 2012/12/20
Signature Date : 2012/12/23

错误是 The selected certificate path has errors: Not time valid

我已将我的 Adob​​e Reader 证书安全首选项设置为Use expired timestamps，但无济于事。

我该怎么办？

这是一个 e- Aadhaar PDF，印度政府倡议。我已按照此处的步骤操作，但无济于事。网站上是这样说的：

1) 右键单击​​“有效性未知”图标，然后单击“验证签名”。

2) 您将获得签名验证状态窗口，单击“签名属性”。

3) 点击“显示证书..”

4) 验证是否存在名为“CCA India 2011”的认证路径。这将 CCA India 标识为签署文档时使用的数字证书的所有者。

5) 标记名为“CCA India 2011”的认证路径，单击“信任”选项卡，然后单击“添加到可信身份”。

6) 对随后出现的任何安全问题回答“OK”。

7) 选中(v) 字段“将此证书用作受信任的根”，然后单击“确定”两次以关闭此窗口和下一个窗口。

8) 单击“验证签名”以执行验证。

发送 PDF 格式的发票时，以数字方式签署此 PDF 很有用（在某些国家/地区是强制性的）。

当然，我可以通过 OpenSSL 创建一个自签名证书，但是 PDF 中的警告“无法验证证书”反而会降低信任度而不是增加信任度。当然，这是绝对正确的，因为任何人都可以以任何名称创建自签名证书。

没问题，我想。我有一个由 RapidSSL 签名的 SSL 证书，由 CACert 和 OpenSSL 签名，允许我将其转换为 PKCS#12 证书文件http://support.citrix.com/article/CTX106630。

可能大胆地期望对 SSL 证书签名有效的同一实例也对我的 PDF 文档有效。因此 Adob​​e Acrobat 再次显示相同的消息，表明它无法验证证书。

那么，有人可能会出售由 Adob​​e Acrobat 默认信任的某个机构签署的证书。但是，我根本无法在 Google 中找到正确的搜索词来定位合适的优惠。

因此我的问题是：我在某一点或另一点认为完全错误吗？以及：当我需要 Adob​​e Acrobat 喜欢的证书时，我必须在证书供应商处注意什么？

我想知道如何在 Mac OS X 上为 Firefox 部署根证书。我找到了一些在 Windows 上执行此操作的解决方案，它的工作原理非常棒。现在我想在 Mac OS X 上做同样的事情。我们有很多客户端使用这个操作系统，如果我们必须在客户端上手动完成，那将是非常浪费的。我正在寻找一种无需让任何用户输入机器的解决方案。

我找到了 OS X 的替代方案certutil->security 但为了安全，我只能将证书添加到钥匙串中。Firefox 似乎不使用密钥链来检查证书。

如何将证书添加到用户特定的证书库？