Faire un certificat Windows Say que son objectif est "assure l'identité d'un ordinateur distant"

Question

Je veux que mon certificat apparaisse comme ça lorsque je double clique sur elle dans Windows:

Si je viens de doubler sur un cert aléatoire, je reçois ceci:

Le certificat qui correspond à c'est ceci:

Si j'importe le certificat de signature, il apparaît comme ceci:

C'est fascinant et tout sauf que cela ne me dise pas comment faire un certificat de dire "Assurer l'identité d'un ordinateur distant". Des idées?

Disa · Accepted Answer

Si je pouvais utiliser OpenSSL, je voudrais simplement ajouter des lignes suivantes à openssl.conf:

keyUsage = digitalSignature extendedKeyUsage=serverAuth

mais je ne sais pas comment ajouter extendedKeyUsage en phpseclib

goodguys_activate · Answer

TL; DR

Achetez un certificat de Verisign, Comodo, etc. et ils veilleront à ce que vous obtiendrez toujours un certificat qui fonctionne pour naviguer sur le Web.

Partie 1: "Pas assez d'informations pour vérifier"

Il semble que ceci est un certificat auto-signé généré par PHP. Cela dit en fait qu'il a été émis par "quelqu'un". À moins que "quelqu'un" est un certificat légitime que vous souhaitez déployer sur chaque ordinateur (improbable), vous obtiendrez cette erreur.

Lancez le responsable du certificat et consultez les certificats "racine de confiance" de Windows pour votre compte utilisateur et de la machine (il y a deux endroits pour vérifier). Dans ce dossier (racine de confiance) qui représente tous les CAS valables pour votre système. Ajout de certificats ici signifie que vous leur faites confiance pour contrôler la sécurité de votre ordinateur et les supprimer signifie que vous ne leur faites pas confiance. Je ne recommande pas de changer cela et de le laisser à la PKI expérimenté pour ajouter et supprimer le contenu de ce dossier.

Sinon, regardez http://security.stackexchange.com Pour plus d'informations liées à PKI qui vous éduqueront sur la façon de ne pas vous tirer dessus au pied.

Partie 2: "Toutes les stratégies d'application"

La section qui dit "toutes les stratégies d'application" comprend "Assurer l'identité d'un ordinateur distant".

Si vous souhaitez avoir un certificat plus contraint (une bonne chose), vous devez disposer de votre PHP (CERT DEMO PHPLIB) accéder à une autorité de certification approuvée et utilisez le modèle de certificat approprié.

La façon dont vous allez à ce sujet dépend de:

Quel utilitaire génère le certificat (PHP dans ce cas)
Qu'est-ce que vous utilisez (est-ce une CA publique à utiliser par toutes les personnes ou dans votre environnement d'entreprise uniquement)
CA - Détails spécifiques sur la façon de contraindre les certificats émis uniquement aux utilisateurs clés que vous spécifiez.

Voici un conseil, l'onglet Général ne montre pas beaucoup d'informations importantes. Cliquez sur "Détails" et regardez l'utilisation de la clé et l'utilisation améliorée de la clé. Ils vous donneront non seulement le texte amical que vous recherchez, mais également les OID dont vous aurez probablement besoin lorsque vous obtenez votre CA interne pour émettre le certificat correct.

JZeolla · Answer

La raison pour laquelle vous rencontrez est parce que vous ouvrez un certificat X.509 générique.

Microsoft nécessite un certificat PKCS7 qui inclut la signature CAS. S'il n'a pas le signataire des certificats publics dans le certificat lui-même (peu importe si les certificats publics de signataire sont dans votre magasin de certificats locaux), il sera considéré comme illégitime.