Hacer que un certificado de Windows diga que su propósito es "Asegura la identidad de una computadora remota"

5

Quiero que mi certificado se muestre así cuando hago doble clic en Windows:

Sisimplementehagodobleclicenuncertificadoaleatorio,obtengoesto:

El certificado que corresponde a esto es este:

-----BEGIN CERTIFICATE-----
MIICCzCCAXagAwIBAgIDMTI1MAsGCSqGSIb3DQEBBTBoMQswCQYDVQQGEwJVUzET
MBEGA1UECBMKQ2FsaWZvcm5pYTEWMBQGA1UEBxQNTW91bnRhaW4gVmlldzETMBEG
A1UEChQKR29vZ2xlIEluYzEXMBUGA1UEAxQOd3d3Lmdvb2dsZS5jb20wIhgPMjAx
MjExMjUwNzE0MTJaGA8yMDEzMTIyNTA3MTQxMlowHjEcMBoGA1UECgwTcGhwc2Vj
bGliIGRlbW8gY2VydDCBnTALBgkqhkiG9w0BAQEDgY0AMIGJAoGBAMX7X83YPC92
SGgewurwucf30AQZU4amihKls8J7Bu5l6qv8ONv3JI9qvY8vJKhj6QHZABvFSCk7
/nsilYhptD2MMUjOeosJwvNcqIo5acy/gox/nnInqnCWqhNtQ+DJDrsJEB+NxoNb
1VD9PN0pqF3EsU8EAQgSkRfbdikuFMs1AgMBAAGjDzANMAsGA1UdDwQEAwIHgDAL
BgkqhkiG9w0BAQUDgYEAMtVKyBpbvD2txhlRtA3VHoL1Zp9E7CN/EqFxpAG7bwZT
8D1gifeff4tGH0zkbGvv+5kb5exBZ+PhGsaaHVZoBQVO33Rkr32rfMeMa7PYb76L
i+f0mOp1QfPbrQuvT/uJx8AUv/Owsk5zLyE7JznsvYQ7VeGARRAike2ThHGcZQ8=
-----END CERTIFICATE-----

Si importo el certificado de firma, se mostrará así:

Esoesfascinanteytodo,peronomedicecómohacerqueuncertificadodiga"Asegurar la identidad de una computadora remota". ¿Alguna idea?

    
pregunta neubert 26.12.2012 - 16:30
fuente

3 respuestas

6

Si pudiera usar OpenSSL, simplemente agregaría las siguientes líneas a openssl.conf:

keyUsage = digitalSignature
extendedKeyUsage=serverAuth

pero no sé cómo agregar extendedKeyUsage en PHPSecLib

    
respondido por el Disa 26.12.2012 - 16:48
fuente
1

TL;DR

Compre un certificado de Verisign, Comodo, etc. y se asegurarán de que siempre obtenga un certificado que funcione para la navegación web.

Parte 1: "No hay suficiente información para verificar"

Parece que este es un certificado autofirmado generado por PHP. En realidad dice que fue emitido por "alguien". A menos que "alguien" sea un certificado legítimo que desee implementar en cada computadora (poco probable), obtendrá este error.

Inicie el administrador de certificados y mire los certificados de "raíz confiable" de Windows para su cuenta de usuario y de la máquina (hay dos lugares para verificar). En esa carpeta (raíz de confianza) que representa todas las CA que son válidas para su sistema. Agregar certificados aquí significa que confía en ellos para controlar la seguridad de su computadora, y eliminarlos significa que no confía en ellos. No recomiendo cambiar esto y dejarlo en manos de personas con experiencia en PKI para agregar y eliminar el contenido de esta carpeta.

De lo contrario, consulta enlace para obtener más información relacionada con PKI que te enseñará cómo no dispararte en el pie.

Parte 2: "Todas las políticas de aplicación"

La sección que dice "Todas las políticas de aplicación" incluye "Asegurar la identidad de una computadora remota".

Si desea tener un certificado más restringido (algo bueno), debería hacer que su aplicación PHP (phplib demo cert) vaya a una CA de confianza y use la plantilla de certificado adecuada.

La forma en que lo hagas depende de:

  • qué utilidad genera el certificado (PHP en este caso)
  • Qué CA utiliza (es una CA pública para uso de todas las personas o solo en su entorno corporativo)
  • Detalles específicos de CA: cómo restringir los certificados emitidos para que solo tengan los usos clave que especifique.

Aquí hay una sugerencia, la pestaña general no muestra mucha información importante. Haga clic en "Detalles" y observe el uso de la clave y el uso mejorado de la clave. Le darán no solo el texto amigable que está buscando, sino también los OID que probablemente necesitará para que su CA interna emita el certificado correcto.

    
respondido por el random65537 26.12.2012 - 17:57
fuente
0

La razón por la que tiene este problema es porque está abriendo un certificado genérico X.509.

Microsoft requiere un certificado PKCS7 que incluya las CA firmantes. Si no tiene los certificados públicos firmantes en el certificado (sin importar si los certificados públicos firmantes se encuentran en su tienda de certificados local) se considerará ilegítimo.

    
respondido por el JZeolla 26.12.2012 - 17:42
fuente

Lea otras preguntas en las etiquetas