Enquanto preparava um novo servidor Windows 2012R2 para produção, eu precisava instalar um certificado SSL (GlobalSign Domain) para o site que alimenta nosso aplicativo. Fiz isso gerando uma solicitação de certificado, enviando para a GlobalSign e preenchendo a solicitação usando o certificado emitido pelo formato PEM.
Normalmente, eu também teria que pegar o certificado intermediário GlobalSign DomainSSL relevante e instalá-lo também. No entanto, o certificado intermediário relevante pareceu ser instalado automaticamente assim que eu configurei minhas ligações de site do IIS.
Eu sei que o certificado intermediário não estava presente no armazenamento de certificados do computador local em:
Intermediate Certification Authorities -> Certificates
... no snap-in Certificados do MMC.
Eu verifiquei primeiro e, quando apareceu magicamente, executei o certificado SSL .pfx import e a configuração de ligação do IIS em um servidor virgem 2012R2 e confirmei que o certificado intermediário havia sido instalado automaticamente.
Não me lembro de isso acontecer com o Windows 2008 / R2. Este é um novo recurso, ou algo que está ativado por padrão que não foi anteriormente?
Atualização:
A resposta do HBruijn explica a aparência do certificado intermediário no meu segundo servidor "virgem" mencionado acima. De fato, exportei o certificado como um arquivo .pfx e importei-o no outro servidor. A verificação com a ferramenta openssl revela a presença dos certificados raiz e intermediário.
No entanto ... no servidor original, concluí um pedido de certificado pendente e carreguei apenas o certificado formatado "PEM". Isso não inclui os certificados raiz / intermediário (verifiquei com openssl ).
A ".pfx" file is a PKCS#12 archive: an archive file format for storing many cryptography objects as a single file. It is commonly used to [snip] bundle a X.509 certificate and all the members of a chain of trust.
Você importou o certificado intermediário junto com o certificado SSL.
Eu vi isso acontecer no passado também, e nos deparamos com alguns problemas me fazendo olhar para isso. Meu sistema Windows 7 (SP1, Enterprise) faz o mesmo. E cavar com o Wireshark e o Process Monitor da Sysinternals revela o seguinte.
Um dos meus armazenamentos de certificados tem um certificado assinado pelo COMODO para o qual um certificado da cadeia (b9b4c7a ...) não está disponível em nenhum dos meus armazenamentos de certificados. Mas o certificado tem uma propriedade "Acesso a informações da autoridade", que contém o URL link .
Abrir este certificado (através do snap-in Certificados de mmc.exe ) para mostrar a caixa de diálogo padrão 'Certificado' do Windows, aciona um download da URL acima e o certificado b9b4c7a ... resultante é colocado em as Autoridades de Certificação Intermediárias armazenam para o usuário atual .
E também é armazenado em cache no c:\users\<currentUser>\C:\Users\mklooste\AppData\LocalLow\Microsoft\CryptnetUrlCache , com uma entrada na pasta Metadata e Content .
Se eu agora repetir a mesma ação (depois de excluir o certificado do armazenamento de Autoridades de Certificação Intermediárias dos usuários atuais), ele será restaurado novamente, mas desta vez não será baixado do COMODO, mas copiado do CryptnewUrlCache .
Não consegui encontrar nenhuma documentação sobre esse recurso da Microsoft. No entanto, eles parecem seguir RFC 5280, seção 4.2.2.1, "Acesso às informações da autoridade" , que diz:
The referenced CA issuers description is intended to aid certificate users in the selection of a certification path that terminates at a point trusted by the certificate user.
Tudo depende do formato do certificado que você recebeu da sua Autoridade de Certificação, GlobalSign, Comodo, Symantec (anteriormente VeriSign). Se você recebeu o certificado no formato PKCS # 7, ele incluirá a raiz e os intermediários. Se você recebeu o certificado no x.509, ele normalmente não inclui a raiz e os intermediários, portanto, você precisará coletar esses arquivos do site da autoridade de certificação. Instalei certs no Windows IIS 6,7 e 8 e, pelo que sei, o formato recomendado é o PKCS # 7. Eu não usei openssl. A raiz e o intermediário são instalados automaticamente quando você passa pelo assistente.
Você pode procurar no arquivo cert que você recebeu alterando-o para um arquivo .txt. Você normalmente verá === Begin Certificate === and ==== End Certificate ===. Se você vir 3 ou 4 delas, a raiz e / ou os intermediários serão empacotados nesse arquivo de certificado. Se você vir apenas um, precisará obter a raiz e o intermediário no site da sua Autoridade Certificadora.