Мы используем ЦС Windows для сертификатов S/MIME, и для того, чтобы это работало с внешними получателями, мы регулярно обмениваемся подписанными письмами, чтобы установить доверие, или иногда передаем наш корневой ЦС, в частности, когда требуется несколько внутренних пользователей. Теперь я столкнулся с проблемой, когда внешний получатель не может установить это прямым образом (они используют Thunderbird). Причина кажется странной проблемой, которую я наблюдаю с сертификатами:
- Сертификат для "user@domain"
Выдан
«Имя нашего внутреннего корневого ЦС»
- Если я следую (внутренне работающей!) Цепочке сертификатов, имя сертификата подписывающего ЦС отображается как «Имя нашего внутреннего корневого ЦС», но, глядя на детали, оно говорит
Выдан
и Выдано для
"CN = Name Of Our Internal Root CA d1007899-9f27-4a7b-95e3-6d1a7f985a37, DC =...", т.е. с каким-то странным шестнадцатеричным кодом, добавленным в поле общего имени.
Поскольку они являются долгосрочным контактом, у них уже был наш старый сертификат корневого ЦС в их хранилище доверенных сертификатов. У этого, кажется, было «правильное» имя, и он работал, но, конечно, срок его действия давно истек. С другой стороны, эта разница между именами, по-видимому, мешает правильной установке нашего текущего корневого сертификата CA ...
Вопрос: Как может быть, что наши текущие пользовательские сертификаты показывают эту разницу между эмитентом, указанным в самом сертификате, и именем в фактическом сертификате CA (и внутри, ни одна система не жалуется на эту разницу)? Что я могу сделать, чтобы исправить эту проблему (желательно со всеми существующими пользовательскими сертификатами, но, возможно, только со всеми вновь созданными сертификатами)?