Chúng tôi đang sử dụng Windows CA cho chứng chỉ S/MIME và để điều này hoạt động với người nhận bên ngoài, chúng tôi thường xuyên trao đổi thư đã ký để thiết lập lòng tin hoặc đôi khi truyền CA gốc của chúng tôi, đặc biệt khi cần nhiều người dùng nội bộ. Bây giờ, tôi gặp sự cố với người nhận bên ngoài không thể thiết lập điều này một cách dễ dàng (họ đang sử dụng Thunderbird). Nguyên nhân có vẻ là một vấn đề lạ mà tôi có thể quan sát được với các chứng chỉ:
- Chứng chỉ cho "user@domain" là
phát hành bởi "Tên của CA gốc nội bộ của chúng tôi"
- Nếu tôi tuân theo chuỗi chứng chỉ (hoạt động nội bộ!), tên của chứng chỉ CA đang ký được hiển thị là "Tên của CA gốc nội bộ của chúng tôi", nhưng nhìn vào chi tiết, nó cho biết
phát hành bởi và Cấp cho "CN = Tên CA gốc nội bộ của chúng tôi d1007899-9f27-4a7b-95e3-6d1a7f985a37, DC = ...", tức là, với một số mã hex lạ được thêm vào trường tên chung.
Vì họ là người liên hệ lâu dài nên họ đã có chứng chỉ CA gốc cũ hơn của chúng tôi trong cửa hàng ủy thác của họ. Cái đó dường như đã có tên "chính xác" trong đó và đã hoạt động, nhưng tất nhiên là đã hết hạn từ lâu. Mặt khác, sự khác biệt giữa các tên dường như là thứ ngăn cản việc cài đặt chính xác chứng chỉ CA gốc hiện tại của chúng tôi ...
Hỏi: Làm cách nào mà chứng chỉ người dùng hiện tại của chúng tôi lại thể hiện sự khác biệt này giữa tổ chức phát hành được chỉ định trong chính chứng chỉ đó và tên trong chứng chỉ CA thực tế (và nội bộ, không có hệ thống nào phàn nàn về sự khác biệt này)? Tôi có thể làm gì để khắc phục sự cố này (tốt nhất là với tất cả các chứng chỉ người dùng hiện có, nhưng có lẽ chỉ với tất cả các chứng chỉ mới được tạo)?
