Для CA выдача на имя компа, а для клиента на логин пользователя. По крайней мере когда я игрался с генерацией сертификатов у меня всё получилось - после установки сертификата CA система выдавала, что пользовательские сертификаты прошли проверку и действительны. Проверял, выдавая сертификат на свой комп и свой акк в винде.
%ca% = имя компа, %server% = OBIMP (это просто часть имени файла и внутреннего имени сертификата, а не реальные данные), %number% = число от балды для отличия своего собственного CA от других просто по номеру, у меня был рандомный CRC64 - можно мышкой натыкать куда попало по битам в калькуляторе в режиме программиста или сгенерировать, %client% = логин пользователя.
Код: Выделить всё
genrsa -out C:/usr/ca/%ca%.key 4096
req -x509 -new -key C:/usr/ca/%ca%.key -days 3653 -out C:/usr/ca/%server%_ca_%number%.crt
req -new -key C:/usr/ca/%ca%.key -out C:/usr/ca/%ca%.csr
x509 -req -in C:/usr/ca/%ca%.csr -CA C:/usr/ca/%server%_ca_%number%.crt -CAkey C:/usr/ca/%ca%.key -CAcreateserial -out C:/usr/ca/%ca%.crt -days 3653
genrsa -out C:/usr/crt/%client%.key 4096
req -new -key C:/usr/crt/%client%.key -out C:/usr/crt/%client%.csr
x509 -req -in C:/usr/crt/%client%.csr -CA C:/usr/ca/%ca%.crt -CAkey C:/usr/ca/%ca%.key -CAcreateserial -out C:/usr/crt/%client%.crt -days 3653
ca -revoke C:/usr/ca|crt/%client%.crt
ca -gencrl -out C:/usr/ca/%server%_ca_%number%.srl
Самоподписанный сертификат: Издатель = OBIMP CA 22B5ABE4A6CDA956 , Субъект = OBIMP CA 22B5ABE4A6CDA956 .
Корневой сертификат: Издатель = OBIMP CA 22B5ABE4A6CDA956 , Субъект = x2088_pc .
Пользовательский сертификат: Издатель = x2088_pc , Субъект = x2088 .
http://slproweb.com/products/Win32OpenSSL.html (Официальный сайт OpenSSL под винду).