Самозаверяющие сертификаты OpenSSL, ноутбуки с Windows 10 и ошибка «Этот сертификат имеет недопустимую цифровую подпись»

У меня есть следующее:

1. Сгенерированный OpenSSL самозаверяющий внутренний сертификат CA
2. Сгенерированный OpenSSL внутренний подписанный сертификат CA с подстановочными знаками

Это cert защищает наши внутренние веб-сайты. например "myservice.corp.example.com"

В этом примере сертификат с подстановочным знаком имеет следующие поля примечания:

CN = " .corp.example.com" DNS = " .abc.corp.example.com" DNS = "* .xyz.corp.example.com"

(т.е. последние два являются SAN)

Чтобы сделать цепочку CA приемлемой для ОС, я устанавливаю сертификаты CA на рабочие станции.

Это отлично работает в macOS. "Fine" == "Зеленый значок безопасности сайта в браузерах". Я устанавливаю сертификат CA в связку ключей всего сайта и устанавливаю Trust на «Always Trust»

. Однако в Windows 10 я устанавливаю сертификат CA через оснастку «Сертификаты» (или щелкнув правой кнопкой мыши на сертификате. -> Установить). Независимо от того, что я делаю, я получаю следующие уведомления об ошибках в сертификате:

1. Сертификат -> Общие -> «Целостность этого сертификата не может быть гарантирована. Сертификат может быть поврежден или может быть изменен.«
2. Сертификат -> Путь сертификации -> Статус сертификата ->« Этот сертификат имеет недопустимую цифровую подпись »

Наконец, ключ RSA составляет 2048 бит, а алгоритм подписи как на сертификате CA, так и на самоподписанном сертификаты sha256

Я просмотрел в Интернете, но пока не могу найти решение, которое помогло бы мне, но, похоже, это может быть одно из следующих:

1. Издатель и Субъект не могут совпадают. Или должны совпадать? Не уверен. (Они совпадают в моем сертификате CA)
2. Минимальная длина ключа не удовлетворена. (мы используем 2048 бит)
3. что-то еще?

Моя проблема в том, что я не нахожусь Я даже не знаю, как устранить эту неполадку в Windows. Я администратор Linux. Я прошу действий по устранению неполадок и возможных решений.