如果你颁发了一个中间 CA,但是不被设备信任,提示「此证书对于所选的目的无效」,那么你应该先检查你的根 CA:

出现这个报错是因为你的根 CA 不允许颁发中间 CA

检查 OpenSSL 配置文件

1
2
3
[ v3_req ]
basicConstraints = critical, CA:TRUE
keyUsage = critical, cRLSign, nonRepudiation, digitalSignature, keyEncipherment, keyCertSign

根证书的 keyUsage 必须带上这些,如果少了,补上然后重新生成 CSR 和证书