Active-Directory
我可以使用 Active Directory 作為 CA 來為 IIS 創建測試 SSL 證書嗎?
我們有一個我們網站的內部測試版本,它可以(通過內部 DNS 區域)作為 www.mysite.com.test
我想為 www.mysite.com.test 創建一個 SSL 證書,這樣我們的測試人員就不會收到無效證書警告(“真實”證書綁定到 www.mysite.com)
我知道如何使用 OpenSSL 創建自簽名證書,但我想知道是否有某種方法可以將證書頒發機構與我們的 Active Directory 域相關聯,以便作為域成員的 PC 上的任何使用者都可以接受自簽名證書。簽名證書,無需顯式安裝(或顯式將自簽名證書頒發機構安裝為受信任的頒發機構)
有任何想法嗎?
您可以通過組策略添加受信任的根。因此,製作一個自簽名證書,將其作為受信任的根推出,然後您使用它簽署的任何證書都將受到信任。
Policy Object Name/Computer Configuration/Windows Settings/Security Settings/Public Key Policies/Trusted Root Certification Authorities
不需要設置 MS 證書頒發機構
如果您有執行 AD CS 角色的伺服器頒發證書,則它不再是自簽名的,它是由您的內部 CA 頒發的。要回答更大的問題,是的,您可以這樣做。您必須安裝 Active Directory 證書服務角色並從那裡創建/分發證書。對於這個案例,無需接觸 OpenSSL。