我可以使用 Active Directory 作為 CA 來為 IIS 創建測試 SSL 證書嗎？

我們有一個我們網站的內部測試版本，它可以（通過內部 DNS 區域）作為 www.mysite.com.test

我想為 www.mysite.com.test 創建一個 SSL 證書，這樣我們的測試人員就不會收到無效證書警告（“真實”證書綁定到 www.mysite.com）

我知道如何使用 OpenSSL 創建自簽名證書，但我想知道是否有某種方法可以將證書頒發機構與我們的 Active Directory 域相關聯，以便作為域成員的 PC 上的任何使用者都可以接受自簽名證書。簽名證書，無需顯式安裝（或顯式將自簽名證書頒發機構安裝為受信任的頒發機構）

有任何想法嗎？

您可以通過組策略添加受信任的根。因此，製作一個自簽名證書，將其作為受信任的根推出，然後您使用它簽署的任何證書都將受到信任。

Policy Object Name/Computer Configuration/Windows Settings/Security Settings/Public Key Policies/Trusted Root Certification Authorities

不需要設置 MS 證書頒發機構

如果您有執行 AD CS 角色的伺服器頒發證書，則它不再是自簽名的，它是由您的內部 CA 頒發的。要回答更大的問題，是的，您可以這樣做。您必須安裝 Active Directory 證書服務角色並從那裡創建/分發證書。對於這個案例，無需接觸 OpenSSL。

引用自：https://serverfault.com/questions/407449