Active-Directory
IIS Windows 身份驗證:IE 沒有選擇正確的證書
我正在嘗試建立一個 Intranet 網站(osTicket 票務解決方案)。我希望我的使用者自動連接到該網站,這樣他們就不必填寫他們的憑據。為此,我有:
- 創建了一個 IIS 伺服器 10.0
- 在我的域的 DNS 中設置 dns 記錄
- 使用我的域的證書頒發機構為該 URL 創建了 SSL 證書
- 將證書綁定到 IIS
- 通過 GPO 將站點添加到 Intranet 區域(SSL 和此 GPO 應確保不提示使用者在 IE 中輸入憑據)
- 在 IIS 中設置身份驗證:僅 NTLM,無匿名身份驗證
一切都在新電腦上按預期工作。IE 上沒有 SSL 警告,直通適用於 Chrome 和 IE。
但是,如果電腦安裝了 Microsoft Skype for Enterprise(或者我猜是 Office),則會創建一個身份驗證證書(我可以在個人 > 證書下的 crtmgr.msc 中看到它)。如果我嘗試連接到我的 Intranet 站點,則會自動使用此證書。由於我的本地域與 Office365 域不同,IIS 不接受證書並返回“403 Forbidden”。
如果我刪除此證書,一切都會正常工作,直到我再次啟動 Skype for Enterprise 並再次創建證書。
在 Chrome 中,它詢問我是否要使用 Skype 證書。如果我接受,我會收到 403 錯誤。如果我拒絕,它會起作用。
我沒主意了。如何告訴 IE 不要使用 Skype 證書?或者任何其他想法都會受到歡迎。
謝謝
編輯:通過在 certmg.msc 中向我的 CA 請求證書,我現在可以在 IE 和 Chrome 中選擇正確的證書。但是,我只設法從 msc 創建此證書。我正在尋找一種通過腳本執行此操作的方法,以便稍後我可以將其與 GPO 一起應用。使用 certreq.exe 我的請求參數不完全一樣,我不能在 IE 和 Chrome 中使用它
最後,我找到了解決問題的另一種方法。由於註冊密鑰,我更改了 Lync 保存其證書的商店。它至少適用於辦公室 15 和 16。您可以通過 GPO 輕鬆應用它。