證書分發和管理

我計劃為我們的組織設置 PKI，因為我們在使用自簽名證書時已經厭倦了所有這些安全警告。我想要一個離線根 CA 和兩個發布 CA，我想在 Linux 系統上進行設置。

如何在不向最終使用者解釋如何在瀏覽器中安裝它們的情況下輕鬆地將根證書和身份（伺服器）證書分發給最終使用者？

Active Directory 是否通過例如 GPO 執行此操作？如果是這樣，它是否只支持 Internet Explorer？我可以在不安裝 AD CS 的情況下做到這一點嗎？

另外我想知道是否有某種類型的 CA（GUI/Web）介面，伺服器管理員可以登錄並根據需要請求證書？

希望這是有道理的，因為我對 PKI 還很陌生 :) 很抱歉，如果它在網際網路上到處都是，而且我在Google上很爛，但我真的找不到我需要的東西…

是的，您可以從 AD 將根 CA 和中間 CA 部署到 Windows 信任儲存中。至少 IE 和 Chrome 瀏覽器會從那裡獲取它，因為它們使用 Windows 附帶的任何東西。在 Firefox 中，您需要讓使用者自己導入證書或找到一種編寫腳本的方法。

感謝@Aceth，這是答案的完成：

我在組策略管理控制台中編輯預設域策略。然後在電腦配置/策略/安全設置/公鑰策略/受信任的根證書頒發機構下

右鍵點擊並導入您的根證書和中間證書。

引用自：https://serverfault.com/questions/618893