域電腦是否信任來自域 CA 的證書
我對此進行了調查,但無法找到我的問題的明確答案。我以前從未在活動目錄中使用過證書服務,因此不確定其可能的用法/實現。
快速背景:我們希望建立一個帶有網關伺服器的遠端桌面場,以允許遠端使用者在沒有 VPN 的情況下連接到場。為了讓使用者連接,我們需要為網關伺服器安裝一個受信任的證書。
在我的測試環境中,我使用了自簽名證書並手動安裝到受信任的根證書頒發機構,效果很好!這意味著我們安裝此證書的任何設備都可以連接。
顯然我們不想手動執行此操作,所以我認為最好的方式是從 VeriSign 之類的人那裡購買證書。我想到了 AD 中的證書服務,並想知道我們是否可以簡單地使用內部證書頒發機構創建自己的證書。
基本上我的問題歸結為:加入域的電腦是否會自動信任同一域上的 CA 頒發的證書,還是仍需要在每個客戶端設備上手動安裝它們?無論如何,我們是否可以使用 Windows Server 的此功能來節省一些證書費用?
基本上我的問題歸結為:加入域的電腦是否會自動信任同一域上的 CA 頒發的證書,還是仍需要在每個客戶端設備上手動安裝它們?
通常,內部 PKI 的根證書通過 GPO 分發給所有客戶端。這使它“自動”
基本上我的問題歸結為:加入域的電腦是否會自動信任同一域上的 CA 頒發的證書,還是仍需要在每個客戶端設備上手動安裝它們?
客戶端不會自動信任來自內部 CA 的證書,不會。
也就是說,不需要手動分發證書,因為它可以由 GPO 完成。 有關此過程的 Technet“指南”在此處,您可以使用 GPO 和內部證書頒發機構做更多的事情,而不僅僅是這些。例如,我們使用我們的證書分發證書以允許與 WPA2 企業的自動無線連接,使我們的客戶信任我們環境中的所有 SSL 服務(列印機、帶外管理,甚至我們的備份軟體),因此使用者不會獲取證書警告等。
無論如何,在組策略管理控制台中,前往:
Computer Configuration->Windows Settings->Security Setting->Public Key Policies->Trusted Publishers並將您的證書添加到“受信任的根證書頒發機構”儲存中,您就可以按照自己的意願去做。