通过域控推送受信任根证书的问题
问题
全部回复
-
老哥,你确认你没有搞错?你对CA的理解有误:
你按下面操作,绝对不会有问题。
1、所有的客户端,需要信任CA。如果CA服务在AD上的话,域客户端或members电脑重启后会自动信任。未加域需手工添加信任;如果CA在是一台独立的成员服务器,需要通过策略使客户端信任CA,AD环境一定要是企业CA
2、需要加密通迅的服务器申请一张证书(此证书含私钥),你在此处是IIS,私钥存放的位置最好是在“证书-计算机\个人\证书”下;
3、输入你申请的通用域名即可。
这台独立服务器加了域,生成了自签名证书,部署在本地
将上面这台服务器的自签名证书导出,通过域控部署在这个位置
1、你要做的做是将CA根证书(最好是证书链)导入到策略中,然后下发到所有加域的计算机,这个是为了让所有计算机信任CA。而不是tomstest.zjca.local这个私钥,这种操作是对于安全来说是危险的;
2、你导出的这个是tomstest.zjca.local这个证书含有一把钥匙,这个可是网站的私钥,非特别情况千万不要下发
3、你应该将这个私钥导入到这个网站里面,就一切OK了。如果你的网站没有加域,你还得做一个进阶操作。
将网站的CA的CRL中HTTP发布出来。
-
搞了半天,原来你通过组策略分发的自签名的证书。
自签名证书由程序(你这里是IIS)本身生成存在这些缺点:算法不严谨、无法分发多域名,无法自定义证书模板、无法发布CRL、无法检查颁发机处(程序本身)吊销等等。
Win7打开后能够信任,Win10打开后不信任。这是因自签名算法不严谨造成啊。比如CA,他的算法起步就是RSA,1024Bit;但自签名,你要相信,绝对是因为加密不严谨,至于加密的参数如何,我还真没去研究,没啥意义。所以不信任不是很正常吗。
下面我一步步操作,这是证书信任最标准的:
1、你的CA与DC分离部署的(CA与DC分离是很骚的操作,这样做是完美的,很棒),所有要让所有加域客户端信任CA。信任操作如下。首先下载CA公钥证书链(图一、二),然后将证书链通过组策略发布,不一定必须是默认域策略,也可以新建一个,但最好是挂在域下(图三)
然后在IIS服务器中刷新组策略。查看根证书颁发机构已经存在此CA的公钥了,说明已经信任CA了(如图)
关键的来了:
点击“创建域证书”。加域的需要证书的服务器全部都是点“创建域证书”,千万不要点“创建自签名证书”。这个上面说了原来,缺点较多,主要是加密不严谨。你都用证书加密网站了,还搞个加密不严谨,就显得比较难已理解了
”通用名称“处必须填写和你的网站名称一模一样,一定不能写错,大小写可以忽略。然后完成证书的创建(图一、二):
创建好的域证书如下图。此证书其实含有一对钥匙,即公钥和私钥:
然后绑定此网站,看黄色标记处
然后测试,看到浏览器有一个黄色的锁说明加密了的网站,而且证书非常正常。至此就已经好了。
- 已编辑 volnno 2020年11月10日 1:13 ?
