none
通过域控推送受信任根证书的问题 RRS feed

全部回复

  • 你好,

    根据您的截图,根证书已经安装在客户端上。CA可以正常颁发证书。

    问题是客户端从网页访问请求证书时会显示网页不受信任。

    建议确认以下信息:

    是否所有的浏览器都出现此问题?

    尝试下面链接中的方法是否能解决问题。

    https://answers.microsoft.com/en-us/windows/forum/windows_7-networking/certificate-errors-on-every-https-page/6c5bdc98-4824-41b3-8c2e-01d212e4ce61

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年11月3日 0:25
  • this did not help

    这个问题还是蛮诡异的

    我尝试这么操作,将客户端上受信任根证书列表中的自签名证书导出再导入,打开网页就是受信任状态了

    还有就是win7下域控推送的证书没有这个问题

    还有就是之前搭建完域控推送证书给win10的时候也是没问题的。。。后来应该只打过补丁而已。。难道是什么神仙bug??


    • 已编辑 willdd3 2020年11月3日 3:06
    2020年11月3日 3:06
  • 你好,

    非常高兴您暂时解决了这个问题。

    目前来说应该不是BUG,因为我在测试环境里没有复现相同的问题。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年11月5日 1:27
  • 你好,

    非常高兴您暂时解决了这个问题。

    目前来说应该不是BUG,因为我在测试环境里没有复现相同的问题。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    win2016域控+iis,生成自签名证书,绑定iis默认页,推送证书到win10客户端,win10打开网页是不信任的,您可以试一下

    • 已编辑 willdd3 2020年11月5日 3:54
    2020年11月5日 3:49
  • 老哥,你确认你没有搞错?你对CA的理解有误:

    你按下面操作,绝对不会有问题。

    1、所有的客户端,需要信任CA。如果CA服务在AD上的话,域客户端或members电脑重启后会自动信任。未加域需手工添加信任;如果CA在是一台独立的成员服务器,需要通过策略使客户端信任CA,AD环境一定要是企业CA

    2、需要加密通迅的服务器申请一张证书(此证书含私钥),你在此处是IIS,私钥存放的位置最好是在“证书-计算机\个人\证书”下;

    3、输入你申请的通用域名即可。

    2020年11月5日 7:40
  • 你好,

    可以告知目前电脑是什么版本,打了哪些补丁么?

    Fan



    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年11月6日 6:07
  • 老哥,你确认你没有搞错?你对CA的理解有误:

    你按下面操作,绝对不会有问题。

    1、所有的客户端,需要信任CA。如果CA服务在AD上的话,域客户端或members电脑重启后会自动信任。未加域需手工添加信任;如果CA在是一台独立的成员服务器,需要通过策略使客户端信任CA,AD环境一定要是企业CA

    2、需要加密通迅的服务器申请一张证书(此证书含私钥),你在此处是IIS,私钥存放的位置最好是在“证书-计算机\个人\证书”下;

    3、输入你申请的通用域名即可。

    这台独立服务器加了域,生成了自签名证书,部署在本地

    将上面这台服务器的自签名证书导出,通过域控部署在这个位置

    1、你要做的做是将CA根证书(最好是证书链)导入到策略中,然后下发到所有加域的计算机,这个是为了让所有计算机信任CA。而不是tomstest.zjca.local这个私钥,这种操作是对于安全来说是危险的;

    2、你导出的这个是tomstest.zjca.local这个证书含有一把钥匙,这个可是网站的私钥,非特别情况千万不要下发

    3、你应该将这个私钥导入到这个网站里面,就一切OK了。如果你的网站没有加域,你还得做一个进阶操作。

    将网站的CA的CRL中HTTP发布出来。

    2020年11月6日 9:33
  • 1、你要做的做是将CA根证书(最好是证书链)导入到策略中,然后下发到所有加域的计算机,这个是为了让所有计算机信任CA。而不是tomstest.zjca.local这个私钥,这种操作是对于安全来说是危险的;

    2、你导出的这个是tomstest.zjca.local这个证书含有一把钥匙,这个可是网站的私钥,非特别情况千万不要下发

    3、你应该将这个私钥导入到这个网站里面,就一切OK了。如果你的网站没有加域,你还得做一个进阶操作。

    将网站的CA的CRL中HTTP发布出来。

    2020年11月6日 9:33
  • 搞定了就标记啊。
    2020年11月9日 8:53
  • 没有搞定,请移步https://social.microsoft.com/Forums/zh-CN/0da35c94-c2e7-40a8-a005-760eec469302/22495255112291420309255123686521463204492021930340266813577720?forum=windowsserversystemzhchs

    2020年11月9日 9:18
  • 搞了半天,原来你通过组策略分发的自签名的证书。

    自签名证书由程序(你这里是IIS)本身生成存在这些缺点:算法不严谨、无法分发多域名,无法自定义证书模板、无法发布CRL、无法检查颁发机处(程序本身)吊销等等。

    Win7打开后能够信任,Win10打开后不信任。这是因自签名算法不严谨造成啊。比如CA,他的算法起步就是RSA,1024Bit;但自签名,你要相信,绝对是因为加密不严谨,至于加密的参数如何,我还真没去研究,没啥意义。所以不信任不是很正常吗。

    下面我一步步操作,这是证书信任最标准的:

    1、你的CA与DC分离部署的(CA与DC分离是很骚的操作,这样做是完美的,很棒),所有要让所有加域客户端信任CA。信任操作如下。首先下载CA公钥证书链(图一、二),然后将证书链通过组策略发布,不一定必须是默认域策略,也可以新建一个,但最好是挂在域下(图三)

    然后在IIS服务器中刷新组策略。查看根证书颁发机构已经存在此CA的公钥了,说明已经信任CA了(如图

    关键的来了:

    点击“创建域证书”。加域的需要证书的服务器全部都是点“创建域证书”,千万不要点“创建自签名证书”。这个上面说了原来,缺点较多,主要是加密不严谨。你都用证书加密网站了,还搞个加密不严谨,就显得比较难已理解了

    ”通用名称“处必须填写和你的网站名称一模一样,一定不能写错,大小写可以忽略。然后完成证书的创建(图一、二):


    创建好的域证书如下图。此证书其实含有一对钥匙,即公钥和私钥:

    然后绑定此网站,看黄色标记处

    然后测试,看到浏览器有一个黄色的锁说明加密了的网站,而且证书非常正常。至此就已经好了。


    • 已编辑 volnno 2020年11月10日 1:13
    2020年11月10日 1:10
  • 请仔细看我帖子的描述。。。这个证书我手动导出再导入win10客户端,打开网页就是信任了!!何解
    2020年11月10日 7:43
  • 能说明一下是啥原因要推送自签名证书吗?按标准的来,打开网页会没有锁吗?

    哈哈,没有搞过自签名证书。它仅做为一个初始过渡阶段使用的一个证书或测试工具,个人还没看到哪个实际项目中这样用过。因为自签名局限性很多,可调设和自定义的空间小。听老哥一句劝,不要学旁门左道的功夫,这样浪费时间呢。


    2020年11月11日 3:28
  • 能说明一下是啥原因要推送自签名证书吗?按标准的来,打开网页会没有锁吗?

    哈哈,没有搞过自签名证书。它仅做为一个初始过渡阶段使用的一个证书或测试工具,个人还没看到哪个实际项目中这样用过。因为自签名局限性很多,可调设和自定义的空间小。听老哥一句劝,不要学旁门左道的功夫,这样浪费时间呢。


    只是想弄明白,win7 2016为啥可以信任,win10就不行,但是手动导入后又可以信任,是bug还是其他原因
    2020年11月11日 4:59