上下文是一个 Windows 域。我的最终目标是让一个内部网站(网站服务器已加入域)在我从域工作站访问它时显示为“受信任”。
目前(例如在 Firefox 或 Edge 中),网站显示“连接不安全”,但我已在域控制器的证书颁发机构中安装了该网站的 .cer。我可以在颁发证书下的 certsrv 中看到它!(必须审查大部分内容)但我可以保证:序列号、颁发的国家/地区、颁发的通用名称=主题名称通用名称、之前和之后的有效性在下面的这个屏幕和我看到的证书之间的所有匹配浏览器
最后,这个内部网站仍然显示为不安全。
听起来您使用了“认证机构”模块
certsrv.msc,但这是安装网站证书的错误位置。此模块用于创建内部 CA - 您可以使用它来启动“Bluesquare CA”,然后可以为您的所有内部网站或 web 应用程序颁发本地受信任的证书 - 但是,它不是导入网站自身的地方-签名证书。在 Windows 中管理受信任证书的实际控制台是
certmgr.msc针对每个用户的设置和certlm.msc机器级别的设置。如果您想让 Windows 识别您的自定义 CA(或自签名网站证书),请通过“受信任的根证书颁发机构”下的 certmgr.msc 或 certlm.msc 安装它。(右键单击,然后使用“所有任务 → 导入”。)此外,证书由每个主机单独验证,而不是由域控制器验证。即使您使用 certlm.msc,在您的 DC 中安装 CA 证书仍然只会影响 DC 本身——CA 不会自动分发给成员主机。
您需要使用组策略将自定义 CA 证书分发到域计算机(通过“计算机配置 → 策略 → Windows 设置 → 安全设置 → 公钥策略 → 受信任的根证书颁发机构”)。
(不过,您仍然不应该部署单独的网站证书。如果网站不能使用公共 CA,则创建一个内部 CA(实际上是通过“证书颁发机构”)——这样您只需要一个 GPO 来部署一个 CA 证书,并且它可用于为任意数量的内部网站颁发证书。)