如何使用 SSL 和 Server 2008 作为 CA 来保护内部用户的内部网站？

我最终自己解决了这个问题。我记录了我的步骤；希望这可以帮助将来遇到相同问题的任何人：

1. 在 Tomcat 上生成 CSR

   • 创建密钥库和私钥：keytool -genkey -alias tomcat -keyalg RSA -keystore keystore
   • “Keytool”位于 Java 的 JDK 或 JRE 主目录的“bin”文件夹中
   • “keystore”包括您的密钥库文件的路径，例如“C:\store\keystore”
   • 填写它要求的信息，注意“名字和姓氏”实际上是在要求 FQDN
   • 创建 CSR 文件：keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore keystore
   • [然后我复制到一个公共共享：] copy certreq.csr Z:\

2. 签署证书

   • 在具有 Active Directory 证书服务角色的服务器上，在提升的命令提示符中：certreq -submit -attrib "CertificateTemplate: WebServer" Z:\certreq.csr certificate.cer
   • 在弹出窗口中选择您正在使用的 CA
   • 【然后我复制回共享：】copy certificate.cer Z:\

3. 导入根 CA 证书

   • 在具有 Active Directory 证书服务角色的服务器上：
   • 服务器管理器 --> 角色 --> Active Directory 证书服务 --> [您的 CA] --> 颁发的证书
   • 从您的 CA 签名的列表中打开任何一个，转到“证书路径”选项卡
   • 根 CA 的“查看证书”，如果它是您服务器的 CA
   • 详细信息选项卡 --> 复制到文件... [然后我保存到 Z:\RootCA.cer]
   • 在 Tomcat 服务器上：
   • keytool -import -trustcacerts -alias rootca -file Z:\RootCA.cer -keystore 密钥库
   • 输入“yes”以信任证书

4. 为 Tomcat 导入证书

   • keytool -import -trustcacerts -alias tomcat -file Z:\certificate.cer -keystore 密钥库

参考：

• 第 1 步：https ://www.globalsign.com/support/csr/serversign_tomcat.php
• 第 2 步：http: //www.visualsvn.com/support/topic/00035/
• 我显然只被允许在此站点上发布 2 个超链接。

请注意，如果此时您的浏览器仍然不相信它是由受信任的根 CA 签名的，您可能必须通过组策略推出根 CA 服务器。. . 对我来说这是一个快速的谷歌。我已经在这些步骤之前设置好了，所以我不确定它是否重要。

由于您刚刚创建了一个自签名证书，因此不会自动进行身份验证，因为您不是受信任的证书颁发机构。

最简单快捷的做法是将证书安装到本地受信任的证书存储中，但您需要在每台机器上执行此操作，因此这将非常耗时，并且会在您每年安装一台新机器时出现问题未来而忘记这样做，所以部署它的更好方法是使用 GPO。如果您有组策略设置，请按照此处的说明进行操作。