我计划为我们的组织设置 PKI,因为我们在使用自签名证书时已经厌倦了所有这些安全警告。我想要一个离线根 CA 和两个发布 CA,我想在 Linux 系统上进行设置。
如何在不向最终用户解释如何在浏览器中安装它们的情况下轻松地将根证书和身份(服务器)证书分发给最终用户?
Active Directory 是否通过例如 GPO 执行此操作?如果是这样,它是否只支持 Internet Explorer?我可以在不安装 AD CS 的情况下做到这一点吗?
另外我想知道是否有某种类型的 CA(GUI/Web)接口,服务器管理员可以登录并根据需要请求证书?
希望这是有道理的,因为我对 PKI 还很陌生 :) 很抱歉,如果它在互联网上到处都是,而且我在谷歌上很烂,但我真的找不到我需要的东西...
是的,您可以从 AD 将根 CA 和中间 CA 部署到 Windows 信任存储中。至少 IE 和 Chrome 浏览器会从那里获取它,因为它们使用 Windows 附带的任何东西。在 Firefox 中,您需要让用户自己导入证书或找到一种编写脚本的方法。
感谢@Aceth,这是答案的完成:
我在组策略管理控制台中编辑默认域策略。然后在计算机配置/策略/安全设置/公钥策略/受信任的根证书颁发机构下
右键单击并导入您的根证书和中间证书。
只是为了进一步详细说明弗洛林的回答......
我在组策略管理控制台中编辑默认域策略。然后在计算机配置/策略/安全设置/公钥策略/受信任的根证书颁发机构下
右键单击并导入您的根证书和中间证书。