我正在帮助一个大型教堂提供一些 IT 东西,他们有很多内部安全连接,例如安全摄像头或想要使用 https 的 UniFi AP 控制器。当然,每个人都会收到不安全/非私人的警告信息。
他们不可能为这些设计支付证书费用。所以我唯一的想法是自我签名......我应该做什么以及最好的做法是什么。如果我自己签名,我应该从域控制器执行吗?真的有关系吗?
我将如何设置那些值得信任的?我可以使用组策略(0 经验这样做)来安装这些吗?
证书是否影响了实际的ssl,或者缺少证书。
编辑:这些设备中的大多数都不会被外部访问。如果是,那将是通过 VPN。我的问题是内部设备,它不能通过互联网访问。
谢谢
在这种情况下,我建议安装 Active Directory 证书服务(企业根 CA 角色),并使用默认 WebServer 证书模板向您的 SSL/HTTPS 服务器颁发 SSL 证书。ADCS 自动将其证书发布到 Active Directory,因此在下一次组策略更新后,它受到 Active Directory 林的任何成员的信任。这包括 CryptoAPI 客户端、Internet Explorer 和许多第 3 方客户端(FireFox 和 Opera 浏览器除外,您必须手动或通过 ADM 模板为 FireFox 配置证书信任)。更多细节:
安装根证书颁发机构
带有 SAN 扩展的 Web 服务器证书注册