我正在考虑将AD CAangular色添加到我们的服务器,并使用GPO向所有内部客户端添加一个自签名的可信证书(以便于testing)…有关此问题的一些相关问题是:
我的问题是,将使用GPO“推”自签名的证书只为Internet Explorer工作,或将为客户端的任何浏览器工作? 另外,在非浏览器应用程序(如Web服务客户端)的情况下,是否允许客户端信任?
这将使Windows的任何客户端join到你的域名信任你的证书颁发机构作为受信任的根CA,所以您的CA问题的任何证书都自动信任您的计算机。 任何询问Windows是否信任证书的东西都会信任根证书,但并非所有的浏览器都这样做。
例如,Internet Explorer 将像Outlook一样信任证书(例如Exchange自动发现证书),但Firefox 不信任证书并拥有自己的可信证书列表。 这一切都取决于个人浏览器的实施恐怕。
通常情况下,如果使用自己的可信证书列表,则可以将受信任的根证书导入到应用程序中,但这又取决于实施。
信任是在整个计算机范围内的,所以它对IE以外的用途是有效的(取决于证书的types)。 在创buildCA之后,您可以通过GPO部署根证书: 如何部署内部证书颁发机构?