我打算为我们的组织设置PKI,因为在使用自签名证书时,我们厌倦了所有这些安全警告。 我想要一个脱机根CA和两个发行CA,我想在Linux系统上设置它。
如何轻松地向最终用户分发根和身份(服务器)证书,而不必解释他们每个人如何在浏览器中安装它们?
活动目录是否通过GPO来实现呢? 如果是这样,它是否只支持Internet Explorer? 我可以做到这一点,而无需安装AD CS?
另外我想知道是否有一个CA(GUI /networking)的某种types的接口,其中服务器pipe理员可以login并根据需要请求证书?
希望这是有道理的,因为我对PKI很陌生:)我很抱歉,如果它在互联网上的所有地方,我吮吸谷歌,但我真的找不到我所需要的…
是的,您可以将根和中间CA部署到AD的Windows信任库中。 至lessIE浏览器和Chrome浏览器会从那里使用任何Windows附带的软件。 在Firefox中,您需要让用户自己导入证书,或者find一种方法来编写证书。
感谢@Aceth,答案如下:
我编辑组策略pipe理控制台中的默认域策略。 然后在计算机configuration/策略/安全设置/公钥策略/受信任的根证书颁发机构下
右键单击并导入您的根和中级证书。
只是进一步阐述弗洛林的答案…
我编辑组策略pipe理控制台中的默认域策略。 然后在计算机configuration/策略/安全设置/公钥策略/受信任的根证书颁发机构下
右键单击并导入您的根和中级证书。