我们有一个传真服务器,只能在我们的networking内部访问,比如地址10.10.10.2。 我们的许多员工每天都使用这台传真服务器,所以我创build了一个简单名称的DNS条目,如fax.company.com,这很好。 传真服务器能够通过SSL进行通信,并且能够生成SSL证书。 我生成了这个SSL证书,然后将其复制到我们的域控制器,并按照这些说明将它添加到受信任的根证书存储区。 但是,当浏览到fax.company.com时,用户仍会提示浏览器出现不可信的连接警告。 我的最终目标是让我们的域用户导航到fax.company.com,并使连接可信,从而不会向用户显示浏览器警告。
我一直在search和研究,似乎无法find确切的位置安装此证书,使用户导航到fax.company.com时,浏览器将识别此证书,并信任它,因此不警告他们。 域控制器运行Windows Server 2012.传真服务器提供它自己的Web界面,所以在这种情况下IIS不是一个因素(即在IIS中安装证书不应解决此问题,因为域控制器上的IIS未提供内容)。
我没有重新启动域控制器,因为我不认为这是必要的…或者是吗? 也许这很简单? 我已经尝试清除caching并重新启动我的电脑,但我仍然收到浏览器不可信的连接警告。
任何帮助将非常感激。 谢谢!
在域控制器上安装证书作为受信任的根证书颁发机构对于客户端没有任何作用。 他们仍然没有在他们的商店。
您可以使用此技术文章中描述的GPO来分发证书:
如果只有一部分客户端应该信任该证书,请创build一个新的GPO并将其单独定位
您所做的只是确保域控制器将信任此机器的SSL证书。 您需要使用GPO来有效地为域中的所有工作站执行相同的操作,或者使用AD CS来实现PKI。
或者使用商业authentication机构的公共证书,如果你的用户不是你公司的雇员,这将是明智的。