Установка сертификата SSL для всех рабочих станций в домене
Мы имеем факсовый сервер, только доступный внутренне в нашей сети, говорим адрес 10.10.10.2. Многие наши сотрудники ежедневно используют этот факсовый сервер, таким образом, я создал запись DNS с легким именем, как fax.company.com, и это работает отлично. Факсовый сервер имеет способность связаться по SSL и имеет способность генерировать сертификат SSL. Я генерировал, затем скопировал этот сертификат SSL в наш контроллер домена и добавил его к Доверяемому Корневому Хранилищу сертификатов, следующему этим инструкциям. Однако при навигации на fax.company.com, пользователям все еще предлагают с предупреждением браузера недоверяемого соединения. Моя конечная цель должна сделать, чтобы наши пользователи домена перешли на fax.company.com и для соединения, которому будут доверять, и таким образом пользователям не дарят предупреждение браузера.
Я гуглил и исследовал и, может казаться, не узнаю точно, где установить этот сертификат для создания его поэтому, когда пользователи перейдут на fax.company.com, браузер будет распознавать этот сертификат и доверять ему и таким образом не предупреждать их. Контроллер домена выполняет Windows Server 2012. Факсовый сервер служит своему собственному веб-интерфейсу, таким образом, IIS не является фактором в этой ситуации (т.е. установка сертификата в IIS не должна решать этот вопрос, поскольку IIS на контроллере домена не служит содержанию).
Я не перезапустил контроллер домена, поскольку я не думаю, что это было бы необходимо... или является им? Возможно, это настолько просто? Я попытался очистить кэш и перезапустить мой компьютер, но я все еще получаю браузер недоверяемое предупреждение соединения.
Любая справка очень ценилась бы.Спасибо!
Установка сертификата в качестве доверенного корневого центра сертификации на контроллере домена на самом деле ничего не делает для клиентов. У них по-прежнему его нет в магазинах.
Вы можете распространять сертификат с помощью объекта групповой политики , как описано в этой технической статье :
- Нажмите «Пуск», выберите «Администрирование», а затем нажмите «Группа» Управление политикой.
- В дереве консоли дважды щелкните Объекты групповой политики в лесу и домене, содержащем объект групповой политики (GPO) политики домена по умолчанию, который вы хотите изменить.
- Щелкните правой кнопкой мыши объект групповой политики политики домена по умолчанию , а затем щелкните «Изменить».
- В консоли управления групповой политикой (GPMC) перейдите к Конфигурация компьютера , Настройки Windows , Настройки безопасности , а затем щелкните Политики открытого ключа .
- Щелкните правой кнопкой мыши хранилище Trusted Root Certification Authorities .
- Щелкните Импорт и следуйте инструкциям мастера импорта сертификатов, чтобы импортировать сертификаты.
Если только часть вашего клиента должна доверять сертификату, создайте новый объект групповой политики и нацелитесь только на них [114 4147]
Все, что вы сделали, это убедиться, что контроллер домена будет доверять сертификату SSL с этого компьютера. Вам нужно использовать GPO, чтобы эффективно делать то же самое для всех рабочих станций в домене, или реализовать PKI, возможно, используя AD CS.
Или используйте общедоступный сертификат коммерческого центра сертификации, что будет разумно, если ваши пользователи не являются сотрудниками вашей компании.