我已经配置了 Windows 2003 服务器以允许从 Internet 进行 SSL 访问,特别是启用所谓的 Outlook Web Access,即从 Internet 浏览 Exchange Server 数据。
按照以下步骤本网站,我已经实现了创建具有内置 W2K3 认证机构的自颁发证书的目标,遵循建议使用与从 Internet 访问服务器所用的 URL 相同的 cname,即将 cname 设置为“mydomain.com/exchange”,因为这是用于从 Internet 访问 Exchange 服务器数据的 URL。
用户可以连接,但是他们面临着繁琐的不受信任的证书错误。我读了很多关于这个问题的文章。这种情况似乎发生在:- cname 和 URL 不一样 - 证书是由不受信任的证书颁发机构颁发的
为了绕过这个问题,我试图强制访问该网站的工作站接受该证书,尽管该证书不是由知名的认证机构颁发的,但问题仍然存在。
我可以尝试什么?
编辑:
虽然发出了警告,但允许航行。以下是我收到的警告:
谷歌浏览器:
该网站的安全证书不受信任您尝试访问 mydomain.com,但服务器提供的证书由您计算机操作系统不信任的实体颁发。这可能意味着服务器已生成自己的安全凭证,而 Google Chrome 无法依靠该凭证获取身份信息,或者攻击者可能试图拦截您的通信。(仍要继续)
Internet Explorer 9:
*该网站的安全证书存在问题该网站出示的安全证书不是由受信任的证书颁发机构颁发的。
安全证书问题可能表示有人试图欺骗您或拦截您发送到服务器的任何数据。*(继续访问此网站(不推荐)。)
Opera 11:
服务器的证书链不完整,且签名者未注册。接受吗? 证书错误:“mydomain.com/exchange/”的证书由未知的证书颁发机构“WIN2003DC”签名。无法验证这是否是有效证书”
答案1
如果服务器和工作站都是同一个 Windows 域的成员,则可以为该域创建一个 Windows 证书颁发机构,并让其向 Web 服务器颁发证书。CA 的根证书将自动发布在 Active Directory 中,并且属于该域的所有计算机都将信任该根证书及其颁发的任何证书。这样,您的组织就可以颁发自己的证书,这些证书受到其计算机的信任,而无需向第三方证书颁发机构付费。这些证书显然仅在您的组织内受信任。
如果您没有域名,或者客户端计算机不属于您的域名,则需要由相互信任的第三方证书颁发机构颁发的证书。您必须向他们支付证书费用。