我正在管理一个 Active Directory 域,其中有大约一百个运行 IE9 的 Windows 7 客户端。网络无法访问互联网,但可以访问供应商的 Web 应用程序。Web 应用程序使用 HTTPS,供应商的证书来自 Entrust。我正在尝试弄清楚如何将证书添加到 Active Directory,以便所有客户端都能收到证书并停止警告或直接阻止对应用程序的访问。我尝试过的所有方法都没有用。
通过浏览器地址栏中的红色盾牌接受证书不起作用。事实上,如果我查看证书并查看路径,它会说它是有效的,但仍然会在某些客户端上发出警告,并阻止其他客户端。
我尝试通过进入“工具-选项-内容-证书”将证书导入浏览器,但这也无济于事。我可以看到当前安装的证书,但浏览器行为没有变化。
最后但同样重要的一点是,我已将证书添加到计算机配置 - 策略 - Windows 设置 - 安全设置 - 公钥策略 - 受信任的根证书颁发机构下的域组策略中。
我对这个问题感到很困惑。我知道这些证书是好的,因为我已经将它们安装在我们 Linux 工作站的浏览器中,没有任何问题。只有 Windows 主机似乎不接受它们。我想知道这个问题是否与 PC 无法通过 Internet 仔细检查证书有关。我只是希望所有域 PC 都接受域提供的证书并就此打住。我不想完全禁用证书检查,但我快要这么做了。
此外,在局域网上设立证书颁发机构是否有帮助,还是只会增加不必要的复杂性?
答案1
导致我遇到问题的根本原因是,供应商使用的 CA Entrust 的根证书不在受信任的根证书颁发机构存储中。我只是在扫描 TRCA 一百次后才注意到它们不见了。我认为客户端无法访问互联网并直接使用 Entrust 验证证书才是真正的问题。下载 Entrust 的根证书并将其添加到存储后,问题就解决了。