AD CA(正确配置的 AD 证书服务)是否是面向内部的站点(上的 SSL 证书)值得信任所需的全部内容,而无需在加入域的客户端上进行任何其他配置?
说:
- Active Directory 证书颁发机构已正确安装
- 面向内部的站点的证书已正确颁发且有效
- 不使用其他证书(例如来自 Digicert 或其他公司的“零售” SSL 证书)
加入 AD 的计算机上的浏览器(例如当前版本的 Chrome、Edge、Safari 等)是否会“信任”这些面向内部的站点上的 SSL 证书?(例如 vCenter 或 SolarWinds Web UI。)
如果不是,那么要采取哪些步骤才能赢得他们的信任?
如果是,并且证书仍然显示为无效,那么解决问题的步骤是什么?(查看哪些日志,如何将问题隔离到证书链中的特定部分以及如何从那里解决问题等)
我问这个问题的原因是:AD CA 似乎运行良好,因为新计算机加入域很顺利,没有问题,现有的域服务似乎运行正常。然而,我们拥有的任何面向内部的站点都被标记为不安全,尽管似乎拥有有效的 AD CA 证书。
(Windows Server 2016 安装了 AD DS、CS 角色,配置了 CS。)
附言:
- 我预计上述信息可能不足以确定问题所在,并很乐意提供更多信息并修改这个问题。
- 我已经在这个兔子洞里呆了第三天了,在几个地方看到标题问题的答案可能是“是”——但还没有在 MS AD 文档中找到权威的说明,或者在某处进行演示,也没有找到关于如何解决常见问题的指导。
我正在寻找类似这样的东西:
https://dc01.mydomain.com要使 SSL 证书被运行在已加入域的计算机上的 Chrome 信任,需要执行哪些步骤(如果有),以及在哪里:
mydomain.com是 AD 域,dc01.mydomain.com是安装了 CS/CA(证书服务/证书颁发机构角色)的 AD DC 上的默认 IIS 站点,- 这是一个新部署的最简单的 AD 设置,尽可能使用默认安装选项?
- 如果上述设置出现问题,并且 Chrome 现在标记
https://dc01.mydomain.com为具有无效的 SSL 证书,尽管该证书没有显示任何问题(例如已过期),那么常见的根本原因是什么,以及如何对其进行故障排除?
答案1
https://dc01.mydomain.com要使 SSL 证书被运行在已加入域的计算机上的 Chrome 信任,需要执行哪些步骤(如果有),以及在哪里:
据我所知,必须通过组策略部署私有 CA 根证书,即使它是 AD CS 管理的 CA。(没有隐含的假设表明 AD CS 管理的 CA 适用于哪些受众 - 如果它适用于您的机器,您需要将其部署在那里。)
因此,第一步是创建一个 GPO,将您的 CA 证书添加到“计算机 → Windows 设置 → 安全设置 → 公钥策略 → 受信任的根 CA”。
(许多教程省略了此步骤,因为它们显示了使用 AD CS 发出客户身份验证证书,其中根只需要在服务器(验证)端,或者在 DC 的特殊 AD 存储中 - 但这不是您的情况。)
如果上述设置出现问题,Chrome 现在会标记https://dc01.mydomain.com尽管证书没有显示任何问题(例如已过期),但 SSL 证书无效,常见的根本原因是什么,以及如何对其进行故障排除?
与任何其他 CA 的程序相同。如果显示为“已过期”,请仔细检查日期。(服务器证书和CA证书!)如果显示为“未知颁发者”,请前往certmgr.msc检查颁发者CA是否已经部署在那里。
Firefox 传统上使用其单独的根数据库作为其 NSS TLS 库的一部分;在最近的版本中,它可以读取 Windows 根目录,但您可能需要启用security.enterprise_roots.enabled(我相信有一个 Firefox GPO 可以实现这一点)。