我正在考虑向我们的服务器添加 AD CA 角色,并使用 GPO 向所有内部客户端添加自签名、受信任的证书(以简化测试)...与此相关的一些问题包括:
我的问题是,使用 GPO “推送” 自签名证书是否仅适用于 Internet Explorer,还是适用于任何浏览器?此外,对于非浏览器应用程序(例如 Web 服务客户端),它是否允许客户端信任?
答案1
它将使 Windows 任何加入您域的客户端都信任您的证书颁发机构作为受信任的根 CA,因此您的 CA 颁发的任何证书都会自动受到您的计算机的信任。任何询问 Windows 证书是否受信任的操作都会信任根证书,但并非所有浏览器都这样做。
例如,Internet Explorer将要信任该证书,Outlook 也是如此(例如 Exchange AutoDiscover 证书),但是 Firefox才不是信任证书并拥有自己的受信任证书列表。恐怕这一切都取决于各个浏览器的实现。
通常,如果应用程序使用自己的受信任证书列表,则可以将受信任的根证书导入应用程序,但这同样取决于实现。
答案2
信任是全计算机范围的,因此它对 IE 以外的用途也有效(取决于证书类型)。创建 CA 后,您可以通过 GPO 部署根证书: 如何部署内部证书颁发机构?