我们正在推出一个新网站,并希望使用 ssl/https 保护管理部分。我们认为没有必要从根 CA 购买 SSL 证书,因为客户看不到管理部分,所以我们只需要一个(自签名)SSL 证书来保护通信。
为了让内部用户获得尽可能好的体验,我们希望信任此证书,但我们希望使用组策略(或类似策略)将此证书推送给所有用户,而不是要求所有用户手动安装证书。自签名证书可以做到这一点吗?
另外一个问题;我们也在内部部署了一个测试服务器,并且也想保护它(内部测试服务器将有一个内部 DNS/IP),但我们可以使用与在公共网站上使用的相同的自签名 SSL 证书吗?还是我们需要一个不同的证书(然后我们也可以通过组策略将其推送出去)
希望这个问题有意义...
答案1
如果您的所有用户都在 AD 中,并且您AD Certificate Authority在 DC 上安装了 (AD CA),那么您只需从 AD CA 颁发所需的证书,然后将此证书附加到 IIS 中的网站即可。这样,所有域用户都会自动信任颁发的证书(无需手动或 GPO 安装)。
关于您的第二个问题:我建议您为您的测试服务器颁发来自同一 AD CA 的另一个证书。