我使用 Google Apps For Business + SingleSignOn,这意味着我的所有用户都通过内部界面登录,而不是通过 gmail.com 登录。
此 SingleSignOn 开源解决方案使用 SAML 协议(我认为这是正确的)让用户登录 Google 服务。它与 AD 集成,因此我的所有用户都使用 Windows 凭据登录电子邮件。
此 SSO 接口需要 SSL 证书才能与 Google 平台交换信息,问题是它是自签名的,导致出现“无效证书”屏幕,这让我的用户感到困惑。
问题:有没有办法使用活动目录策略将证书推送为“可信任”给所有用户?我希望这个无效证书屏幕消失,我不想只为几个用户购买证书。此 SSO 接口在 APACHE 上运行,位于防火墙后面,仅在 Office 或通过 VPN 可用。
答案1
是的,完全可以将证书信任推送给用户。这可以通过组策略完成。您可以在“用户”->“Windows 设置”->“安全设置”->“公钥策略”下找到它。从那里,您可以管理哪些证书和证书颁发机构是值得信任的。GPO 的计算机端也存在相同的配置单元。
如果有的话,您可能会在其中找到您的 AD CA。这些对于企业证书颁发机构非常有用。