我希望向 Citrix 用户分发 SSL 客户端证书。
我知道对于每个用户我都可以运行这个:
certutil –f –p 12345 –importpfx C:\cert.pfx
上述操作会将证书安装到用户的个人存储中,并允许他们访问,但对于许多用户来说很难管理。
我想知道服务器上是否有另一个存储,我可以在其中安装 SSL 证书,以便允许所有用户访问 SSL 证书?或者是否有更好的方法为每个用户分发客户端证书?
谢谢!
答案1
有几个使用组策略的选项(这可能是最好的选项,也是最易于管理的选项)。
对于标识您正在连接的服务器的服务器证书,您只需要确保创建证书的证书颁发机构 (CA) 受到用户所在计算机的信任,对于公共信任的 CA,这将为您处理(verisign、geotrust 等受微软信任并自动具有引用),但是,如果它是使用组策略的内部 CA,则您可以编辑以下节点:计算机配置 > Windows 设置 > 安全设置 > 公钥策略 > 受信任的根证书颁发机构
将公钥(不要发布私钥)添加到该节点,并确保将其设置为包含您想要信任服务器的计算机的组策略。
如果您想要信任用户证书,则需要进行更多操作,因为您需要在内部 CA 中自动注册证书。请参阅有关使用 CA 模板为用户创建自动注册策略的演练:http://technet.microsoft.com/en-us/library/cc770857.aspx
您需要信任 citrix 服务器上提供用户证书的 CA,以确保该服务器将接受该证书作为有效的用户身份证明。
希望这能满足您的需要。