我计划为我们的组织设置 PKI,因为我们受够了使用自签名证书时出现的所有这些安全警告。我想要一个离线根 CA 和两个颁发 CA,并且我想在 Linux 系统上设置它们。
如何才能轻松地将根证书和身份(服务器)证书分发给最终用户,而无需向每个用户解释如何在浏览器中安装它们?
Active Directory 是否通过 GPO 执行此操作?如果是,它是否仅支持 Internet Explorer?我可以不安装 AD CS 执行此操作吗?
另外,我想知道是否存在某种 CA(GUI/web)界面,服务器管理员可以登录并根据自己的需要请求证书?
希望这有意义,因为我对 PKI 还很陌生 :) 非常抱歉,如果它在互联网上到处都是,而且我不擅长使用 Google,但我真的找不到我需要的东西......
答案1
是的,您可以从 AD 将根 CA 和中间 CA 部署到 Windows 信任存储中。至少 IE 和 Chrome 浏览器会从那里获取证书,因为它们使用 Windows 自带的证书。在 Firefox 中,您需要让用户自己导入证书或找到编写脚本的方法。
感谢@Aceth,以下是答案的补充:
我在组策略管理控制台中编辑默认域策略。然后在计算机配置/策略/安全设置/公钥策略/受信任的根证书颁发机构下
右键单击并导入您的根证书和中间证书。
答案2
只是为了进一步阐述 Florin 的回答......
我在组策略管理控制台中编辑默认域策略。然后在计算机配置/策略/安全设置/公钥策略/受信任的根证书颁发机构下
右键单击并导入您的根证书和中间证书。