我们有一个只能在网络内部访问的传真服务器,地址为 10.10.10.2。我们的许多员工每天都会使用这个传真服务器,因此我创建了一个 DNS 条目,并使用了一个简单的名称,例如 fax.company.com,效果很好。传真服务器能够通过 SSL 进行通信,并且能够生成 SSL 证书。我生成并复制了此 SSL 证书到我们的域控制器,然后将其添加到受信任的根证书存储中,如下所示这些说明。但是,当导航到 fax.company.com 时,用户仍然会收到浏览器警告,提示“连接不受信任”。我的最终目标是让我们的域用户导航到 fax.company.com 并且连接受信任,这样用户就不会收到浏览器警告。
我一直在谷歌搜索和研究,但似乎无法找到确切的位置来安装此证书,以便当用户导航到 fax.company.com 时,浏览器会识别并信任此证书,从而不会向他们发出警告。域控制器运行 Windows Server 2012。传真服务器提供自己的 Web 界面,因此 IIS 不是这种情况的一个因素(即,在 IIS 中安装证书不应解决此问题,因为域控制器上的 IIS 不提供内容)。
我没有重新启动域控制器,因为我不知道思考那是必要的……还是真的?也许就这么简单?我尝试过清除缓存并重新启动计算机,但仍然收到浏览器不受信任的连接警告。
任何帮助都将不胜感激。谢谢!
答案1
在域控制器上将证书安装为受信任的根证书颁发机构实际上对客户端没有任何作用。他们的商店中仍然没有该证书。
您可以使用 GPO 分发证书如本 Technet 文章所述:
- 单击“开始”,指向“管理工具”,然后单击“组策略管理”。
- 在控制台树中,双击包含要编辑的默认域策略组策略对象 (GPO) 的林和域中的“组策略对象”。
- 右键单击“默认域策略”GPO,然后单击“编辑”。
- 在组策略管理控制台 (GPMC) 中,转到计算机配置,Windows 设置,安全设定,然后点击公钥策略。
- 右键单击受信任的根证书颁发机构店铺。
- 单击“导入”并按照证书导入向导中的步骤导入证书。
如果只有一部分客户端应该信任该证书,请创建一个新的 GPO 并单独定位它们
答案2
您所做的只是确保域控制器信任来自此计算机的 SSL 证书。您需要使用 GPO 有效地对域中的所有工作站执行相同的操作,或者实施 PKI(可能使用 AD CS)。
或者使用来自商业证书颁发机构的公共证书,如果您的用户不是您公司的员工,这将是明智之举。