我正在帮助一家大型教堂处理一些 IT 事务,他们有很多内部安全连接,例如安全摄像头或 UniFi AP 控制器,这些连接需要使用 https。当然,每个连接都会收到不安全/非私密警告消息。
他们不可能为这些设备支付证书费用。所以我唯一的想法就是自己签名……我应该怎么做,最佳做法是什么。如果我自己签名,我应该从域控制器上签名吗?这真的很重要吗?
我该如何设置这些以使其受信任?我可以使用组策略(没有这方面的经验)来安装它们吗?
实际的 SSL 是否受到证书的任何影响,或者是否缺少证书。
编辑:大多数这些设备都无法从外部访问。如果可以,则通过 VPN 进行访问。我的问题是,对于内部设备,它们无法通过互联网访问。
谢谢
答案1
在这种情况下,我建议安装 Active Directory 证书服务(企业根 CA 角色),并使用默认的 WebServer 证书模板向您的 SSL/HTTPS 服务器颁发 SSL 证书。ADCS 会自动将其证书发布到 Active Directory,因此在下一次组策略更新后,Active Directory 林中的任何成员都会信任它。这包括 CryptoAPI 客户端、Internet Explorer 和许多第三方客户端(FireFox 和 Opera 浏览器除外,在这些浏览器上,您必须手动或通过 FireFox 的 ADM 模板配置证书信任)。更多详细信息: