我正在使用 AD 证书服务向加入域的 Windows 计算机(服务器和工作站)颁发计算机证书。这些证书是通过 Active Directory 定义的自动注册过程获得的。
我的问题是:如果这些计算机证书具有正确的 OID 详细信息,那么有什么理由不将它们用于运行 IIS 的服务器上的 https 绑定?访问这些 Web 服务器的所有系统都是内部的,并且将信任 ADCS PKI。
编辑:明确地说,我特别询问的是使用作为域成员资格的一部分颁发的计算机证书。
答案1
运行本地证书完全没有问题。许多企业使用内部 CA(例如 AD-Certificate Services)来管理和自动创建其服务器的证书。只要您将证书分发给客户端并保证私钥的安全和私密,它就与公共 CA 一样安全。
答案2
有什么理由不在运行 IIS 的服务器上使用它们进行 https 绑定?
没有。
只要证书是可信的并且具有适合您用途的 x509 扩展,证书的来源就无关紧要。