我们使用的服务器有 5 名同事使用,可通过其 Web 界面访问。这是一个仅供内部使用的网站,没有有效的 SSL 证书,因为它是自签名的。
该证书通过 GPO 部署到受信任的根 CA 文件夹,因此已安装在计算机上。用户在尝试访问网站时(使用 Chrome 或 IE),仍然会收到证书错误。
仅部署自签名证书不再有效吗?目的只是为了避免同事每次都被要求忽略证书警告。
感谢您的建议。
答案1
- 检查证书的通用名称以及它是否与站点的 URL 匹配。
- 如果是多 SSL 证书,请确保通用名称也添加到主题备用名称场地。
- 确保证书位于客户端受信任的根 CA 中,这将确保 GPO 已正确应用。
- 最后,避免使用自签名证书(维护它们很麻烦,而且总是有背叛的倾向),即使它不是理想的,也不推荐,但单层 PKI 更好,两层 PKI 是可取的。
答案2
问题是,我安装了证书,但还没有部署应用程序生成的 CA 证书。我必须部署两者,并确保使用 FQDN 而不是仅使用主机名来访问网站。