我在域中有 3 台机器,其中我选择 Machine1 来托管 asp.net web api 应用程序。
我已经创建了自己的 CA
RootCA并放入了 Machine1 的受信任根。然后我从 颁发了另一个
X带有 Machine1 完全限定域名的证书RootCA。我将证书放在
XMachine1 的个人根目录中。我将我的 asp.net web api 应用程序与证书绑定
X。如果我浏览我的 asp.net web api,它运行良好并且没有证书错误。
现在,当我尝试从 Machine2 和 Machine3 浏览我的 asp.net web api 时,出现证书错误。如果我将
RootCA证书复制到 Machine2 和 Machine3 的受信任存储区,则不会出现证书错误。
这是否需要将RootCA证书复制到 Machine2 和 Machine3 的受信任存储?或者我可以省去这个步骤吗?也许我不想在 Machine2 和 Machine3 中安装任何证书。这可能吗?谢谢!
答案1
如果您运行自己的 PKI,那么您必须将根 CA 证书部署到所有将使用和/或验证来自您的私有根 CA 的证书的机器/应用程序。
另外,您也可以使用第三方商业 CA 来获取证书,这些证书是开箱即用的。一些第三方商业 CA 会免费颁发证书,并提供工具来自动注册和续订证书。