Назад | Перейти на главную страницу

Установка SSL-сертификата на все рабочие станции в домене

У нас есть факс-сервер, доступный только внутри нашей сети, скажем, по адресу 10.10.10.2. Многие из наших сотрудников используют этот факс-сервер ежедневно, поэтому я создал запись DNS с простым именем, например, fax.company.com, и она отлично работает. Факс-сервер может обмениваться данными через SSL и генерировать сертификат SSL. Я сгенерировал, затем скопировал этот сертификат SSL на наш контроллер домена и добавил его в хранилище доверенных корневых сертификатов. эти инструкции. Однако при переходе на fax.company.com пользователи все равно получают предупреждение браузера о ненадежном соединении. Моя конечная цель - сделать так, чтобы пользователи нашего домена переходили на fax.company.com и чтобы соединение было доверенным, и, таким образом, пользователям не выводится предупреждение браузера.

Я искал в Google и исследовал и, похоже, не могу точно узнать, где установить этот сертификат, чтобы при переходе пользователей на fax.company.com браузер распознавал этот сертификат и доверял ему, и, таким образом, не предупреждал их. . Контроллер домена работает под управлением Windows Server 2012. Факс-сервер обслуживает собственный веб-интерфейс, поэтому IIS не играет роли в этой ситуации (т.е. установка сертификата в IIS не должна решать эту проблему, поскольку IIS на контроллере домена не обслуживает контент).

Я не перезапускал контроллер домена, потому что считать что было бы необходимо ... или нет? Может все так просто? Я попытался очистить кеш и перезагрузить компьютер, но все еще получаю предупреждение о ненадежном соединении браузера.

Любая помощь приветствуется. Спасибо!

Установка сертификата в качестве доверенного корневого центра сертификации на контроллере домена на самом деле ничего не делает для клиентов. Его до сих пор нет в магазинах.

Вы можете распространять сертификат с помощью GPO как описано в этой технической статье:

  • Нажмите Пуск, выберите Администрирование и щелкните Управление групповой политикой.
  • В дереве консоли дважды щелкните Объекты групповой политики в лесу и домене, содержащем объект групповой политики (GPO) политики домена по умолчанию, который вы хотите изменить.
  • Щелкните правой кнопкой мыши объект групповой политики политики домена по умолчанию и выберите команду Изменить.
  • В консоли управления групповой политикой (GPMC) перейдите к Конфигурация компьютера, Настройки Windows, Настройки безопасности, а затем щелкните Политики открытого ключа.
  • Щелкните правой кнопкой мыши доверенные корневые центры сертификации хранить.
  • Щелкните Импорт и следуйте инструкциям мастера импорта сертификатов, чтобы импортировать сертификаты.

Если только часть вашего клиента должна доверять сертификату, создайте новый объект групповой политики и нацелитесь только на них

Все, что вы сделали, - это убедиться, что контроллер домена доверяет сертификату SSL с этого компьютера. Вам необходимо использовать GPO, чтобы эффективно делать то же самое для всех рабочих станций в домене, или реализовать PKI, возможно, с использованием AD CS.

Или используйте общедоступный сертификат от коммерческого центра сертификации, что было бы разумно, если ваши пользователи не являются сотрудниками вашей компании.