Я планирую настроить PKI для нашей организации, поскольку мы устали от всех этих предупреждений безопасности при использовании самозаверяющих сертификатов. Мне нужен автономный корневой ЦС и два выдающих ЦС, и я хочу настроить это в системах Linux.
Как я могу легко распространять корневые сертификаты и сертификаты удостоверения (сервера) конечным пользователям, не объясняя каждому из них, как установить их в браузере?
Делает ли это Active Directory, например, через GPO? Если да, поддерживает ли он только Internet Explorer? Могу ли я сделать это без установки AD CS?
Также мне интересно, есть ли какой-либо интерфейс для CA (GUI / web), где администраторы серверов могут входить в систему и запрашивать сертификаты для своих нужд?
Надеюсь, это имеет смысл, поскольку я новичок в PKI :) Мне очень жаль, если это повсюду в Интернете, и я отстой в Google, но я действительно не могу найти то, что мне нужно ...
Да, вы можете развернуть корневой и промежуточный центры сертификации в доверенных хранилищах Windows из AD. По крайней мере, браузеры IE и Chrome воспользуются этим, поскольку используют все, что поставляется с Windows. В Firefox вам нужно, чтобы пользователи сами импортировали сертификаты или нашли способ их написания.
Спасибо @Aceth, вот завершение ответа:
Я редактирую политику домена по умолчанию в консоли управления групповой политикой. Затем в разделе Конфигурация компьютера / Политики / Параметры безопасности / Политики открытого ключа / Доверенные корневые центры сертификации
Щелкните правой кнопкой мыши и импортируйте корневой и промежуточный сертификаты.
Просто чтобы подробнее рассказать об ответе Флорина ...
Я редактирую политику домена по умолчанию в консоли управления групповой политикой. Затем в разделе Конфигурация компьютера / Политики / Параметры безопасности / Политики открытого ключа / Доверенные корневые центры сертификации
Щелкните правой кнопкой мыши и импортируйте корневой и промежуточный сертификаты.