Ale*_*lex 3 certificate distribution pki request certificate-authority
我计划为我们的组织设置 PKI,因为我们在使用自签名证书时受够了所有这些安全警告。我想要一个离线根 CA 和两个颁发 CA,我想在 Linux 系统上设置它。
如何在不解释每个人如何在浏览器中安装它们的情况下,轻松地将根和身份(服务器)证书分发给最终用户?
Active Directory 是否会这样做,例如通过 GPO?如果是这样,它是否仅支持 Internet Explorer?我可以在不安装 AD CS 的情况下做到这一点吗?
另外我想知道是否有某种类型的 CA(GUI/web)接口,服务器管理员可以在其中登录并请求证书以满足他们的需要?
希望这是有道理的,因为我对 PKI 还很陌生:) 我很抱歉,如果它在互联网上到处都是,而且我在 Google 上很烂,但我真的找不到我需要的东西...
是的,您可以从 AD 将根 CA 和中间 CA 部署到 Windows 信任存储中。至少 IE 和 Chrome 浏览器会从那里获取它,因为它们使用 Windows 附带的任何东西。在 Firefox 中,您需要让用户自己导入证书或找到编写脚本的方法。
感谢@Aceth,这是答案的补充:
我在组策略管理控制台中编辑默认域策略。然后在计算机配置/策略/安全设置/公钥策略/受信任的根证书颁发机构下
右键单击并导入您的根证书和中间证书。