私は、IE9 を実行している約 100 台の Windows 7 クライアントを含む Active Directory ドメインを管理しています。ネットワークはインターネットにアクセスできませんが、ベンダーの Web アプリケーションにアクセスすることはできます。Web アプリケーションは HTTPS を使用し、ベンダーの証明書は Entrust のものです。すべてのクライアントが証明書を受信し、警告が表示されたり、アプリケーションへのアクセスが完全にブロックされたりしないように、証明書を Active Directory に追加する方法を見つけようとしています。試したことはどれもうまくいきませんでした。
ブラウザのアドレス バーにある赤い盾を介して証明書を受け入れても機能しません。実際、証明書を表示してパスを確認すると、有効であると表示されますが、一部のクライアントでは警告が表示され、他のクライアントではブロックされます。
ツール - オプション - コンテンツ - 証明書の順に選択して、ブラウザに証明書をインポートしようとしましたが、それでも効果はありませんでした。現在インストールされている証明書は確認できますが、ブラウザの動作は変わりません。
最後に、「コンピューターの構成」 - 「ポリシー」 - 「Windows の設定」 - 「セキュリティの設定」 - 「公開キー ポリシー」 - 「信頼されたルート証明機関」の下にあるドメイン グループ ポリシーに証明書を追加しました。
この問題で頭がおかしくなりそうです。Linux ワークステーションのブラウザに証明書をインストールしても問題がないので、証明書は問題ないはずです。Windows ホストだけが証明書を受け入れないようです。この問題は、PC がインターネット経由で証明書を二重チェックできないことと関係があるのではないかと考えています。ドメインのすべての PC がドメインから提供された証明書を受け入れて、それで終わりにしたいだけです。証明書のチェックを完全に無効にするつもりはありませんが、もうすぐそうなりそうです。
また、LAN 上に証明機関を設定すると役立つでしょうか、それとも不必要な複雑さが増すだけでしょうか?
答え1
私の問題の根本的な原因は、ベンダーが使用する CA である Entrust のルート証明書が、信頼されたルート証明機関ストアになかったことです。TRCA を 100 回スキャンした後、偶然にルート証明書がないことに気付きました。クライアントがインターネットにアクセスできず、Entrust で直接証明書を検証できなかったことが本当の問題だったと思います。Entrust のルート証明書をダウンロードしてストアに追加した後、問題は解消しました。