2つの異なるActiveDirectoryドメイン上のエンドユーザーがプライベートSSL証明書を信頼できるようにするにはどうすればよいでしょうか

2つの異なるActiveDirectoryドメイン上のエンドユーザーがプライベートSSL証明書を信頼できるようにするにはどうすればよいでしょうか

SSL を利用する Web アプリケーションがあります。この Web サイトは公開されておらず、企業内のプライベートな内部アクセスのみを目的としています。

セキュリティ上の理由から、当社では 2 つの別々の Active Directory ドメインとネットワークを運用していますが、この特定の Web アプリは両方のドメインのユーザーがアクセスできます。当社では、Web サーバーの証明書を生成するために、各ドメインにプライベート CA を維持しています。

問題の Web アプリには、CA の 1 つによって発行された有効な証明書があり、そのドメインのすべてのユーザーは Web サイトを「信頼」しています。他のドメインのユーザーは Web サイトにアクセスできますが、証明書の警告が表示されます。

ユーザーに警告を無視するように教育したくないので、CA 間に何らかの信頼関係を構築したいのですが、その方法がわかりません。

繰り返しになりますが...

DOMAIN1 と DOMAIN2 にはそれぞれ独自の証明機関があります。WEBAPP は DOMAIN1 のメンバーであり、DOMAIN1 証明機関からの署名付き SSL 証明書を持っているため、すべての DOMAIN1 ユーザーは証明書を信頼します。DOMAIN2 のすべてのユーザーは証明書エラーを受け取ります。

答え1

証明書が複数の証明機関によって発行されたように見えることはありません。直接的な親子関係です。

私が考えられる選択肢は 2 つあります。

  • ドメイン 2 のクライアントに対してドメイン 1 の CA を信頼します。これは AD 証明書ストアにインポートすることも、グループ ポリシーを介して直接適用することもできます。
  • domain2 の CA から発行された証明書を使用して、domain2 クライアントがアクセスする別のポートまたは IP の Web サーバーに別のリスナーを設定します。

答え2

セキュリティ上の理由により、両者の間にドメイン信頼を作成できないと思われます。

つまり、DOMAIN1からルートCA証明書をエクスポートし、それを信頼されたルートCAとして公開します。GPOを通じてDOMAIN2 で、信頼されていない CA の警告がユーザーに表示されなくなります。

あるいは、問題の内部サイトに公開ルーティング可能な FQDN (site.local ではなく site.com など) がある場合は、eNom または同様のベンダーから 10 ドルの SSL 証明書を取得することで、多くの時間と手間を節約できる可能性があります。設定に多くの時間がかかる場合は、貴重な時間ではなく 10 ドルを費やす方がビジネス上は有益です。

関連情報