Administro un dominio de Active Directory con alrededor de cien clientes de Windows 7 que ejecutan IE9. La red no tiene acceso a Internet, pero tiene la capacidad de acceder a una aplicación web del proveedor. La aplicación web utiliza HTTPS y los certificados del proveedor son de Entrust. Estoy tratando de descubrir cómo agregar los certificados a Active Directory para que todos los clientes reciban los certificados y dejen de advertir o bloquear directamente el acceso a la aplicación. Nada de lo que he probado ha funcionado.
Aceptar los certificados a través del escudo rojo del navegador en la barra de direcciones no ha funcionado. De hecho, si veo el certificado y miro la ruta, dice que es válido, pero aún así advierte a algunos clientes y bloquea a otros.
Intenté importar los certificados al navegador yendo a Herramientas-Opciones-Contenido-Certificados, pero eso tampoco ayudó. Puedo ver los certificados actuales instalados, pero el comportamiento del navegador no cambia.
Por último, pero no menos importante, agregué los certificados a la política del grupo de dominio en Configuración de la computadora - Políticas - Configuración de Windows - Configuración de seguridad - Políticas de clave pública - Autoridades de certificación raíz confiables.
Estoy perdiendo la cabeza con este tema. Sé que los certificados son buenos porque los instalé en los navegadores de nuestras estaciones de trabajo Linux sin ningún problema. Sólo los hosts de Windows parecerán no aceptarlos. Me pregunto si el problema podría tener algo que ver con que las PC no puedan verificar los certificados a través de Internet. Simplemente me gustaría que todas las PC del dominio acepten los certificados proporcionados por el dominio y lo dejen así. No quiero desactivar completamente la verificación de certificados, pero me estoy acercando.
Además, ¿sería útil configurar una autoridad de certificación en la LAN o simplemente agregaría complejidad innecesaria?
Respuesta1
La causa subyacente de mi problema fue que los certificados raíz de Entrust, la CA que utiliza el proveedor, no estaban en el almacén de Autoridades de certificación raíz de confianza. Me di cuenta de que faltaban después de escanear el TRCA por enésima vez. Creo que la incapacidad del cliente para acceder a Internet y verificar los certificados directamente con Entrust fue el verdadero problema. Después de descargar los certificados raíz de Entrust y agregarlos a la tienda, el problema desapareció.