두 개의 별도 ActiveDirectory 도메인에서 최종 사용자가 개인 SSL 인증서를 신뢰하도록 하려면 어떻게 해야 합니까?

두 개의 별도 ActiveDirectory 도메인에서 최종 사용자가 개인 SSL 인증서를 신뢰하도록 하려면 어떻게 해야 합니까?

SSL을 활용하는 웹 애플리케이션이 있습니다. 이 웹사이트는 공개적으로 공개되지 않으며 회사 내부에서만 비공개로 액세스할 수 있습니다.

보안상의 이유로 우리는 두 개의 별도 Active Directory 도메인과 네트워크를 실행하지만 이 특정 웹 앱은 두 도메인의 사용자가 모두 액세스할 수 있습니다. 우리는 웹 서버에 대한 인증서를 생성하기 위해 각 도메인에 사설 CA를 유지 관리합니다.

문제의 웹 앱에는 CA 중 하나에서 발급한 유효한 인증서가 있으며 해당 도메인의 모든 사용자는 웹 사이트를 "신뢰"합니다. 다른 도메인의 사용자는 웹사이트에 액세스할 수 있지만 인증서 경고가 표시됩니다.

사용자가 경고를 무시하도록 교육하고 싶지 않기 때문에 CA 간에 일종의 신뢰 관계를 만들고 싶지만 어떻게 해야 할지 모르겠습니다.

그래서 다시 말씀드리자면...

DOMAIN1과 DOMAIN2에는 각각 자체 인증 기관이 있습니다. WEBAPP은 DOMAIN1의 구성원이고 DOMAIN1 인증 기관으로부터 서명된 SSL 인증서를 보유하고 있으므로 모든 DOMAIN1 사용자는 인증서를 신뢰합니다. DOMAIN2의 모든 사용자는 인증서 오류를 받습니다.

답변1

인증서가 둘 이상의 인증 기관에서 발급된 것으로 나타날 수 있는 방법은 없습니다. 이는 직접적인 상위-하위 관계입니다.

내가 생각할 수 있는 두 가지 옵션은 다음과 같습니다.

  • domain2의 클라이언트에 대해 domain1의 CA를 신뢰합니다. AD 인증서 저장소로 가져오거나 그룹 정책을 통해 직접 적용할 수 있습니다.
  • domain2의 CA에서 발급한 인증서를 사용하여 domain2 클라이언트가 액세스할 다른 포트 또는 IP의 웹 서버에 별도의 리스너를 설정합니다.

답변2

귀하의 보안상의 이유로 둘 사이에 도메인 신뢰를 생성하는 것이 불가능하다고 생각합니다.

즉, DOMAIN1에서 루트 CA 인증서를 내보냅니다. 신뢰할 수 있는 루트 CA로 게시GPO를 통해DOMAIN2에 있습니다. 사용자에게 신뢰할 수 없는 CA 경고가 더 이상 표시되지 않아야 합니다.

또는 문제의 내부 사이트에 공개적으로 라우팅 가능한 FQDN이 있는 경우(예: site.local이 아닌 site.com) eNom 또는 유사한 공급업체에서 10벅 SSL 인증서를 선택하여 많은 시간과 번거로움을 절약할 수 있습니다. 구성하는 데 많은 시간이 걸릴 경우 더 귀중한 시간을 투자하는 대신 10달러를 지출하는 것이 좋은 비즈니스 사례입니다.

관련 정보