Estou gerenciando um domínio do Active Directory com cerca de cem clientes do Windows 7 executando o IE9. A rede não tem acesso à Internet, mas tem a capacidade de acessar o aplicativo Web de um fornecedor. O aplicativo web usa HTTPS e os certificados do fornecedor são da Entrust. Estou tentando descobrir como adicionar os certificados ao Active Directory para que todos os clientes recebam os certificados e parem de avisar ou bloquear completamente o acesso ao aplicativo. Nada do que tentei funcionou.
Aceitar os certificados através do escudo vermelho do navegador na barra de endereço não funcionou. Na verdade, se eu visualizar o certificado e olhar o caminho, ele diz que é válido, mas ainda avisa em alguns clientes e bloqueia em outros.
Tentei importar os certificados para o navegador acessando Ferramentas-Opções-Conteúdo-Certificados, mas também não ajudou. Posso ver os certificados atuais instalados, mas o comportamento do navegador permanece inalterado.
Por último, mas não menos importante, adicionei os certificados à política de grupo de domínio em Configuração do computador - Políticas - Configurações do Windows - Configurações de segurança - Políticas de chave pública - Autoridades de certificação raiz confiáveis.
Estou enlouquecendo com esse assunto. Eu sei que os certificados são bons porque os instalei nos navegadores de nossas estações de trabalho Linux sem nenhum problema. São apenas os hosts do Windows que parecem não aceitá-los. Estou me perguntando se o problema pode ter algo a ver com o fato de os PCs não conseguirem verificar novamente os certificados pela Internet. Eu simplesmente gostaria que todos os PCs do domínio aceitassem os certificados fornecidos pelo domínio e deixassem por isso mesmo. Não quero desabilitar completamente a verificação de certificado, mas estou chegando perto.
Além disso, configurar uma autoridade de certificação na LAN ajudaria ou apenas adicionaria complexidade desnecessária?
Responder1
A causa subjacente do meu problema foi que os certificados raiz da Entrust, a CA que o fornecedor usa, não estavam no armazenamento de autoridades de certificação raiz confiáveis. Acontece que percebi que eles estavam desaparecidos depois de examinar o TRCA pela centésima vez. Acredito que a incapacidade do cliente de acessar a Internet e verificar os certificados diretamente com a Entrust foi o verdadeiro problema. Depois de baixar os certificados raiz da Entrust e adicioná-los à loja, o problema desapareceu.