Como posso fazer com que um certificado SSL privado seja confiável para usuários finais em dois domínios ActiveDirectory separados?

tag-icon tag-icon active-directory ssl ssl-certificate certificate-authority
Como posso fazer com que um certificado SSL privado seja confiável para usuários finais em dois domínios ActiveDirectory separados?

Eu tenho um aplicativo da web que utiliza SSL. O site não é público e é apenas para acesso interno privado em nossa empresa.

Por motivos de segurança, executamos dois domínios e redes separados do Active Directory, mas esse aplicativo Web específico pode ser acessado por usuários de ambos os domínios. Mantemos CA's privadas em cada domínio, para gerar certificados para servidores web.

O aplicativo web em questão possui um certificado válido emitido por uma das CAs e todos os usuários desse domínio "confiam" no site. Os usuários do outro domínio podem acessar o site, mas recebem um aviso de certificado.

Como não quero treinar meus usuários para ignorar avisos, gostaria de criar algum tipo de relação de confiança entre as CAs, mas não sei como fazer isso.

Então, para reiterar...

DOMAIN1 e DOMAIN2 possuem, cada um, suas próprias autoridades de certificação. WEBAPP é membro do DOMAIN1 e possui um certificado SSL assinado pela autoridade de certificação DOMAIN1, portanto, todos os usuários do DOMAIN1 confiam no certificado. Todos os usuários de DOMAIN2 recebem erros de certificado.

Responder1

Não há como um certificado parecer emitido por mais de uma autoridade de certificação - é um relacionamento direto entre pais e filhos.

Duas opções que consigo pensar:

  • Confie na CA do domínio1 para clientes no domínio2. Ele pode ser importado para os armazenamentos de certificados do AD ou aplicado diretamente por meio da política de grupo.
  • Configure um ouvinte separado no servidor web em uma porta ou IP diferente que os clientes do domínio2 acessarão, com um certificado emitido pela CA do domínio2.

Responder2

Suponho que seus motivos de segurança impeçam a criação de um domínio confiável entre os dois.

Dito isto: exporte o certificado CA raiz de DOMAIN1. Publique-o como uma CA raiz confiávelatravés de um GPOem DOMÍNIO2. Seus usuários devem parar de ver avisos de CA não confiáveis.

Como alternativa, se os sites internos em questão tiverem FQDNs roteáveis ​​publicamente (ou seja, site.com em vez de site.local), você poderá economizar muito tempo e complicações adquirindo um certificado SSL de 10 dólares da eNom ou de um fornecedor semelhante. Se você levar muito tempo para configurar, há um bom argumento comercial para gastar 10 dólares em vez de seu tempo mais valioso.

informação relacionada