我正在管理一個 Active Directory 網域,其中有大約一百個運行 IE9 的 Windows 7 用戶端。該網路無法存取 Internet,但能夠存取供應商 Web 應用程式。 Web 應用程式使用 HTTPS,供應商的憑證來自 Entrust。我正在嘗試弄清楚如何將憑證新增至 Active Directory,以便所有用戶端都會收到憑證並停止警告或完全阻止對應用程式的存取。我嘗試過的一切都不起作用。
透過瀏覽器網址列中的紅色盾牌接受證書不起作用。事實上,如果我查看證書並查看路徑,它會說它是有效的,但仍然對某些客戶端發出警告並阻止其他客戶端。
我嘗試透過進入“工具”-“選項”-“內容”-“憑證”將憑證匯入瀏覽器,但這也沒有幫助。我可以看到目前安裝的證書,但瀏覽器行為沒有改變。
最後但並非最不重要的一點是,我已將憑證新增至電腦設定 - 策略 - Windows 設定 - 安全性設定 - 公鑰策略 - 受信任的根憑證授權單位下的網域群組原則。
我在這個問題上失去了理智。我知道這些憑證很好,因為我已經將它們安裝在 Linux 工作站的瀏覽器中,沒有任何問題。只有 Windows 主機似乎不接受它們。我想知道這個問題是否可能與電腦無法透過網路仔細檢查證書有關。我只是希望所有網域 PC 接受該網域提供的憑證並保留它。我不想完全禁用證書檢查,但我已經接近了。
另外,在 LAN 上設定憑證授權單位會有所幫助還是只會增加不必要的複雜性?
答案1
我的問題的根本原因是 Entrust(供應商使用的 CA)的根憑證不在受信任的根憑證授權單位儲存中。我只是在掃描 TRCA 第一百次後才發現它們不見了。我相信客戶無法上網並直接與 Entrust 驗證憑證才是真正的問題。下載 Entrust 的根憑證並將其新增至商店後,問題就消失了。