我有一個使用 SSL 的 Web 應用程式。該網站不面向公眾,僅供我們企業內部私人訪問。
出於安全原因,我們運行兩個獨立的 Active Directory 網域和網絡,但兩個網域的使用者都可以存取這個特定的 Web 應用程式。我們在每個網域上維護私有 CA,以便為 Web 伺服器產生憑證。
相關 Web 應用程式擁有由 CA 之一頒發的有效證書,並且該網域上的所有使用者都「信任」該網站。其他網域上的使用者可以造訪該網站,但會顯示憑證警告。
由於我不想訓練使用者忽略警告,因此我想在 CA 之間創建某種信任關係,但我不知道該怎麼做。
所以要重申一下...
DOMAIN1 和 DOMAIN2 都有自己的憑證授權單位。 WEBAPP 是 DOMAIN1 的成員,並且擁有來自 DOMAIN1 證書頒發機構的簽名 SSL 證書,因此所有 DOMAIN1 使用者都信任該證書。 DOMAIN2 中的所有使用者都會收到憑證錯誤。
答案1
證書不可能看起來是由多個證書頒發機構頒發的 - 這是一種直接的父子關係。
我能想到的兩個選擇:
- 為域 2 中的客戶端信任域 1 的 CA。它可以匯入到 AD 憑證儲存中,或直接透過群組原則套用。
- 在網域 2 用戶端將存取的不同連接埠或 IP 上的 Web 伺服器上設定單獨的偵聽器,並使用網域 2 的 CA 所頒發的憑證。
答案2
我猜您的安全原因不允許在兩者之間建立網域信任。
也就是說:從 DOMAIN1 匯出根 CA 憑證。將其發佈為受信任的根 CA透過 GPO在 DOMAIN2 中。您的用戶應該不再看到不受信任的 CA 警告。
或者,如果相關內部網站具有可公開路由的 FQDN(即 site.com,而不是 site.local),您可以透過從 eNom 或類似供應商購買 10 美元的 SSL 憑證來節省大量時間和麻煩。如果配置需要花費大量時間,那麼花這 10 美元而不是花費更寶貴的時間是一個很好的商業案例。