Kann ich Active Directory als Zertifizierungsstelle zum Erstellen von Test-SSL-Zertifikaten für IIS verwenden?

Wir haben eine interne Testversion unserer Website, die (über interne DNS-Zonen) als www.mysite.com.test verfügbar ist

Ich möchte ein SSL-Zertifikat für www.mysite.com.test erstellen, damit unsere Tester keine ungültige Zertifikatwarnung erhalten (das "echte" Zertifikat ist an www.mysite.com gebunden).

Ich weiß, wie man mit OpenSSL selbstsignierte Zertifikate erstellt, aber ich frage mich, ob es eine Möglichkeit gibt, die Zertifizierungsstelle mit unserer Active Directory-Domäne zu verknüpfen, damit jeder Benutzer auf einem PC, der Mitglied der Domäne ist, die selbstzertifizierten Zertifikate akzeptiert. signiertes Zertifikat, ohne es explizit installieren zu müssen (oder explizit die selbstsignierende Zertifizierungsstelle als vertrauenswürdige Autorität zu installieren)

Irgendwelche Ideen?

Sie können vertrauenswürdige Wurzeln über Gruppenrichtlinien hinzufügen. Erstellen Sie also ein selbstsigniertes Zertifikat, rollen Sie dieses als vertrauenswürdiges Stammverzeichnis aus, und jedes Zertifikat, mit dem Sie es signieren, wird als vertrauenswürdig eingestuft.

Policy Object Name/Computer Configuration/Windows Settings/Security Settings/Public Key Policies/Trusted Root Certification Authorities

Das Einrichten der MS Certificate Authority ist nicht erforderlich

Wenn auf einem Server, auf dem die AD CS-Rolle ausgeführt wird, ein Zertifikat ausgestellt wird, ist es nicht mehr selbstsigniert, sondern wird von Ihrer internen Zertifizierungsstelle ausgestellt. Um den größeren Punkt zu beantworten, können Sie dies tun. Sie müssen die Rolle der Active Directory-Zertifikatdienste installieren und von dort aus die Zertifikate erstellen / verteilen. Für diesen Anwendungsfall muss OpenSSL nicht berührt werden.

Um Ihre Frage genau zu beantworten: Nein, Sie können mit Active Directory kein selbstsigniertes Zertifikat erstellen. Ich denke jedoch, dass Ihre Frage verschiedene Dinge vermischt.

• Selbstsignierte Zertifikate werden NICHT von einer Behörde ausgestellt (deshalb sind sie selbstsigniert ).
• Sie können eine Zertifizierungsstelle in Active Directory integrieren, um Server- und Benutzerzertifikate zu automatisieren.

Für die Erstellung selbstsignierter Zertifikate stehen Ihnen zahlreiche Optionen zur Verfügung. Wenn Sie ein Windows-Shop sind, ist dies am einfachsten über IIS (siehe hierzu: http://technet.microsoft.com/library/cc753127%28WS.10%29 ). Sie können dies auch mit OpenSSL tun (ziemlich chaotisch, funktioniert aber), mit dem Tool makecert.exe, das mit dem .NET SDK geliefert wird, oder mit einer Reihe ähnlicher Tools (ich verwende dafür mein eigenes Tool, aber das bin nur ich).

Für die Integration einer Zertifizierungsstelle in AD besteht die einfachste Möglichkeit darin, die Zertifikatsdienstrolle auf einem Computer zu installieren und für die AD-Integration zu konfigurieren (obwohl dies in Ihrem Fall nicht erforderlich zu sein scheint, es sei denn, Sie möchten sie für andere Zwecke verwenden ).

Schließlich möchten Sie möglicherweise Ihr eigenes Stammverzeichnis erstellen, das nicht in AD integriert ist. Sofern Sie nicht mit der Clientzertifikatauthentifizierung arbeiten müssen, verfügen Sie über viele verschiedene Server (mit unterschiedlichen Namen), die Sie zum Testen (und möglicherweise zum automatisierten Testen) verwenden möchten, oder wenn Sie in der Lage sein möchten, einen Aspekt Ihrer Anwendung zu testen, der spezielle verwendet Zertifikateigenschaften oder Verkettung, es ist wahrscheinlich nicht die Mühe wert.

Unter der Annahme, dass ich es richtig verstanden habe und Sie Ihre Web-App nur mit einem Zertifikat testen möchten, würde ich in Ihrem Fall lediglich ein selbstsigniertes Zertifikat generieren (mit einem beliebigen Tool, das Ihnen am besten gefällt) und dieses Zertifikat dann im installieren korrekte Speicherung auf Ihrem Testcomputer (um Zertifikatswarnungen und -fehler zu vermeiden)

Kann ich mit Active Directory als Zertifizierungsstelle ein selbstsigniertes IIS-Zertifikat erstellen?

Nein, du kannst nicht. Einfacher Punkt - AD ist KEINE CA. Einfach so.

Windows verfügt über eine CA-Komponente, die Sie installieren können, es handelt sich jedoch nicht um AD. Es ist eine separate Rolle. Sobald Sie dies getan haben - warum sollten Sie überhaupt ein selbstsigniertes Zertifikat verwenden?