Проблема с проверкой сертификата в закрытой сети

285
DFarland

Я управляю доменом Active Directory с сотней клиентов Windows 7 под управлением IE9. Сеть не имеет доступа к Интернету, но имеет возможность доступа к веб-приложению поставщика. Веб-приложение использует HTTPS, а сертификаты вендора получены от Entrust. Я пытаюсь выяснить, как добавить сертификаты в Active Directory, чтобы все клиенты получили сертификаты и прекратили предупреждение или полностью заблокировали доступ к приложению. Ничто из того, что я пробовал, не сработало.

  1. Принятие сертификатов через красный экран браузера в адресной строке не сработало. Фактически, если я просматриваю сертификат и смотрю на путь, он говорит, что он действителен, но по-прежнему предупреждает некоторых клиентов и блокирует другие.

  2. Я попытался импортировать сертификаты в браузер, зайдя в Tools-Options-Content-Certificates, но это тоже не помогло. Я вижу установленные сертификаты, но поведение браузера не изменилось.

  3. И последнее, но не менее важное: я добавил сертификаты в групповую политику домена в разделе «Конфигурация компьютера» - «Политики» - «Параметры Windows» - «Параметры безопасности» - «Политики открытых ключей» - «Доверенные корневые центры сертификации».

Я схожу с ума по этому вопросу. Я знаю, что сертификаты хороши, потому что я установил их в браузерах для наших рабочих станций Linux без каких-либо проблем. Только хосты Windows, кажется, не принимают их. Мне интересно, может ли проблема быть связана с тем, что компьютеры не могут перепроверить сертификаты через Интернет. Я просто хотел бы, чтобы все доменные компьютеры приняли сертификаты, предоставленные доменом, и оставили все как есть. Я не хочу полностью отключать проверку сертификатов, но уже близко.

Кроме того, поможет ли установка центра сертификации в локальной сети или просто добавит ненужную сложность?

1
Читали ли вы [это] (https://technet.microsoft.com/en-us/library/cc772393 (v = ws.10) .aspx) случайно? Ramhound 9 лет назад 0
То есть у вас есть доступ к Интернету, но вы блокируете его из-за этого веб-приложения? Или веб-приложение работает на локальной установке? Кстати, что именно говорит предупреждение? Я не могу проверить цепочку доверия? Ivan Viktorovic 9 лет назад 0
Да, у нас есть доступ в Интернет, но весь доступ заблокирован для клиентских систем. Это лабораторная среда, и они хотят, чтобы клиенты были максимально изолированы. Исключением является приложение поставщика и одна или две другие службы. Я думаю, что проблема была в цепочке, но я никогда не видел ни одного конкретного сообщения об ошибке, в котором бы столько говорилось. Я не админ Windows ни в коем случае, поэтому я, вероятно, просто пропустил это. Я решил свою проблему до некоторой степени и опубликую это. DFarland 9 лет назад 0

1 ответ на вопрос

0
DFarland

Основной причиной моей проблемы было то, что корневые сертификаты для Entrust, CA, используемого поставщиком, не были в хранилище Trusted Root Certification Authorities. Я просто случайно заметил, что они пропали после сканирования через TRCA в сотый раз. Я полагаю, что невозможность клиента получить доступ к Интернету и проверить сертификаты с помощью Entrust была реальной проблемой. После загрузки корневых сертификатов Entrust и добавления их в магазин проблема исчезла.

Похожие вопросы