IISのテストSSL証明書を作成するためのCAとしてActive Directoryを使用できますか?
ウェブサイトの内部テストバージョンがあり、www.mysite.com.testとして(内部DNSゾーンを介して)利用できます。
テスト担当者が無効な証明書の警告を受け取らないように、www.mysite.com.testのSSL証明書を作成したい(「実際の」証明書はwww.mysite.comにバインドされている)
私はOpenSSLを使用して自己署名証明書を作成する方法を知っていますが、認証局をActive Directoryドメインに関連付ける何らかの方法があるのではないかと思っています。これにより、ドメインのメンバーであるPC上のすべてのユーザーが自己署名を受け入れます。明示的にインストールする必要のない(または信頼できる機関として自己署名認証局を明示的にインストールすることなく)署名された証明書
何か案は?
信頼されたルートは、グループポリシーを使用して追加できます。したがって、自己署名証明書を作成し、これを信頼されたルートとしてロールアウトすると、署名した証明書はすべて信頼されます。
Policy Object Name/Computer Configuration/Windows Settings/Security Settings/Public Key Policies/Trusted Root Certification Authorities
MS認証局の設定は必要ありません
AD CSの役割を実行しているサーバーが証明書を発行している場合、それは自己署名されなくなり、内部CAによって発行されます。より大きなポイントに答えるために、はい、これを行うことができます。 Active Directory証明書サービスの役割をインストールし、そこから証明書を作成/配布する必要があります。この使用例では、OpenSSLに触れる必要はありません。
質問に正確に答えるには、いいえ、Active Directoryを使用して自己署名証明書を作成することはできません。しかし、私はあなたの質問は異なるものを混ぜ合わせていると思います。
- 自己署名証明書は機関によって発行されません(そのため、self署名されます)
- サーバーとユーザーの証明書を自動化するために、認証局をActive Directoryと統合できます。
自己署名証明書を作成するには、たくさんのオプションがあります。 Windowsショップの場合、最も簡単な方法は、IIS(これを参照してください: http://technet.Microsoft.com/library/cc753127%28WS .10%29 )。OpenSSL(かなり厄介ですが機能します)、. NET SDKに付属のmakecert.exeツール、または類似のツール(私は独自のツールを使用してこれですが、それは私です)。
CAをADと統合する場合、最も簡単な方法は、証明書サービスの役割をマシンにインストールし、AD統合用に構成することです(ただし、他の目的で使用する場合を除いて、それは必ずしも必要ではないようです)。 )。
最後に、ADと統合されていない独自のルートを作成することもできます。クライアント証明書認証を使用する必要がある場合を除いて、テスト(およびおそらく自動テスト)で使用する多くの異なるサーバー(異なる名前のサーバー)を用意するか、特別な方法を使用するアプリケーションの一部の側面をテストできるようにする場合証明書のプロパティまたはチェーン、それはおそらくトラブルの価値はありません。
あなたの場合、私がそれを正しく理解し、あなたがしたいすべてが証明書であなたのウェブアプリをテストすることであると仮定すると、私がすることは自己署名証明書を生成し(あなたが好きなツールを使って)、そしてその証明書をテストマシン上の正しいストア(証明書の警告とエラーを回避するため)