管理证书信任
证书在保护和验证身份验证以及其他安全相关任务方面扮演着重要角色。 启用这些功能的核心原则之一是证书信任。 要使证书有效,使用它的每个用户、设备或应用程序都必须信任颁发该证书的 CA。
什么是证书信任?
使用证书时,请务必考虑需要了解哪些人或哪些内容可能需要评估其真实性和有效性。 有三种类型的证书可供使用:
- 来自组织 CA(如托管 AD CS 角色的服务器)的内部证书。
- 来自公共 CA(如提供商业网络安全软件或标识服务的组织)的外部证书。
- 自签名证书。
如果部署企业根 CA 并使用它将证书注册到用户已加入域的设备,则这些设备会接受已注册的证书作为受信任的证书。 但是,任何工作组设备都会将相同的证书视为不受信任的证书。 若要解决此问题,您可以:
- 从工作组设备的外部 CA 获取公共证书。 这会产生额外的公共证书费用。
- 将工作组设备配置为信任企业根 CA。 这需要其他配置。
在 Windows 中管理证书和证书信任
可以使用多种工具(包括 Windows Admin Center、证书 Microsoft 管理控制台管理单元、Windows PowerShell 和 certutil 命令行工具)管理存储在 Windows 操作系统中的证书。 每个证书都可为你提供对当前用户、本地计算机及其服务的证书存储的访问权限。 每个存储都包括多个文件夹,其中包括:
| 商店 | 说明 |
|---|---|
| 个人 | 包含颁发给本地用户、本地计算机或其服务的证书,具体取决于所选的存储。 |
| 受信任的根证书颁发机构 | 包含受信任的根 CA 的证书。 |
| 企业信任 | 包含用于实现来自其他组织的自签名证书信任的证书信任列表。 |
| 中间证书颁发机构 | 包含颁发给证书层次结构中的从属 CA 的证书。 |
要确保工作组设备信任企业根 CA,请从已加入域的计算机上的“受信任的根证书颁发机构”文件夹中导出其证书,然后将其导入到这些设备上的相同文件夹中。
注意
或者,你可以从托管该角色的服务器上的 CertEnroll 共享获取企业/根 CA 的证书。
出于测试目的创建自签名证书
虽然自签名证书不适用于生产方案,但它们可用于测试目的。 可以使用 Windows PowerShell New-SelfSignedCertificate cmdlet 创建自签名证书。 如果包含 CloneCert 参数并提供现有证书,新证书将具有匹配的设置(公钥除外)。 相反,该 cmdlet 将创建具有相同算法和长度的新密钥。
以下示例在本地计算机个人存储中创建一个自签名 SSL 服务器证书,并将“使用者可选名称”设置为 www.fabrikam.com,将“使用者名称”设置为 www.contoso.com,将“颁发者名称”设置为 www.fabrikam.com。
New-SelfSignedCertificate -DnsName "www.fabrikam.com", "www.contoso.com" -CertStoreLocation "cert:\LocalMachine\My"