0

  • 我在域中有 3 台机器,我选择 Machine1 来托管 asp.net web api 应用程序。

  • 我已经创建了自己的 CA RootCA 并放入了 Machine1 的受信任根目录。

  • 然后我又从 RootCA 颁发了一个带有 Machine1 完全限定域名的证书 X。

  • 我将证书 X 放在 Machine1 的个人根目录中。

  • 我将我的 asp.net web api 应用程序与证书 X 绑定。

  • 如果我浏览到我的 asp.net web api,它运行良好并且没有证书错误。

  • 现在,当我尝试从 Machine2 和 Machine3 浏览我的 asp.net Web api 时,我收到证书错误。

在此处输入图像描述

  • 如果我将 RootCA 证书复制到 Machine2 和 Machine3 的受信任存储区,则不会出现证书错误。

我的问题,

  • 这需要将 RootCA 证书复制到 Machine2 和 Machine3 的受信任存储区吗?

  • 我可以消除这个步骤吗?也许我不想在 Machine2 和 Machine3 中安装任何证书。这可能吗?

谢谢!

4

1 回答 1

1

这需要将 RootCA 证书复制到 Machine2 和 Machine3 的受信任存储区吗?

是的,否则机器将无法断言是否信任它颁发的证书。

我可以消除这个步骤吗?

不,但由于他们是域成员,您可以通过在针对机器 2 和 3 的 GPO 中配置以下设置,通过组策略自动分发根证书:

Path: Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies
Setting: Trusted Root Certification Authorities
于 2020-06-17T10:58:38.030 回答