Question

У меня есть 3 машины в домене, и я выбираю Machine1 для размещения asp. net веб-приложение api.
Я создал свой собственный CA RootCA и поместил в доверенный root машины Machine1.
, затем я выпустил еще один сертификат X с полным доменным именем Machine1 от RootCA.
Я помещаю сертификат X в Personal root Machine1.
Я связываю свое asp. net веб-приложение api с сертификатом X.
Если я перейду к своему asp. net веб-api, он работает нормально и НЕТ ошибки сертификата.
Теперь, когда я пытаюсь просмотреть свой asp. net web api от Machine2 и Machine3, я получаю ошибку сертификата.

Если я скопировал RootCA сертификат к доверенному хранилищу Machine2 и Machine3, то НЕТ ошибки сертификата.

Мои вопросы,

Это необходимо для копирования сертификата RootCA в как доверенное хранилище Machine2 и Machine3?
Могу ли я исключить эти шаги? возможно, я не хочу устанавливать какой-либо сертификат в Machine2 и Machine3. Это возможно?

Спасибо!

Mathias R. Jessen · Answer 1 · 17 июня 2020

Это требуется для копирования сертификата RootCA в доверенное хранилище Machine2 и Machine3?

Да, иначе машины не смогут подтвердить, доверять ли сертификату (сертификатам)

могу ли я исключить эти шаги?

Нет, но поскольку они являются членами домена, вы можете автоматизировать распространение сертификата root через групповую политику , настроив следующий параметр в объекте групповой политики, предназначенном для компьютеров 2 и 3:

Path: Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies
Setting: Trusted Root Certification Authorities

Нужно ли мне копировать RootCA на доверенный компьютер 2 и 3 root

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.