管理憑證信任
憑證在保護和進行驗證及其他安全性相關工作方面扮演著重要的角色。 啟用這些功能的其中一個核心原則是憑證信任。 若要讓憑證生效,每個使用該憑證的使用者、裝置或應用程式都必須信任發出該憑證的 CA。
什麼是憑證信任?
使用憑證時,請務必考慮哪些人或哪些項目需要評估其真確性和有效性。 您可以使用三種類型的憑證:
- 來自組織 CA 的內部憑證,例如裝載 AD CS 角色的伺服器。
- 來自公用 CA 的外部憑證,例如提供商業網路安全性軟體或身分識別服務的組織。
- 自我簽署憑證。
如果您部署企業根 CA,並使用其將憑證註冊到使用者已加入網域的裝置,這些裝置會接受已註冊的憑證作為受信任的憑證。 不過,任何工作群組裝置都會將相同憑證視為未受信任。 若要解決此問題,您可以:
- 從工作群組裝置的外部 CA 取得公開憑證。 這會產生額外的公開憑證成本。
- 設定工作群組裝置以信任企業根 CA。 這需要進行其他設定。
在 Windows 中管理憑證和憑證信任
您可以使用各種工具 (包括 Windows Admin Center、憑證 Microsoft Management Console 嵌入式管理單元、Windows PowerShell 和 certutil 命令列工具),管理儲存在 Windows 作業系統中的憑證。 每一個都可讓您存取目前使用者、本機電腦及其服務的憑證存放區。 每個存放區都包含數個資料夾,包括:
儲存
說明
個人版
包含發行給本機使用者、本機電腦或其服務的憑證,視您選取的存放區而定。
受信任的根憑證授權單位
包含受信任根 CA 的憑證。
企業信任
包含憑證信任清單,可從其他組織實作自我簽署憑證的信任。
中繼憑證授權
包含對憑證階層中次級 CA 發行的憑證。
若要確保工作群組裝置信任您的企業根 CA,請從已加入網域電腦上的 [信任的根憑證授權單位] 資料夾中匯出其憑證,並將其匯入至這些裝置上的相同資料夾。
注意
或者,您可以從伺服器 (裝載該角色) 上的 CertEnroll 共用取得企業根 CA 的憑證。
基於測試目的,建立自我簽署憑證
雖然自我簽署憑證不適用於生產案例,但是對測試用途很有用。 您可以使用 Windows PowerShell New-SelfSignedCertificate Cmdlet 來建立自我簽署憑證。 如果您包含 CloneCert 參數並提供現有的憑證,則新的憑證會有符合的設定,但是公開金鑰除外。 相反地,此 Cmdlet 會建立相同演算法和長度的新金鑰。
下列範例會在本機電腦個人存放區中建立自我簽署的 SSL 伺服器憑證,並將主體別名設定為 www.fabrikam.com、www.contoso.com,以及將主體和簽發者名稱設定為 www.fabrikam.com。
New-SelfSignedCertificate -DnsName "www.fabrikam.com", "www.contoso.com" -CertStoreLocation "cert:\LocalMachine\My"