我们在Intranet上使用自签名证书。我需要做什么才能使Internet Explorer 8接受它们而不向用户显示错误消息?我们为Internet Explorer 7做的工作显然无法正常工作。
编辑:如果我将证书放入受信任的根证书颁发机构,Internet Explorer 7不会显示任何错误。即使使用那里的证书,Internet Explorer 8似乎也显示错误。
我们在Intranet上使用自签名证书。我需要做什么才能使Internet Explorer 8接受它们而不向用户显示错误消息?我们为Internet Explorer 7做的工作显然无法正常工作。
编辑:如果我将证书放入受信任的根证书颁发机构,Internet Explorer 7不会显示任何错误。即使使用那里的证书,Internet Explorer 8似乎也显示错误。
Answers:
我像这样工作
我尝试了来自不同人的很多步骤,这些人发布在不同的网站上。但是他们都没有提到我应该将证书添加到“受信任的人”密钥库中。
没错,将其置于受信任的CA之下不足以满足我的情况,我还必须将证书放入受信任的人员中。
那是:
导出证书:
我在Windows 9的IE9上
certmgr.msc
不需要) )
确保您的自签名证书与您的网站URL相匹配。如果没有,即使在Internet Explorer 8中明确信任证书后,您仍将继续出现证书错误(我没有Internet Explorer 7,但是Firefox将信任证书,而不管URL是否不匹配)。
如果这是问题,添加证书后,Internet Explorer 8中红色的“证书错误”框将显示“地址不匹配”作为错误。另外,“查看证书”具有“ 颁发给:”标签,该标签显示了证书所针对的URL。
issued to: *.example.com
因此,如果您有多个自签名子域,试图让IE接受,则可以创建一个通配符证书,并将证书位置更新为通配符证书。请注意,如果使用子子域a.b.example.com
,则必须为子子域*.b.example.com
(NOT *.*.example.com
)创建一个单独的通配符证书,以便它也可以在IE中工作。
如果您遇到地址不匹配错误,请允许地址不匹配:
伙计,今天我已经花了几个小时来解决这个问题。无论我在IE 8中做了什么,问题仍然存在。IE安装的证书显示在客户端PC的“受信任的根证书颁发机构”中,但是无论如何,IE仍然会抱怨。
这是我发现的解决方案:
在Web服务器上:
在客户端计算机上:
这是我如何在IE8中使用它:
仅仅安装证书本身还不够,相反,您需要安装证书颁发机构的根证书。假设您使用Win Server的证书服务,则该证书是在该服务器上安装CS时创建的根证书。如前所述,必须将其安装到“受信任的根证书颁发机构”。
https://server
和https://server.example.com
是不同的,如果IT部门已经做了它的正确的东西,你可能需要完全合格的域名。
您可以使用GPO在域中使用证书。
但是我的问题是Internet Explorer 8,即使使用受信任的根证书存储中的证书,它也不会说它是受信任的站点。
有了这个和驱动程序签名,现在需要完成...我开始怀疑谁拥有我的计算机!
正如其他所有人所提到的,第一个任务是将证书添加到受信任的根证书颁发机构。
有一个自定义exe(selfssl.exe),它将创建一个证书,并允许您指定Issued to:值(URL)。这意味着Internet Explorer将使用自定义Intranet URL验证发布的URL。
确保重新启动Internet Explorer以刷新更改。
您需要确保“自签名证书” common name
对您要设置的域使用正确的证书。如果您要对多个域使用相同的证书,则需要为每个域使用唯一的证书,或者所有ssl站点都是公共域的子域,则可以使用通配符域(如)生成证书*.domainname.tld
。
如果您未common name
正确设置自签名证书,则Chrome和Firefox可能会起作用,但是每次加载网站时IE都无法找到该证书。在IE中,它看起来就像您已经添加了站点的证书,但实际上在页面加载时将永远找不到它。
如何安装CA根证书,而不是网站证书:(IE8,Win7)
当您显示证书详细信息时,您正在查看的是网站证书,而不是CA证书。“常规”选项卡将显示“ 无法验证此证书 ...”。您需要通过单击“证书路径”选项卡并选择路径中最顶部的证书来选择CA。它应该有一个红色的X图标,并显示“此CA根证书不受信任,因为...”。单击“查看证书”按钮,然后在此新的“常规”选项卡上,您将看到“此CA根不受信任。。 。”这是您要导入到“受信任的根证书颁发机构”中的证书。
导入CA后,您无需导入常规网站证书。该证书将与您刚刚导入的CA相匹配,并且IE会将一切视为正常工作。您不需要以Admin身份运行IE,也不需要首先将站点添加到受信任的站点。导入后确实需要重新启动IE。
您可以使用CertMgr将证书添加为受信任的发布者,或者如果它是自签名的,则添加为根证书
CertMgr.exe /add CertificateFileName.cer /s /r localMachine root
请参阅此处的Microsoft文档: