none
Active Directory domanda sui certificati e sulle ca RRS feed

  • Domanda

  • Buongiorno,

    avrei bisogno di una informazione.

    Se io ho il domain controller: aaa.zzz.local con una certificate authority sua.

    Poi ho un web-server bbb.zzz.local con una certificate authority sua ma completamente delegato a gestire la certificate authority sul domain controller.

    Su quel web server si vuole fare un certificato per un sito al suo interno: a.yyy.it (con un nome quindi di dominio non correlati al dominio di active directory).

    E' possibile generare localmente al webserver, con IIS il certificato SSL di a.yyy.it per accedere ad https://a.yyy.it e farlo validare alla CA del domain controller? Se è possibile come?

    A quel punto, l'accesso via https://a.yyy.it all'interno della rete funzionerà per tutti I pc a dominio ed anche per eventuali tablet android fuori dominio? nei tablet fuori dominio posso importare la CA del dominio se non va?

    Stavo cercando una guida per fare il certificato nel webserver e farlo validare alla ca del domain controller, e poi una guida per esportare la ca in modo da installarla nei tablet.

    grazie in anticipo per l'attenzione e l'eventuale risposta.
    giovedì 25 novembre 2021 15:15

Risposte

  • puoi far generare il certificato per a.yyy.it dall tua CA, è sufficiente che il common name corrisponda al nome del tuo dominio di terszo livello.

    ovviamente per non vedere il certificato invalidato dovreai mantenere intatta la catena di certificazione importando il certificato root della tua CA primaria o della tua CA delegata sulle macchine dalle quali dovrai accedere al sito web in https.


    Edoardo Benussi
    e[dot]benussi[at]gmx[dot]com

    lunedì 29 novembre 2021 12:33
    Moderatore

Tutte le risposte

  • Il sito a.yyy.it sarà visibile all'esterno? In questo caso ti consiglio let's encrypt, risolveresti il problema anche per tablet, smartphone etc.

    Qualora tu voglia usare un certificato self signed (su IIS ha il menu per crearlo), dovresti poi installare la certification authority nel dominio, invece se usi la CA di dominio, poi per i pc non in joinati, tablet e smartphone dovrai installare la CA roort dopo averla esportata.

    In questo link https://wiki.scn.sap.com/wiki/display/SAPMOB/Generating+a+self-signed+SSL+Certificate+using+Microsoft+CA  trovi anche come esportare, il problema sarà quello di scegliere un formato accettato dagli android... sappi che con openssl è possibile fare conversioni pfx,cer,pem etc.


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here

    venerdì 26 novembre 2021 18:42
    Moderatore
  • puoi far generare il certificato per a.yyy.it dall tua CA, è sufficiente che il common name corrisponda al nome del tuo dominio di terszo livello.

    ovviamente per non vedere il certificato invalidato dovreai mantenere intatta la catena di certificazione importando il certificato root della tua CA primaria o della tua CA delegata sulle macchine dalle quali dovrai accedere al sito web in https.


    Edoardo Benussi
    e[dot]benussi[at]gmx[dot]com

    lunedì 29 novembre 2021 12:33
    Moderatore