none
客户端证书报错 RRS feed

  • 问题

  • 我们公司目前使用SFB2015,安装客户端的时候需要手动在个人PC上面导入一个ADCS颁发的证书,

    1.请问为什么要导入这个证书?

    2这个证书应该是之前供应商提供给我们的,请问,证书是怎样从ADCS上面下载下来的呢?

    3.因为我们的ADCS服务是搭建在DC上面的,请问怎么查看这个证书的有效期限?如果ADCS颁发的证书有效期限是5年,怎么更新证书的有效期限?

    更新过后,需要重新renew FE上面的证书么?

    什么根证书,什么是私钥?可否解释下。
    2019年6月13日 1:39

答案

  • 您好,

    在外部网络环境中,SFB登录时会通过Edge服务器,使用的是始终受信任的公网证书,已经用户可以正常登录。

    SFB登录根据不同的网络环境可以分为以下三种:

    1. 在内网环境下,PC端已经加域,该情况下,内网根证书会自动安装在PC上,SFB客户端可以直接登录。

    2. 在内网环境下,PC端未加域,该情况下,必须将内网CA根证书手动安装到PC上,然后SFB客户端才可以正常登录。

    3. 在外网环境下,不管加域没有加域,始终经过Edge服务器,使用的是Edge上配置的公网证书,所以SFB客户端可以正常登录。


    此致,

    Evan Jiang


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年6月14日 9:22
    版主

全部回复

  • 您好,

    根据您的描述,在您的环境中需要在用户PC上导入内网CA根证书。关于您的问题,具体答复如下:
    1.请问为什么要导入这个证书?
    导入该证书的目的是为了形成完整的证书链,从而让服务器信任该PC,使用户的SFB账号可以被服务器认证并完成登录。

    2这个证书应该是之前供应商提供给我们的,请问,证书是怎样从ADCS上面下载下来的呢?
    您可以在安装ADCS的服务器上打开以下URL来下载该证书:http://localhost/certsrv/ 

    3.因为我们的ADCS服务是搭建在DC上面的,请问怎么查看这个证书的有效期限?如果ADCS颁发的证书有效期限是5年,怎么更新证书的有效期限?
    根据问题2中的步骤下载证书后,您可以打开证书,在General中查看证书的有效期。
    关于如何更新内网CA根证书,您可以执行以下步骤:
    a. 在安装ADCS的服务器上,打开Certification Authority console(在开始菜单点击run -> mmc)。
    b. 点击File -> Add/Remove Snap-in -> Certificate Authority -> add. 
    c. 在展开的CA名称上点击鼠标右键 -> All Tasks -> Renew CA Certificate。之后点击Yes来停止证书服务。询问是否要生产新的公钥和私钥时点击NO。之后证书申请完成。

    4. 更新过后,需要重新renew FE上面的证书么?
    正常情况下,域中的服务器会通过GPO自动更新内网根证书。

    5. 什么根证书,什么是私钥?
    根证书是CA认证中心给自己颁发的证书,是信任链的起始点。安装根证书意味着对这个CA认证中心的信任。
    关于公钥,私钥,证书的详细解释,您可以参考该博客来查看详细图解。

    此致,

    Evan Jiang


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年6月13日 7:14
    版主
  • 因为电脑是私人PC所以并未加入公司域,但是为什么有的PC不需要手动导证书进去,有些就需要手动导入PC
    2019年6月14日 2:09
  • 您好,

    如果PC已经加域,正常情况下是不需要导入内网CA根证书,该证书会自动安装在PC中。

    在您内部网络环境中,如果PC没有加域,那么则必须要导入该证书,否则用户登录SFB客户端时将无法完成认证,导致无法登录。

    关于您的问题,请您确认下那些可以正常登录的PC是否已经加域或者之前已经导入过证书。

    此致,

    Evan Jiang


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年6月14日 7:45
    版主
  • 可以登录的机器,情况如下,我给了其他公司的人一个测试账号,他们登录成功,并没有报任何错误,所以特别的奇怪

    2019年6月14日 8:28
  • 您好,

    在外部网络环境中,SFB登录时会通过Edge服务器,使用的是始终受信任的公网证书,已经用户可以正常登录。

    SFB登录根据不同的网络环境可以分为以下三种:

    1. 在内网环境下,PC端已经加域,该情况下,内网根证书会自动安装在PC上,SFB客户端可以直接登录。

    2. 在内网环境下,PC端未加域,该情况下,必须将内网CA根证书手动安装到PC上,然后SFB客户端才可以正常登录。

    3. 在外网环境下,不管加域没有加域,始终经过Edge服务器,使用的是Edge上配置的公网证书,所以SFB客户端可以正常登录。


    此致,

    Evan Jiang


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年6月14日 9:22
    版主