Temos uma versão de teste interna do nosso site, que está disponível (através de zonas de DNS internas) como www.mysite.com.test
Gostaria de criar um certificado SSL para www.mysite.com.test, para que nossos testadores não recebam um aviso de certificado inválido (o certificado 'real' está vinculado a www.mysite.com)
Eu sei como criar certs auto-assinados usando o OpenSSL, mas estou pensando se há alguma maneira de associar a autoridade de certificação ao nosso domínio do Active Directory, para que qualquer usuário em um PC que seja membro do domínio aceite o certificado autoassinado sem ter que instalá-lo explicitamente (ou instalar explicitamente a autoridade de certificação de assinatura automática como uma autoridade confiável)
Alguma idéia?
Você pode adicionar raízes confiáveis por meio da política de grupo. Portanto, faça um certificado autoassinado, desenvolva-o como uma raiz confiável e, em seguida, qualquer certificado assinado com ele será confiável.
Policy Object Name/Computer Configuration/Windows Settings/Security Settings/Public Key Policies/Trusted Root Certification Authorities
A configuração da autoridade de certificação MS não é necessária
Se você tiver um servidor executando a atribuição do papel do AD CS um certificado, ele não será mais autoassinado, será emitido pela CA interna. Para responder ao ponto maior, sim, você pode fazer isso. Você terá que instalar a função dos Serviços de Certificados do Active Directory e criar / distribuir os certificados a partir dali. Não há necessidade de tocar no OpenSSL para este caso de uso.
Para responder à sua pergunta exatamente: não, você não pode criar um certificado auto-assinado usando o Active Directory. No entanto, acho que sua pergunta é misturar coisas diferentes.
Para criar certificados auto-assinados, você tem muitas opções. A mais simples, se você for uma vitrine, é fazer isso através do IIS (veja: link ). Você também pode fazer isso com o OpenSSL (bastante confuso, mas funciona), com a ferramenta makecert.exe que vem com o .NET SDK ou com uma série de ferramentas similares (eu uso minha própria ferramenta para isso, mas sou eu). / p>
Para integrar uma autoridade de certificação com o AD, a maneira mais simples é instalar a função de serviços de certificado em uma máquina e configurá-la para integração com AD (embora, no seu caso, não pareça ser uma necessidade, a menos que você queira usá-la para outras coisas).
Finalmente, você pode querer criar sua própria raiz que não esteja integrada ao AD. A menos que você tenha que trabalhar com autenticação de certificado de cliente, tenha muitos servidores diferentes (com nomes diferentes) que deseja usar em testes (e talvez com testes automatizados) ou se quiser testar algum aspecto de seu aplicativo que use recursos especiais. propriedades de certificado ou encadeamento, provavelmente não vale a pena.
No seu caso, supondo que entendi corretamente e tudo o que você quer fazer é testar seu aplicativo da web com um certificado, tudo o que eu faria seria gerar um certificado auto-assinado (usando qualquer ferramenta que você preferisse) e instalá-lo certificado na loja correta em sua máquina de teste (para evitar avisos de certificados e erros)
Can I create a self-signed IIS certificate using Active Directory as a CA?
Não, você não pode. Ponto simples - AD NÃO É UMA CA. Simples assim.
WIndows tem um componente CA que você pode instalar, bt não é AD. É um papel separado. Uma vez que você faz isso, por que usar um certificado auto-assinado?