如何为不同的域和用户创建SSL证书？

Question

我在开发PC上使用IIS创建了证书请求。一切顺利，我在使用Visual Studio 2015和我的主AD域帐户时成功建立了与服务器的SSL连接。

但是，新系统的开发是使用另一个AD域（和帐户）完成的，新创建的证书不适用于此帐户。我假设证书是按机器生成的，而不是每个用户生成的。

无法选择创建证书的帐户，因此如何为不同的帐户/域创建证书请求？或者还有其他我想念的东西？

我得到的异常（来自.NET应用程序，使用从WSDL定义生成的客户端）：＆＃34;无法使用权​​限xxxxx.com＆＃34;建立SSL / TLS的安全通道。该应用程序在使用我的默认AD凭据运行时有效。

Answer 1

这一切都取决于客户信任的证书。为了获得这种信任，你可以：

1. （不推荐）禁用服务器证书验证（设置ServicePointManager.ServerCertificateValidationCallback或类似的东西）
2. 对于服务器端，请使用由Verisign，Go Daddy等已知证书颁发机构（CA）颁发的证书。在客户端计算机上 - 您将获得已安装Windows的CA证书。
3. 如果您自己颁发证书，则必须在客户端计算机/服务器上将证书的公共部分添加到“受信任的人”证书存储区。或者，如果在AD上颁发证书，请将域CA证书添加到客户端计算机/服务器上的“受信任的根证书颁发机构”存储中。