如何为不同的域和用户创建SSL证书？

Question

我在我的开发PC上使用IIS创建了证书申请。一切都很顺利，当我用主AD域帐户使用Visual Studio 2015时，我成功建立了与服务器的SSL连接。

但是，新系统的开发是使用另一个AD域（和帐户）完成的，新创建的证书不适用于此帐户。我假定证书是每台机器生成的，而不是每个用户生成的。

无法选择为哪个帐户创建证书，因此如何为不同帐户/域创建证书请求？还是有什么我失踪？

我得到的异常（从.NET应用程序，使用从WSDL定义生成的客户端）：“无法为权限为xxxxx.com的SSL/TLS建立安全通道”。应用程序在我的默认AD凭据上运行时运行。

Answer 1

这一切都涉及您的客户信任哪些证书。为了获得这种信任，您可以：

1. （不推荐）禁用服务器证书验证（设置ServicePointManager.ServerCertificateValidationCallback或类似的东西）
2. 对于服务器端，即已知的证书颁发机构（CA）颁发使用证状Verisign，Go Daddy等。在客户端计算机上 - 您将获得随Windows一起安装的CA证书。
3. 如果您自己颁发证书，则在客户端计算机/服务器上，您必须将证书的公用部分添加到受信任人证书存储区。或者，如果您在AD上颁发证书，请将域CA证书添加到客户端计算机/服务器上的受信任根证书颁发机构存储中。