如何爲不同的域和用戶創建SSL證書？

Question

我在我的開發PC上使用IIS創建了證書申請。一切都很順利，當我用主AD域帳戶使用Visual Studio 2015時，我成功建立了與服務器的SSL連接。

但是，新系統的開發是使用另一個AD域（和帳戶）完成的，新創建的證書不適用於此帳戶。我假定證書是每臺機器生成的，而不是每個用戶生成的。

無法選擇爲哪個帳戶創建證書，因此如何爲不同帳戶/域創建證書請求？還是有什麼我失蹤？

我得到的異常（從.NET應用程序，使用從WSDL定義生成的客戶端）：「無法爲權限爲xxxxx.com的SSL/TLS建立安全通道」。應用程序在我的默認AD憑據上運行時運行。

Answer 1

這一切都涉及您的客戶信任哪些證書。爲了獲得這種信任，您可以：

1. （不推薦）禁用服務器證書驗證（設置ServicePointManager.ServerCertificateValidationCallback或類似的東西）
2. 對於服務器端，即已知的證書頒發機構（CA）頒發使用證狀Verisign，Go Daddy等。在客戶端計算機上 - 您將獲得隨Windows一起安裝的CA證書。
3. 如果您自己頒發證書，則在客戶端計算機/服務器上，您必須將證書的公用部分添加到受信任人證書存儲區。或者，如果您在AD上頒發證書，請將域CA證書添加到客戶端計算機/服務器上的受信任根證書頒發機構存儲中。