在企业网络环境中，Active Directory（AD）域服务是管理用户、计算机和资源的核心。而SSL证书则是保障数据传输安全的关键。尤其在AD环境中，为内部网站、Exchange邮箱或文件服务器部署SSL证书时，手动申请商用证书不仅成本高，流程也繁琐。本文将手把手教你如何在AD域中快速生成SSL证书，并通过真实案例解析常见问题。

一、为什么要在AD域中生成SSL证书？

想象一下：公司内部有个HR系统（比如`hr.corp.com`），员工通过浏览器登录时总看到“不安全”警告。这是因为没有SSL证书，数据以明文传输，容易被黑客截获。而商用证书（如DigiCert）每年要花钱续费，对于纯内网服务并不划算。

AD域的优势在于：

1. 免费：利用Windows Server自带的“证书颁发机构（CA）”功能。

2. 自动化：可批量颁发证书给域内设备。

3. 信任链：只需将根CA证书分发给员工电脑，所有子证书自动被信任。

二、实战步骤：5分钟生成AD SSL证书

步骤1：安装AD证书服务（CA）

假设你有一台Windows Server 2025域控制器：

1. 打开“服务器管理器” → “添加角色和功能”。

2. 勾选Active Directory证书服务 → 选择“证书颁发机构”和“Web注册”。

3. 完成安装后，在`certsrv.msc`中配置为企业根CA。

> 注意：如果提示“无法安装IIS”，需先安装Web服务器（IIS）角色。

步骤2：申请并生成SSL证书

以给内部网站`portal.corp.com`为例：

1. 生成CSR请求文件：

```powershell

New-CertificateRequest -Subject "CN=portal.corp.com" -KeyLength 2048 -OutFile C:\csr_portal.req

```

2. 通过Web页面提交CSR：

访问 `http:///certsrv` → 选择“申请高级证书” → 粘贴CSR内容。

3. 下载并安装证书：

审批后下载`.cer`文件，双击安装到本地计算机的“个人”存储区。

步骤3：绑定到IIS网站

在IIS管理器中：

1. 选中目标网站 → “绑定” → 添加HTTPS类型。

2. 选择刚安装的`portal.corp.com`证书 → SSL端口默认为443。

三、常见问题与解决方案

Q1：浏览器仍提示“不安全”

- 原因：员工电脑未信任你的AD根CA。

- 解决：

1. 从CA服务器导出根CA证书（`.cer`格式）。

2. 通过组策略（GPO）推送到所有域成员计算机的“受信任的根颁发机构”。

Q2：如何批量颁发多域名通配符证书？

如果需要同时保护`*.corp.com`下的所有子域名：

```powershell

New-CertificateRequest -Subject "CN=*.corp.com" -SAN "DNS:*.corp.com,DNS:corp.com" -KeyLength 2048

```

Q3：私钥丢失怎么办？

如果重装系统导致私钥丢失：

- 预防措施：申请时勾选“密钥可导出”，备份`.pfx`文件。

- 应急方案：吊销旧证书并重新签发。

四、进阶技巧：自动化与监控

1. 自动续期脚本：

用PowerShell定期检查到期时间，自动续签：

$cert = Get-ChildItem Cert:\LocalMachine\My | Where-Object { $_.Subject -eq "CN=portal.corp.com" }

if ($cert.NotAfter -lt (Get-Date).AddDays(30)) { Request-CertificateRenewal $cert }

2. 监控告警：

在Zabbix或Prometheus中添加对证书过期时间的监控。

五、安全注意事项

虽然AD CA方便，但需注意以下风险：

- 保护CA服务器：一旦被入侵，攻击者可签发任意可信证书。

- 定期吊销列表（CRL）发布：确保客户端能及时获取吊销状态。

- 避免使用SHA-1算法：默认配置可能不满足现代安全标准。

通过以上方法，你可以零成本为AD环境中的服务部署SSL加密。这种方案特别适合***、医院等对内外网隔离要求高的场景。如果有更复杂的需求（如双向认证），欢迎在评论区留言讨论！

TAG:ad里边生成ssl证书,ad域服务器ssl证书验证,ad18添加license,ad如何添加license