关于证书的命名以及颁发给使用通配符

（活动目录）

问：自己内部的服务器颁发出来的证书总是会提示证书不匹配，非常不雅观，如何才不购买Verisign的前提下让他们匹配？

另外，如果不匹配的话，继续使用该证书，是否仍旧加密的？
答：

提示不匹配，一般来说应该是你建的证书不是为你的服务器而创建的。也就是说你证书颁发给，不是服务器的fqdn名称。

问：证书的FQDN名称是输入IIS服务器的名称（比如：dc1.contoso.com）还是对外访问的名称（发布在外网的 www.contoso.com）？

另外，如何查找CA服务器的根证书？

谢谢！

答：

外网的地址，ie会根据你输入的网络地址根证书进行匹配，如果不一致的话就会出现这种情况

答：

1.出现这个问题一般是访问的名称和证书的名称不匹配，而不是2楼说的根CA未信任

2.仍然加密

3.证书的FQDN应该和最终用户在浏览器中输入的名称匹配，也就是发布在外网的 www.contoso.com。但是这样只会保证外部用户输入 www.contoso.com（前提是信任贵公司内部的根CA）时，不会出现警告提示，但是内部用户输入dc1.contoso.com访问时，仍会提示证书不匹配。如果你想内部用户和外部用户通过https访问这个网站都不出现警告，那么可以在申请证书的时候用通配符*来代替。也就是名称为*.contoso.com

4.如何查找CA根证书有两个方法：
一个是在你根CA服务器所在的系统盘根目录下。
一个是在你根CA服务器上，有个共享目录certenroll，里面也有根证书
另外一个是通过web方式申请证书时，可以选择一个任务,"下载一个CA证书，证书链或CRL，然后选择安装此CA证书链"