Forse una domanda veloce. Abbiamo Palo Alto che esegue la decrittazione SSL utilizzando un certificato CA secondario emesso dalla nostra CA principale interna. Funziona per i nostri computer di dominio Windows interni poiché la CA principale e la CA secondaria vengono trasferite a tutti tramite i Criteri di gruppo. La mia domanda è che alcuni utenti Mac con cui il GPO non funziona, quindi dovranno manualmente aggiungere i certificati.
La mia domanda è, se il subCA installato su Palo Alto (facendo generazione di SSL dinamico per siti), è installato anche su questi Mac. Perché gli utenti continuano a rilevare una connessione non sicura rilevata nel browser? Si lamenta che "questo certificato non può essere verificato fino a un'autorità di certificazione attendibile".
Se installo il certificato CA radice in aggiunta, non ricevono più errori. Evviva!
Tuttavia, la mia domanda è: perché i client hanno bisogno della CA radice se la CA secondaria (su Palo Alto) è stata quella che ha generato il certificato esplicito (come bankofamerica.com, ecc.).