在Outbound场景下，通过AD推送并安装证书到客户端

一、概述

当我们在Outbound场景下部署SSLO时，设备串联在网络中。内网用户访问公网流量均经过F5 SSLO设备进行处理。当用户访问https网站时，浏览器需要先和SSLO设备进行SSL握手，如果我们在SSL configuration中使用的证书为F5自签发证书，那么浏览器看到网站的证书颁发者为F5。

由于client ssl证书使用的是F5自签发证书，所以当用户打开https网站时，浏览器会提示证书不受信任，需要点击继续才可以打开网页，并且当该网页中有许多https链接到其他网页时，网站访问时会出现加载不完全的现象，如下图：

而且当某些网站开启了HSTS安全策略时，证书不受信任，浏览器会直接阻止继续打开网站。那么我们需要如何避免上述的现象出现？

二、通过AD推送证书到客户端

为避免证书不受信任，我们需要将F5自签发证书安装到客户端用户证书中的受信任的根证书颁发机构中，但是如果通过手工安装的话会使管理员的工作量很大，因此本文中会介绍如何配置AD组策略将证书推送到域中的客户端上并通过脚本自动安装。

2.1.将F5证书导出

2.2.配置AD服务器

1.在AD服务器上新建一个共享文件夹，对象为Everyone，即所有用户

2.将证书放在共享文件夹中，并且创建一个自动安装脚本，该脚本会在推送证书时同时运行，将证书自动安装到客户端；

脚本：certutil -addstore root Z:\default.crt，Z:\default.crt为证书存储路径

3.在域中创建GPO（组策略对象）并应用给Authenticated Users

4.编辑GPO

5.创建登录脚本，域用户登陆时自动运行证书安装脚本；

6.将共享文件夹映射到驱动器；配置完成后更新组策略

三、验证

1.注销当前账号并重新登录域账号，此时客户端会运行脚本安装证书

2.重新登陆后，查看用户证书，F5自签发证书已经安装到客户端中

3.再次打开https网站，网页打开正常

至此，我们已经完成了通过AD服务器将证书自动推送并安装到客户端的所有配置，既提高了用户上网安全性，也避免了用户会有不好的上网体验，同时也减少了管理员的工作量。如果大家还有其他集中推送和安装证书的解决方案，欢迎随时一起探讨。

                                                                                                                                                                                                                                                                                                                          编写人：胡志伟

                                                                                                                        北京力尊信通科技股份有限公司