1个答案
客户端软件没有 原因 关心自己客户证书的信任; 只有服务器验证过。 作为对这一点的扩展,处理证书的系统集是已知的,并且是有限的,因此由预先安装的CA颁发证书几乎没有什么好处–可以很容易地将CA部署到需要它的一(1)个系统。 该证书将代表一种身份类型,即Windows域用户,在该域之外没有意义,并且无法通过外部CA进行验证。 如果CA没有办法 证明 身份, 那么它就不能为此颁发证书。 无论是否通过ACME完成,外部CA都无法使用您的内部AD用户名颁发证书。