Добавление SSL-сертификата в IE без взаимодействия с пользователем

Question

Некоторое время назад я настроил локальную (не интернет) клиентскую базу данных моей компании на своем доменном сервере, используя Apache и PHP / MySQL.

Недавно я решил настроить его на использование SSL-соединения, а не стандартного HTTP-соединения. (Я знаю, я должен был с самого начала, но это другое дело).

Я успешно настроил свой сервер и сертификат, но из-за того, что я дешев и не оплачиваю «сертифицированного» подписывающего SSL, IE выдает раздражающее диалоговое окно о том, что я не действительный сертификат. Я выяснил, как добавить сертификат на одном компьютере (см .: http://www.99main.com/webmail-ssl-ie.shtml),, но у меня есть около 10 компьютеров, и я не хочу устанавливать его для каждого пользователя (я только на сайте около 6-7 раз в год и обычно не в рабочее время, поэтому я не могу вести каждого пользователя).

Поэтому меня интересует, как сделать так, чтобы IE не отображал диалоговое окно, в котором говорится, что мой сертификат не подписан надежным органом, без посещения (физически) каждого компьютера. Я считаю, что наиболее перспективным является импорт сертификата с использованием сценария командной строки или reg-hack. Конечно, я приветствую любой другой метод достижения моей цели (есть ли способ подделать сертифицированный орган подписи? И т. Д.)

Если это невозможно, есть ли способ зарегистрировать сертификат для всех учетных записей на компьютере (тех, которые выполнили вход или нет).

Спасибо, Brian

Answer 1

Установка SSL-сертификата через веб-сайт определенно невозможна, и это хорошо.

Если ваши ПК структурированы в Домене, то вы, вероятно, можете сделать это с помощью групповой политики, хотя.

Answer 2

Я согласен с Оли - за эту цену это настоящая сделка.

Кроме этого, веб-сайт не может установить сертификат автоматически без вмешательства пользователя. Это как бы победило всю цель сертификатов, не так ли? ;)

Вы можете создавать всевозможные сценарии командной строки и прочее, которые будут импортировать сертификат для пользователя, но кто-то должен будет запустить их на этом компьютере.

Альтернативой может быть предоставление пользователям ссылки на пошаговое иллюстрированное руководство по установке сертификата.

Answer 3

Я слышал о certmgr.exe (но без опыта)

Ссылка по ссылке: http://msdn.microsoft.com/de-de/library/e78byta0(VS.80).aspx

Похоже, это часть комплекта разработки программного обеспечения для .NET 3.5. На моей системе с .NET 3.5 только в качестве среды выполнения она была недоступна.

Answer 4

Если у вас есть удаленный доступ ко всем локальным компьютерам с учетной записью администратора, вы можете установить на них сертификат.

Кроме этого - IE всегда будет предупреждать о не подписанном сертификате, и любой способ удаленного отключения его будет серьезной дырой в безопасности. А подделка сертифицированного подписывающего органа требует взлома RSA, что кажется возможным, но занимает много времени (например, столетия).

Итак: только если вы можете получить доступ ко всем этим компьютерам удаленно, вы можете заставить IE перестать жаловаться на ваш сертификат. Я считаю, что все доступные решения нуждаются в изменении конфигурации (установка сертификата, введение какого-либо доверенного контроллера домена, который предоставит ваш сертификат и т. Д.).

Answer 5

По моему мнению, вам будет дешевле купить подписанный сертификат, чем написать что-нибудь, чтобы добавить ваш сертификат ко всем доверенным компьютерам (с точки зрения времени, потраченного на это).

Они - ничтожные 30 долларов в год на GoDaddy ...