我们有一个内部网站,由HTTPS客户端证书提供。
网站用户是非技术人员,远程工作。 他们使用Windows(XP,Vista,7)和OS X(10.5,10.6,10.7)。 他们使用各种浏览器,但我们可以将范围限制在现代的Chrome,FireFox和Safari(在OS X上)。
问题在于,为新用户设置访问权限或replace证书是一件非常痛苦的事情。 由于用户正在远程工作,他们必须自己安装SSL证书 – 所有通常的后果。 诊断和解决由此产生的问题可能需要数天时间。
我正在为我们的系统pipe理员寻找一个很好的故障排除指南(向用户提问的问题,收集诊断信息的工具等),以及如何改进整个工作stream程的一些build议。
我认为你在使用SSL客户端证书方面犯了一个战略错误。 理论上他们是个好主意,但实际上他们不够用户友好,无法在大规模部署中处理这些问题。
我唯一的build议是要求用户允许远程访问这些机器,并让系统pipe理员远程进入并做好必要的零碎工作,并testing它是否正常工作。