我照顾了大约50台运行XP / Vista的机器,都在一个Windows Server 2008域上。 我们在内部推出了许多testingnetworking服务器,这些networking服务器的SSL证书都是与公司内部CA签订的。
为了防止用户被SSL警告混淆,我需要在每台机器上安装CA的证书。
任何想法如何自动安装在IE和Firefox的Windows机器上的证书?
最好的办法是使用组策略将您的根证书剥离到机器上。 这篇文章在这里详细解释了这个过程。
FirefoxADM将帮助您为Firefox部署CA证书。 这个烦人的问题是,它分发整个证书数据库。 用户添加的任何证书都将被覆盖。
山姆的答案是IE的最佳select。
对于Firefox来说,这并不容易,因为它没有使用机器证书存储(可惜)。 每个用户在名为cert8.db的Firefoxconfiguration文件文件夹中都有自己的证书存储副本。 你基本上必须用本地的Firefox副本来编辑这个文件,并添加你的内部证书。 然后将其分发给所有用户的configuration文件。
使用像Zoredache提到的FirefoxADM可以完成分发。 但是还有很多其他方法可以使用login脚本或SMS / ConfigMgr等工具来完成。
我build议使用NSS Tools [1]中的certutil来pipe理Firefox和Thunderbird等软件使用的证书数据库:
certutil.exe -A -n <cert name> -t <trust> -i <cert filepath> -d <firefox/thunderbird profile dirpath)
结合PsTools的PsExec或AD /login脚本。 无论哪种方式,它应该运行时,远程主机上没有运行软件。
NSS工具源码可以从https://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/获得 (一些Windows二进制文件可以在互联网上find,但是考虑到安全性:最好编译它自己)
[1]:networking安全服务: https : //developer.mozilla.org/docs/NSS/tools/NSS_Tools_certutil
[2]:他们正在使用Netscape Communicator数据库 ,文件cert8.db和key3.db
另外,在用户的configuration文件目录中还有一个cert_override.txt文件,当您覆盖证书警告并select永久存储该exception时,该文件将被填充。 如果你只有一个或两个证书担心你可能想看看。 话虽如此,我只在一台服务器上使用它,文件中有几个encryption的string,所以你可能会发现它是特定于计算机的…