Мы находимся в процессе развертывания нового веб-сайта и хотим защитить административные части с помощью ssl / https. Как мы видим, нет причин покупать сертификат ssl у корневого ЦС, поскольку административная часть не должна быть видна клиентам, поэтому нам просто нужен (самоподписанный) сертификат ssl для защиты связи.
Чтобы сделать работу как можно более приятной для внутренних пользователей, мы хотим доверять этому сертификату, но вместо того, чтобы требовать от всех пользователей вручную устанавливать сертификат, мы хотели бы отправить этот сертификат всем пользователям с помощью групповой политики (или чего-то подобного). Возможно ли это для самоподписанного сертификата?
Дополнительный вопрос; у нас также есть тестовый сервер, развернутый внутри компании, и мы хотели бы защитить его (внутренний тестовый сервер будет иметь внутренний DNS / IP), но можем ли мы использовать тот же самоподписанный ssl-сертификат, который мы используем на общедоступном веб-сайте, или нам потребуется другой (который мы затем также могли выдвинуть через групповую политику)
Надеюсь, вопрос имеет смысл ...
Если все ваши пользователи находятся в AD и у вас есть AD Certificate Authority (AD CA), установленный на вашем DC, вы можете просто выпустить из вашего AD CA необходимый сертификат, прикрепить этот сертификат в IIS к своему веб-сайту. В результате все пользователи домена будут автоматически доверять выпущенному сертификату (без ручной установки или установки GPO).
По поводу второго вопроса: рекомендую выдать для тестового сервера другой сертификат от того же AD CA.