Я ухаживаю за ~ 50 машинами под управлением XP / Vista, все в одном домене Windows Server 2008. Мы внедряем ряд тестовых веб-серверов внутри компании, сертификаты SSL которых подписаны внутренним центром сертификации компании.
Чтобы пользователи не были сбиты с толку предупреждениями SSL, мне нужно установить сертификат CA на каждой из машин.
Есть идеи, как автоматически установить сертификат на машины с Windows для IE и Firefox?
FirefoxADM поможет вам развернуть сертификаты CA для firefox. Раздражающая проблема в том, что он распределяет всю базу сертификатов. Любые сертификаты, добавленные пользователем, будут перезаписаны.
Лучше всего развернуть корневой сертификат на машинах с помощью групповой политики. Эта статья здесь подробно объясняется процесс.
Я предлагаю использовать certutil из инструментов NSS [1], которые могут управлять базами данных сертификатов, используемыми такими программами, как Firefox и Thunderbird [2]:
certutil.exe -A -n <cert name> -t <trust> -i <cert filepath> -d <firefox/thunderbird profile dirpath)
В сочетании с PsTools's PsExec или сценарий AD / входа в систему. В любом случае его следует запускать, когда программное обеспечение не запущено на удаленном хосте.
Источники NSS Tools можно получить из https://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/ (некоторые двоичные файлы Windows можно найти в Интернете, но, учитывая характер безопасности: лучше скомпилировать его самостоятельно)
[1]: Службы сетевой безопасности: https://developer.mozilla.org/docs/NSS/tools/NSS_Tools_certutil
[2]: они используют База данных Netscape Communicator с файлами cert8.db и key3.db.
Ответ Сэма - лучший вариант для IE.
Для Firefox это не так просто, потому что он не использует хранилище сертификатов на всей машине (к сожалению). У каждого пользователя есть собственная копия хранилища сертификатов в папке профиля Firefox под названием cert8.db. Вам в основном придется отредактировать этот файл с помощью локальной копии Firefox и добавить свои внутренние сертификаты. Затем распространите его по профилям всех ваших пользователей.
Распространение может быть выполнено с помощью FirefoxADM, как упоминалось в Zoredache. Но есть много других способов сделать это с помощью сценариев входа в систему или таких инструментов, как SMS / ConfigMgr.
Чтобы импортировать сертификат в firefox на всех компьютерах домена, выполните следующие действия:
cert8.db C:\Users\user1\AppData\Roaming\Mozilla\Firefox\Profiles\8arq0r3k.default script.bat:
Set FFProfdir=%Appdata%\mozilla\firefox\profiles
cd %FFProfdir%
DIR /A:D /B > "%Temp%\FFProfile.txt"
FOR /F "tokens=*" %%i in (%Temp%\FFProfile.txt) do (
CD /d "%FFProfDir%\%%i"
rename cert8.db cert8.db.orig
copy "\\server1\cert8.db"
)
DEL /f /q "%Temp%\FFProfile.txt"
Этот пакет заменяет cert8.db тем, который содержит новый сертификат. Используйте групповую политику домена для запуска этого пакета при запуске Computer Configuration\Windows Settings\Scripts (Startup/Shutdown)
Также в каталоге профиля пользователя есть файл cert_override.txt, который заполняется, когда вы отменяете предупреждение сертификата и выбираете постоянное сохранение исключения. Если у вас есть только один или два сертификата, о которых нужно беспокоиться, вы можете взглянуть на это. Сказав это, я использовал его только на одном сервере, и в файле есть пара зашифрованных строк, так что вы можете найти его для конкретной машины ...