Я использую Google Apps для бизнеса + SingleSignOn, что означает, что все мои пользователи входят в систему через внутренний интерфейс, а не через gmail.com.
Это решение с открытым исходным кодом SingleSignOn использует протокол SAML (я думаю, что это правильно), чтобы пользователь входил в службы Google. Он интегрируется с AD, поэтому все мои пользователи используют учетные данные Windows для входа в электронную почту.
Этому интерфейсу системы единого входа требуется сертификат SSL для обмена информацией с платформой Google, проблема в том, что он самоподписан, что вызывает появление экранов «Недействительный сертификат», что сбивает моих пользователей с толку.
Вопрос: Есть ли способ передать сертификат как «Надежный» для всех пользователей, использующих политику Active Directory? Я хочу, чтобы этот экран недействительного сертификата исчез, и я не хочу покупать сертификат только для пары пользователей. Этот интерфейс единого входа работает на APACHE и находится за брандмауэром, доступным только в Office или через VPN.
Да, доверить сертификаты пользователям вполне возможно. Это делается с помощью групповой политики. Вы можете найти его в разделе Пользователи -> Параметры Windows -> Параметры безопасности -> Политики открытого ключа. Оттуда вы можете указать, каким сертификатам и центрам сертификации следует доверять. Такой же улей существует и на компьютерной стороне объекта групповой политики.
Вы, вероятно, найдете там свой AD CA, если он у вас есть. Это очень полезно для корпоративных центров сертификации.