Я подумываю добавить роль AD CA на наш сервер и использовать GPO для добавления самозаверяющего доверенного сертификата всем внутренним клиентам (для облегчения тестирования) ... Некоторые из связанных вопросов по этому поводу:
У меня вопрос: будет ли использование GPO для "проталкивания" самоподписанного сертификата работать только для Internet Explorer или для любой браузер из клиентов? Кроме того, разрешит ли это доверие клиентов в случае небраузерных приложений (например, клиентов веб-служб)?
Это заставит Windows любых клиентов, подключенных к вашему домену, доверять вашему центру сертификации как доверенному корневому ЦС, поэтому любые сертификаты, выдаваемые вашим ЦС, будут автоматически доверять вашим компьютерам. Все, что спрашивает Windows, является ли сертификат доверенным, будет доверять корневому сертификату, но не все браузеры делают это.
Например, Internet Explorer воля доверять сертификату, как и Outlook (например, сертификат Exchange AutoDiscover), однако Firefox не доверять сертификату и содержит собственный список доверенных сертификатов. Боюсь, все зависит от конкретной реализации браузера.
Обычно вы можете импортировать доверенные корневые сертификаты в приложение, если оно использует собственный список доверенных сертификатов, но, опять же, это зависит от реализации.
Доверие распространяется на весь компьютер, поэтому оно действительно для других целей, кроме IE (в зависимости от типа сертификата). После создания центра сертификации вы можете развернуть корневой сертификат через объект групповой политики: Как развернуть внутренний центр сертификации?