Вопрос: Автоматическая установка / применение корневого сертификата CA


Есть ли способ автоматически установить / применить корневой центр сертификации к клиентам? Чтобы они не получали предупреждение о недопустимом сертификате при посещении локального веб-сайта?

У меня локальный DNS настроен и добавлен к нему на моем маршрутизаторе. Могу ли я, если возможно, установить корневой ЦС в маршрутизаторе и повлиять на подключенные клиенты?


2
2017-12-09 01:33


Источник


«Есть ли способ автоматически установить / применить корневой центр сертификации к клиентам?» - Только если их операционная система доверяет Корневому органу. Поскольку это обозначено OpenSSL, я могу только предположить, что вы говорите о самоподписанных сертификатах CA. В качестве администратора системы вы можете создать образ операционной системы, который уже доверяет самозаверяющему ЦС, если вы хотите. - Ramhound
Да, это самозапись. Таким образом, единственный способ - установить или установить его предварительно в системе? - John Pangilinan
Если вы не хотите, чтобы пользователь системы установил его, да, установка его для них - единственный способ, которым браузер автоматически доверяет ему - Ramhound


Ответы:


Есть ли способ автоматически установить / применить корневой центр сертификации к клиентам?

Да, но это зависит от клиента. Вы можете, например, автоматически (т. Е. Без подтверждения конечного пользователя) устанавливать корневые сертификаты ЦС на компьютерах Microsoft Windows в своем домене с групповой политикой, но эти сертификаты не будут соблюдаться Firefox, который использует собственное хранилище сертификатов.

Протоколы шифрования полагаются на PKI (сертификаты) для установления доверия. Доверие определяется владелец клиента (операционной системы или браузера).

Некоторые клиенты, ориентированные на корпоративные среды, позволяют определить доверие владельца (компания) без уведомления конечных пользователей.

У меня локальный DNS настроен и добавлен к нему на моем маршрутизаторе.

Механизмы для вышеуказанного отдельно от DNS.

SSL / TLS и другие протоколы, использующие PKI, фактически предназначены для того, чтобы владельцы DNS-серверов не злоупотребляли своей властью, тайно перенаправляя трафик пользователей.

Могу ли я, если возможно, установить корневой ЦС в маршрутизаторе и повлиять на подключенные клиенты?

К счастью, вы не можете. Если бы вы могли, вся PKI не обеспечивала бы безопасность.


6
2017-12-09 01:40



Зависит от того, какой сценарий? - John Pangilinan
К ОС клиента. @John - 0xcaff