2

不久前,我使用 Apache 和 PHP/MySQL 在我的域服务器上设置了我公司的本地(非 Internet)客户端数据库。

我最近决定将其设置为使用 SSL 连接而不是标准 HTTP 连接。(我知道,我应该从一开始就拥有,但那是另一回事)。

我已经成功设置了我的服务器和我的证书,但是由于我很便宜并且没有支付“认证”SSL 签名者的费用,IE 会弹出一个关于不是有效证书的恼人对话框。我已经想出了如何在单台计算机上添加证书(参见:http ://www.99main.com/webmail-ssl-ie.shtml ),但我有大约 10 台计算机并且不想安装它对于每个用户(我每年只在现场大约 6-7 次,而且通常不在工作时间,所以我无法指导每个用户)。

所以我想知道的是如何做到这一点,以便 IE 不会弹出一个对话框,说我的证书没有由可靠的权威机构签署,而不需要(物理地)访问每台计算机。我觉得最有前途的方式是使用命令行脚本或 reg-hack 导入证书。当然,我欢迎任何其他实现我的目标的方法(有没有办法伪造经过认证的签名机构?等等)

如果这不可能,有没有办法为计算机上的所有帐户(已登录或未登录的帐户)注册证书。

谢谢,布赖恩

4

5 回答 5

2

我同意 Oli 的观点——对于这个价格来说,这是一个真正的便宜货。

除此之外,没有用户干预,网站无法自动安装证书。那会有点违背证书的全部目的,不是吗?;)

您可以制作各种命令行脚本来为用户导入证书,但无论如何都必须有人在该计算机上运行它们。

另一种方法是为您的用户提供指向安装证书的分步图解手册的链接。

于 2008-12-17T08:57:36.327 回答
2

通过网站安装 SSL 证书绝对是不可能的,这是一件好事。

如果您的 PC 是在域中构建的,那么您可能可以通过组策略来执行此操作,'不过。

于 2008-12-17T09:29:24.827 回答
1

在我看来,购买签名证书比编写脚本将证书添加到所有受信任的计算机(就花费时间而言)要便宜。

他们在 GoDaddy 上每年只需 30 美元……

于 2008-12-17T08:35:55.060 回答
1

如果您可以使用管理员帐户远程访问所有现场计算机 - 您可以在它们上安装证书。

除此之外 - IE 将始终警告未签名的证书,任何远程禁用它的方法都将是一个严重的安全漏洞。伪造经过认证的签名机构需要破解 RSA,这似乎是可能的,但需要花费大量时间(如几个世纪)。

所以:只有当您可以远程访问所有这些计算机时,您才能让 IE 停止抱怨您的证书。我相信所有可用的解决方案都需要更改配置(安装证书、引入一些可提供证书的受信任域控制器等)。

于 2008-12-17T09:23:46.633 回答
1

我听说过 certmgr.exe(但完全没有经验)

相关链接: http: //msdn.microsoft.com/de-de/library/e78byta0 (VS.80).aspx

它似乎是 .NET 3.5 软件开发工具包的一部分。在仅将 .NET 3.5 作为运行时的系统上,它不可用。

于 2009-04-21T14:12:12.953 回答