代码之家 › 专栏 › 技术社区 › HalfBrian

在没有用户交互的情况下向IE添加SSL证书

certificate automation ssl internet-explorer

HalfBrian · 技术社区 · 16 年前

不久前,我使用Apache和php/mysql在我的域服务器上建立了我公司的本地(非Internet)客户机数据库。

我最近决定将其设置为使用SSL连接,而不是标准HTTP连接。(我知道,我从一开始就应该有,但那是另一回事)。

我已经成功地设置了我的服务器和证书,但是由于我很便宜,而且没有支付“认证”的SSL签名者的费用,所以我会弹出一个关于无效证书的恼人对话框。我已经知道如何在一台计算机上添加证书(请参见: http://www.99main.com/webmail-ssl-ie.shtml 但是我有大约10台电脑,不想为每个用户安装(我一年只在网站上安装6-7次,通常不在营业时间,所以我不能指导每个用户)。

所以,我想知道的是如何做到这一点,这样IE就不会弹出一个对话框,说我的证书没有经过可靠的权威机构签署,而不需要访问(物理上)每台计算机。我觉得最有希望的方式是使用命令行脚本或注册黑客导入证书。当然,我欢迎任何其他方法来实现我的目标(有没有一种方法可以伪造一个经过认证的签名机构?等等)

如果这是不可能的,有没有办法为计算机上的所有帐户(那些已登录或未登录的帐户)注册证书。

谢谢, 布瑞恩

5 回复 | 直到 15 年前

Joachim Sauer 16 年前

通过网站安装SSL证书绝对是不可能的,这是一件好事。

如果你的个人电脑是在一个域中构建的,那么你可以通过一个组策略来实现这一点。

Vilx- 16 年前

我同意奥利的观点——因为这个价格真的很便宜。

除此之外,在没有用户干预的情况下,网站无法自动安装证书。那会有点破坏证书颁发者的全部目的,不是吗?;)

您可以制作各种各样的命令行脚本,这些脚本将为用户导入证书,但无论如何,必须有人在该计算机上运行它们。

另一种选择是为您的用户提供一个链接,指向安装证书的逐步说明手册。

Oli 16 年前

在我看来,购买一个签名的证书要比编写一些脚本来将证书添加到所有受信任的计算机上(就花费在这方面的时间而言)便宜得多。

他们在哥达迪的年收入只有区区30美元…

Abgan 16 年前

如果您拥有对所有现场计算机的远程访问权限,使用管理员帐户-您可以在这些计算机上安装证书。

除此之外-ie将始终警告未签名的证书,任何远程禁用它的方法都是 冗长的 安全漏洞。伪造一个认证的签名机构需要黑客RSA,这似乎是可能的,但需要花费很多时间(比如几个世纪)。

所以:只有你能远程访问所有这些计算机,你才能让IE停止抱怨你的证书。我相信所有可用的解决方案都需要更改配置(安装证书、引入一些可提供证书的受信任域控制器等)。

Andorus 15 年前

我听说过certmgr.exe(但完全没有经验)

它似乎是.NET 3.5的软件开发工具包的一部分。在我的.NET 3.5仅作为运行时的系统上,它不可用。