Comment déployer une autorité de certification interne?

IE7 met en garde de manière agressive contre l'échec du certificat; nous avons des sites internes qui fonctionnent sur HTTPS et ont donc besoin d'un certificat valide. Nous semblons avoir une autorité de certification sur l'intranet qui peut signer des certificats SSL, mais nous avons un problème: comment configurer en masse les bureaux pour faire confiance à l'autorité de certification interne?

Est-il possible de déployer le certificat CA interne localement, via GPO?

Le certificat peut être distribué par stratégie de groupe.

De: http://unixwiz.net/techtips/deploy-webcert-gp.html

Dans l'Éditeur d'objets de stratégie de groupe, accédez à: Configuration ordinateur

• Paramètres Windows
• Les paramètres de sécurité
• Stratégies de clé publique
• Autorités de certification racine de confiance
• Cliquez ensuite avec le bouton droit et sélectionnez Importer.

Sur Debian, il y a le paquet pyca pour exécuter une autorité de certification, mais pour tout cela, vous avez essentiellement besoin de savoir comment fonctionne le support de CA sous-jacent d'OpenSSL.

Il y a toujours l'outil AD CA, mais j'ai trouvé qu'il n'est bon que pour des utilisations limitées, peut-être avoir une autorité de certification principale utilisant les outils basés sur OpenSSL les plus performants, puis créer une autorité de certification intermédiaire pour les trucs Windows?