XP/Vistaを実行している50台までのマシンをすべて単一のWindows Server 2008ドメインで管理しています。私たちは、社内のCAでSSL証明書が署名されている多数のテストWebサーバーを内部で展開しています。
ユーザーがSSLの警告に混乱するのを防ぐために、各マシンにCAの証明書をインストールする必要があります。
IEおよびFirefoxのWindowsマシンに証明書を自動的にインストールする方法はありますか?
FirefoxやThunderbird [2]などのソフトウェアで使用される証明書データベースを管理できるNSSツール[1]のcertutil
を使用することをお勧めします:
certutil.exe -A -n <cert name> -t <trust> -i <cert filepath> -d <firefox/Thunderbird profile dirpath)
PsToolsのPsExec
またはAD /ログオンスクリプトと組み合わせる。どちらの方法でも、ソフトウェアがリモートホストで実行されていないときに実行する必要があります。
NSSツールのソースは https://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/ から取得できます(一部のWindowsバイナリはインターネット上にありますが、セキュリティが設定されています性質:自分でコンパイルすることをお勧めします)
[1]:ネットワークセキュリティサービス: https://developer.mozilla.org/docs/NSS/tools/NSS_Tools_certutil
[2]:彼らは、ファイルcert8.db
およびkey3.db
を含むNetscape Communicatorデータベースを使用しています。
FirefoxADM は、firefoxのCA証明書を展開するのに役立ちます。これの厄介な問題は、証明書データベース全体を配布することです。ユーザーが追加した証明書は上書きされます。
すべてのドメインコンピューターのFirefoxに証明書をインポートするには、次の手順を実行します。
cert8.db
_ C:\Users\user1\AppData\Roaming\Mozilla\Firefox\Profiles\8arq0r3k.default
_で見つけます_script.bat
_:
_Set FFProfdir=%Appdata%\mozilla\firefox\profiles
cd %FFProfdir%
DIR /A:D /B > "%Temp%\FFProfile.txt"
FOR /F "tokens=*" %%i in (%Temp%\FFProfile.txt) do (
CD /d "%FFProfDir%\%%i"
rename cert8.db cert8.db.orig
copy "\\server1\cert8.db"
)
DEL /f /q "%Temp%\FFProfile.txt"
_
このバッチは、cert8.dbを新しい証明書を含むものに置き換えます。ドメイングループポリシーを使用して、起動時にこのバッチを実行するComputer Configuration\Windows Settings\Scripts (Startup/Shutdown)
また、ユーザーのプロファイルディレクトリには、証明書の警告を上書きして例外を永続的に保存することを選択したときに入力されるcert_override.txtファイルがあります。心配する証明書が1つまたは2つしかない場合は、それを確認することをお勧めします。そうは言っても、私は1台のサーバーでのみ使用しており、ファイルに暗号化された文字列がいくつかあるので、マシン固有であることがわかるでしょう...