Як розгорнути внутрішній орган сертифікації?

IE7 агресивно попереджає про збій сертифікату; у нас є кілька внутрішніх сайтів, які працюють над HTTPS і тому потрібний дійсний сертифікат. У нас, як видається, в інтрамережі є орган сертифікації, який може підписувати сертифікати SSL, але у нас є проблема: як ми маємо конфігурувати настільні комп'ютери для довіри до внутрішнього CA?

Чи можливо розгорнути внутрішній сертифікат CA локально, через GPO?

Сертифікат може бути поширений груповою політикою.

Від: http://unixwiz.net/techtips/deploy-webcert-gp.html

У Редакторі об’єктів групової політики перейдіть до пункту: Конфігурація комп'ютера

• Налаштування Windows
• Параметри безпеки
• Політика відкритого ключа
• Довірені органи кореневої сертифікації
• Потім клацніть правою кнопкою миші та виберіть Імпорт.

У Debian є пакет pyca для запуску CA, однак для всього цього вам потрібно знати, як працює основна підтримка CA в OpenSSL.

Завжди є інструмент AD CA, однак я виявив, що він корисний лише для обмеженого використання, можливо, має основний ЦС, використовуючи більш спроможні інструменти на основі OpenSSL, а потім створити проміжну ЦА для речей Windows?