複数のWindowsマシン(IE / Firefox)へのCA証明書のインストール
XP/Vistaを実行している50台までのマシンをすべて単一のWindows Server 2008ドメインで管理しています。私たちは、社内のCAでSSL証明書が署名されている多数のテストWebサーバーを内部で展開しています。
ユーザーがSSLの警告に混乱するのを防ぐために、各マシンにCAの証明書をインストールする必要があります。
IEおよびFirefoxのWindowsマシンに証明書を自動的にインストールする方法はありますか?
FirefoxやThunderbird [2]などのソフトウェアで使用される証明書データベースを管理できるNSSツール[1]のcertutilを使用することをお勧めします:
certutil.exe -A -n <cert name> -t <trust> -i <cert filepath> -d <firefox/Thunderbird profile dirpath)
PsToolsのPsExec またはAD /ログオンスクリプトと組み合わせる。どちらの方法でも、ソフトウェアがリモートホストで実行されていないときに実行する必要があります。
NSSツールのソースは https://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/ から取得できます(一部のWindowsバイナリはインターネット上にありますが、セキュリティが設定されています性質:自分でコンパイルすることをお勧めします)
[1]:ネットワークセキュリティサービス: https://developer.mozilla.org/docs/NSS/tools/NSS_Tools_certutil
[2]:彼らは、ファイルcert8.dbおよびkey3.dbを含むNetscape Communicatorデータベースを使用しています。
FirefoxADM は、firefoxのCA証明書を展開するのに役立ちます。これの厄介な問題は、証明書データベース全体を配布することです。ユーザーが追加した証明書は上書きされます。
すべてのドメインコンピューターのFirefoxに証明書をインポートするには、次の手順を実行します。
- sSL証明書を任意のコンピューターのFirefoxブラウザーに手動でインポートする
- 次に、Firefox証明書データベースをコピーします_
cert8.db_- パス_
C:\Users\user1\AppData\Roaming\Mozilla\Firefox\Profiles\8arq0r3k.default_で見つけます
- パス_
- cert dbをネットワーク共有場所にコピーします
- 以下をバッチファイルに保存します(共有パスを変更します)。
_script.bat_:
_Set FFProfdir=%Appdata%\mozilla\firefox\profiles
cd %FFProfdir%
DIR /A:D /B > "%Temp%\FFProfile.txt"
FOR /F "tokens=*" %%i in (%Temp%\FFProfile.txt) do (
CD /d "%FFProfDir%\%%i"
rename cert8.db cert8.db.orig
copy "\\server1\cert8.db"
)
DEL /f /q "%Temp%\FFProfile.txt"
_このバッチは、cert8.dbを新しい証明書を含むものに置き換えます。ドメイングループポリシーを使用して、起動時にこのバッチを実行するComputer Configuration\Windows Settings\Scripts (Startup/Shutdown)
また、ユーザーのプロファイルディレクトリには、証明書の警告を上書きして例外を永続的に保存することを選択したときに入力されるcert_override.txtファイルがあります。心配する証明書が1つまたは2つしかない場合は、それを確認することをお勧めします。そうは言っても、私は1台のサーバーでのみ使用しており、ファイルに暗号化された文字列がいくつかあるので、マシン固有であることがわかるでしょう...