有没有办法自动为客户端安装/应用根 CA?这样他们在访问本地网站时就不会收到任何不受信任的证书警告?
我已配置本地 DNS 并将其添加到路由器。如果可能的话,我是否可以在路由器中安装根 CA,这也会影响连接的客户端?
答案1
有没有办法可以自动为客户端安装/应用根 CA?
是的,但这取决于客户端。例如,您可以使用组策略自动(即无需最终用户确认)在域中的 Microsoft Windows 计算机上安装根 CA 证书,但使用自己的证书存储区的 Firefox 不会接受这些证书。
加密协议依靠 PKI(证书)来建立信任。信任的定义如下:主人客户端(操作系统或者浏览器)。
一些针对企业环境的客户端允许所有者定义信任(一家公司) 而不会通知最终用户。
我已配置本地 DNS 并将其添加到我的路由器。
上述机制与 DNS 是分开的。
SSL/TLS 和其他利用 PKI 的协议实际上是为了防止 DNS 服务器所有者通过秘密重定向用户流量来滥用其权力。
如果可能的话,我是否可以在路由器中安装根 CA,这也会影响连接的客户端?
幸运的是你不能。如果可以,整个 PKI 就无法提供安全性。