Есть ли способ автоматически установить / применить корневой ЦС к клиентам? Чтобы они не получали предупреждение о недоверенных сертификатах при посещении локального сайта?
Я настроил локальный DNS и добавил его в свой роутер. Могу ли я, если возможно, установить корневой CA в маршрутизаторе, что также повлияет на подключенных клиентов?
Есть ли способ автоматически установить / применить корневой ЦС к клиентам?
Да, но это зависит от клиента. Например, вы можете автоматически (т.е. без подтверждения конечного пользователя) установить сертификаты корневого ЦС на компьютерах Microsoft Windows в вашем домене с помощью групповой политики, но эти сертификаты не будут учитываться Firefox, который использует свое собственное хранилище сертификатов.
Протоколы шифрования полагаются на PKI (сертификаты) для установления доверия. Доверие определяется владельцем клиента (операционной системы или браузера).
Некоторые клиенты, ориентированные на корпоративную среду, позволяют определять доверие со стороны владельца (компании) без уведомления конечных пользователей.
Я настроил локальный DNS и добавил его в свой роутер.
Механизмы, описанные выше, отделены от DNS.
SSL/TLS и другие протоколы, использующие PKI, фактически предназначены для предотвращения злоупотребления своей властью владельцами DNS-серверов путем тайного перенаправления трафика пользователей.
Могу ли я, если возможно, установить корневой CA в маршрутизаторе, что также повлияет на подключенных клиентов?
К счастью, вы не можете. Если бы вы могли, вся PKI не обеспечила бы безопасность.
