Как развернуть внутренний центр сертификации?

IE7 настойчиво предупреждает о сбое сертификата; у нас есть несколько внутренних сайтов, которые работают по протоколу HTTPS и поэтому нуждаются в действительном сертификате. Похоже, у нас есть центр сертификации в интрасети, который может подписывать SSL-сертификаты, но у нас есть проблема: как нам массово настроить настольные компьютеры для доверия внутреннему ЦС?

Можно ли развернуть внутренний сертификат CA локально, через GPO?

Сертификат может распространяться групповой политикой.

От: http://unixwiz.net/techtips/deploy-webcert-gp.html

В редакторе объектов групповой политики перейдите к: Конфигурация компьютера

• Настройки Windows
• Настройки безопасности
• Политика открытых ключей
• доверенные корневые центры сертификации
• Затем щелкните правой кнопкой мыши и выберите «Импорт».

В Debian есть пакет pyca для запуска CA, однако для всего этого вам нужно знать, как работает базовая поддержка CA в OpenSSL.

Всегда есть инструмент AD CA, однако я обнаружил, что он подходит только для ограниченного использования, может быть, иметь основной CA, использующий более мощные инструменты на основе OpenSSL, а затем создать временный CA для Windows?