証明書がCA(GoDaddy、Verisignなど)からのものである場合、証明書をクライアントマシンにインストールする必要がありますか?
昇格された特権を必要とし、多数のクライアントサイトにインストールされるSilverLightアプリケーションがあります。また、各サイトでのインストールを最小限に抑えようとしています(各サイトでローカルにホストされているアプリケーションを使用して、サイトごとに数百の展開)。
レジストリの変更は、グループポリシーの更新を介して展開できると思います。
それでも証明書を展開する必要がある場合、主な目標がローカルサイトの管理を最小限に抑えることである場合、自己署名アプリケーションを介してCAからの証明書を持つことの価値はありますか?
はい。証明書がCAからのものである場合、証明書をクライアントマシンにインストールする必要があります。ただし、Microsoftはすでに多くのルート証明書をインストールしているだけでなく、ルート証明書の更新によってこのリストを最新の状態に保っています。ルート証明書のメンバーシップリストを参照してください
GoDaddyとVerisignは現在このリストに含まれていないため、最新のコンピューターでは追加の手順を実行する必要はありません。これは常に当てはまるわけではないため、一部のマシンでは引き続き必要になる場合があります。
とはいえ、Silverlightを昇格された特権モードで実行するには、ユーザーはインストール時にアプリケーションを「信頼する」ことをクリックするだけです。MSDNの信頼できるアプリケーションを参照してください
CAから署名を取得する時間をとることは、ボタンをクリックしたときにユーザーの少しの安心感を買うだけです。
彼らはこれを見るでしょう:
それ以外の:
目標がローカルサイトの管理を最小限に抑えることである場合、アプリケーションに署名するための証明書を取得するという問題を経験しても、その目標を達成できるとは思いません。ユーザーにセキュリティを提供するのに役立つだけですが、それは聞こえません。それが問題になるように。