就个人而言，我会从一个由已知且受信任的 CA 为一个域签名的 低成本或免费SSL 证书开始。

然后在他们的浏览器信任的那个 https 站点（并且他们可以识别为您组织的一个特定子域），给他们一个 https 链接以下载您的 CA 证书，并说明如何在所有各种浏览器中加载您的 CA 证书/他们可能会使用的操作系统。

例如，Firefox：http ://www.cyberciti.biz/faq/firefox-adding-trusted-ca/或在 google-chrome 中：导航到 chrome://chrome/settings/certificates

Internet Explorer 使用操作系统提供的设施；即，IE 将信任的“根 CA”是Windows将信任的根 CA，它们位于“根”证书存储区中。有关详细信息，请参阅此页面。

Firefox 有自己的存储机制，不管主机操作系统能做什么。有关详细信息，请参见例如此页面。

MacOS X 上的 Safari 依赖于操作系统提供的内容，它被称为“KeyChain”。参见例如这个页面。

Chrome 倾向于使用本地操作系统提供的任何机制（Windows 上的 Root 存储，MacOS X 上的 KeyChain ......）。众所周知，这会根据版本而变化，因此很难保持最新状态。

这个网页试图跟踪如何在各种应用程序和操作系统中安装根证书，但它似乎有点旧，而且看起来没有积极维护。

注意：根 CA 是信任锚：机器信任的一切都来自这些根 CA。因此，它们是非常有价值的目标；攻击者只是希望能够将他们自己的根 CA 插入到许多用户系统的信任库中。相应地，培训您的用户将根 CA 添加到他们的商店并不是一个好主意。成功的人将证明他们容易受到根 CA 安装建议的影响......

既然您声明您的用户不在您的内部网络上，那么我必须推断他们在整个“互联网”上，并且您的 SSL 服务器可以在“公共”名称下访问（即使用存在于全球域名中的域系统）。因此，您可以使用来自常规 C​​A 的证书。有些是免费的。这将为您节省很多精力，因为这样的 CA已经在每个人的信任库中都有自己的根 CA。像往常一样，最容易安装的系统是已经安装的系统。

如果您正在寻找一种低成本和低复杂性的解决方案，那么如何从真正的证书颁发者（例如 Godaddy）那里获得一个通配符证书，该证书已经被您的所有客户端浏览器信任。只要您的所有主机名都在同一个域上，这应该适合您。只要它们在同一个域中（例如 host1.myorg.com、host2.myorg.com、host3.myorg.com 等），您就可以将它用作任意数量的主机的证书。

像@Thomas Pomin 一样，如果您要求浏览器信任由您自己的 CA 签名的证书，我会提醒您要非常小心 - 特别是如果它们不属于您的内部网络。如果您对谁可以访问 CA 和创建证书的范围不是很小心，那么这可能会很快消失。（如果您想了解最近发布受信任证书可能出现什么问题的示例，请使用 Google turktrust。）

好的，正如您所说，它取决于浏览器或操作系统，如果尝试在浏览器中加载证书，有些人会询问用户是否要安装证书，而其他人则必须完全手动完成。一个只需要根证书。

您可以考虑的另一种选择是获得由另一个已受信任的 CA 签名的 CA 证书，但这可能超出您的价格范围。