Instalar / aplicar el certificado de CA raíz automáticamente

¿Hay alguna forma de instalar / aplicar automáticamente una CA raíz a los clientes? ¿Para que no reciban ninguna advertencia de certificado no confiable cuando visitan un sitio web local?

Tengo un DNS local configurado y agregado a mi enrutador. ¿Puedo, si es posible, instalar la CA raíz en el enrutador y eso también afectaría a los clientes conectados?

¿Hay alguna forma de instalar / aplicar automáticamente una CA raíz a los clientes?

Sí, pero depende del cliente. Por ejemplo, puede instalar automáticamente (es decir, sin la confirmación del usuario final) los certificados de CA raíz en las máquinas de Microsoft Windows en su dominio con una política de grupo, pero Firefox no aceptará estos certificados, que utilizan su propio almacén de certificados.

Los protocolos de cifrado se basan en PKI (certificados) para establecer la confianza. La confianza se define por el propietario del cliente (un sistema operativo o un navegador).

Algunos clientes que están orientados a entornos corporativos permiten definir la confianza del propietario ( una compañía ) sin notificar a los usuarios finales.

Tengo un DNS local configurado y agregado a mi enrutador.

Los mecanismos para lo anterior son independientes del DNS.

SSL / TLS y otros protocolos que utilizan PKI en realidad están destinados a evitar que los propietarios de servidores DNS abusen de su poder al redirigir el tráfico de los usuarios de forma secreta.

¿Puedo, si es posible, instalar la CA raíz en el enrutador y eso también afectaría a los clientes conectados?

Afortunadamente no puedes. Si pudieras, toda la PKI no proporcionaría seguridad.