إضافة شهادة في موثوقة. أين هي الشهادات في أنظمة Windows

تثبيت الشهادات الموقعة ذاتيا مهمة شائعة جدا لمسؤول النظام. عادة ما يتم يدويا، ولكن إذا لم تكن هناك سيارات لعشرات السيارات؟ وكيف تكون عند إعادة تثبيت النظام أو شراء جهاز كمبيوتر جديد، لأن الشهادة قد لا تكون وحدها. اكتب راحة سرير؟ لماذا، عندما تكون هناك طريقة أبسط وسيلة مريحة - سياسات مجموعة ActiveDirectory. بمجرد تكوين السياسات، لا يمكنك القلق بشأن توفر مستخدمي الشهادات اللازمة.

سننظر اليوم إلى توزيع الشهادات على مثال شهادة الجذر Zimbra، والتي نصدرنا إليها. ستكون مهمتنا كما يلي - توزيع الشهادة تلقائيا لجميع أجهزة الكمبيوتر المدرجة في الوحدة (OU) - مكتب.وبعد هذا سيسمح بعدم إنشاء شهادة حيث لا تكون هناك حاجة إليها: في الشمال والمستودعات وأجهزة الكمبيوتر المحمولة النقدية، إلخ.

افتح المفاجئة وإنشاء سياسة جديدة في الحاوية كائنات نهج المجموعةللقيام بذلك، انقر فوق الحاوية باستخدام الزر الأيمن وحدد يخلقوبعد تتيح لك السياسة تثبيت كل من الشهادات واحدة والعديد من الشهادات في نفس الوقت، وكيفية القيام بذلك - نحلك، ونحن نفضل إنشاء سياستنا لكل شهادة، فإنه يتيح لك تغيير قواعد طلبهم بشكل أكثر مرونة. يجب عليك أيضا طرح سياسة اسم واضح من أجل فتح وحدة التحكم في ستة أشهر، لم يتعين عليك تذكرها بشكل مؤلم لما هو مطلوب.

بعد تلك السحب السياسات إلى الحاوية مكتب.هذا سوف يطبقها على هذه الوحدة.

الآن انقر على السياسة مع زر الماوس الأيمن واختر يتغيرونوبعد في سياسات المجموعة فتحت، نحن نتكشف باستمرار تكوين الكمبيوتر - تكوين ويندوز - معلمات الأمن - السياسات الرئيسية المفتوحة -. على الجانب الأيمن من النافذة في قائمة النقر بزر الماوس الأيمن، حدد يستورد واستيراد شهادة.

يتم إنشاء السياسة، والآن الوقت للتحقق من صحة تطبيقه. في التقط إدارة نهج المجموعة إختر نماذج نهج المجموعة وبدء النقر بزر الماوس الأيمن النمذجة الرئيسية.

يمكن ترك معظم المعلمات بشكل افتراضي، والشيء الوحيد لتحديد هو مستخدم وجهاز كمبيوتر تريد التحقق من السياسة.

عن طريق المحاكاة، يمكننا التأكد من أن السياسة يتم تطبيقها بنجاح على الكمبيوتر المحدد، وإلا فإننا نكشف عن العنصر رفض الكائنات ونحن ننظر إلى السبب وراء تحول السياسة إلى عدم التقليمية لهذا المستخدم أو الكمبيوتر.

بعد ذلك، تحقق من عمل السياسة على جهاز الكمبيوتر العميل، لأنني سأقوم بتحديث السياسات باليد مع الفريق:

gpupdate.

الآن افتح مخزن الشهادة. أسهل طريقة للقيام بذلك من خلال متصفح الانترنت.: خصائص المراقب - محتوى - الشهاداتوبعد يجب أن تكون شهادتنا موجودة في الحاوية مراكز شهادات الجذر الموثوق بها.

كما ترون - كل شيء يعمل وصداع واحد على المسؤول أصبح أقل، ستنشر الشهادة تلقائيا إلى جميع أجهزة الكمبيوتر الموضوعة في التقسيم مكتب.وبعد إذا لزم الأمر، يمكنك تحديد شروط أكثر تعقيدا لتطبيق السياسات، ولكنها بالفعل خارج نطاق هذه المادة.

مع مشكلة استحالة النشر الصحيح نظرا لحقيقة أنه على أجهزة الكمبيوتر المستهدفة مع نظام التشغيل OC، لم يتم تحديث مستودع شهادات مراكز الجذر الموثوق بها (فيما يلي، وسنقوم باستدعاء تخزين TrustEdrootca هذا). في ذلك الوقت، تمت إزالة السؤال عن طريق نشر الحزمة rootsupd.exe.بأسعار معقولة، ميسور، متناول اليد KB931125.مطلوب لنظام التشغيل ويندوز إكس بي.وبعد الآن، تتم إزالة هذا نظام التشغيل بالكامل من دعم Microsoft، وربما تكون مقالة KB هذه غير متوفرة على موقع Microsoft. إلى كل هذا، يمكنك إضافة شيء حتى في ذلك الوقت، لم يكن القرار مع نشر حزمة الشهادة القديمة بالفعل هو الأكثر الأمثلة، منذ ذلك الحين كانت هناك أنظمة مع نظام التشغيل ويندوز فيستا. و ويندوز 7.التي حضرت بالفعل آلية جديدة لتحديث التلقائي تخزين شهادة TrustEdrootca. فيما يلي أحد المقالات القديمة حول نظام التشغيل Windows Vista، واصفا بعض جوانب هذه الآلية -دعم الشهادة ونتيجة اتصال الإنترنت في نظام التشغيل Windows Vista . في الآونة الأخيرة، واجهت المشكلة الأصلية مرة أخرى من الحاجة إلى تحديث تخزين شهادة TrustEdrootca في كتلة معينة من أجهزة الكمبيوتر العميلة ويندوز. لا تملك كل هذه أجهزة الكمبيوتر الوصول المباشر إلى الإنترنت وبالتالي فإن آلية شهادات التحديث التلقائية لا تفي بمهمةها كما أرغب في ذلك. خيار مع فتح جميع أجهزة الكمبيوتر من الوصول المباشر إلى الإنترنت، واتركها حتى في بعض العناوين، تم اعتبارها في الأصل متطرفة، وكان البحث عن حل أكثر مقبولا قادني إلى المقالتكوين الجذور الموثوقة والشهادات غير المسموح بها (رو )، والتي أعطت على الفور إجابات على جميع أسئلتي. حسنا، بشكل عام، بناء على هذه المقالة، فإن هذه المذكرة التي سألخصها على مثال محدد، كيف يمكنني إعادة الاتصال مركزيا على أجهزة الكمبيوتر في نظام التشغيل Windows Vista وفوق هذا التحديث التلقائي لتخزين شهادة Trustedrootca المراد استخدامه كمورد ملفات ملفات مصدر أو الموقع في شبكة الشركات المحلية.

لتبدأ، ما يجب الاهتمام به هو أنه في سياسات المجموعة المطبقة على أجهزة الكمبيوتر، لا ينبغي أن تشارك المعلمة التي تحظر تشغيل آلية التحديث التلقائي. هذه هي المعلمة قم بإيقاف تشغيل تحديث شهادات الجذر التلقائي في الفصل تكوين الكمبيوتر. > قوالب إدارية. > نظام. > إدارة الاتصالات عبر الإنترنت. > إعدادات اتصال الإنترنتوبعد نحن بحاجة إلى هذه المعلمة ليكون تحولت قبالةأو سهلة لم تكوينها.

إذا نظرت إلى مخزن شهادات TrustEdrootca في القسم الكمبيوتر المحلي، على النظم التي لا تملك إمكانية الوصول المباشر إلى الإنترنت، ستكون مجموعة الشهادة صحيحة جدا

هذا الملف مناسب للاستخدام، على سبيل المثال، عندما تكون من مجموعة فرعية بأكملها من الشهادات المتاحة، تحتاج فقط إلى تحديد بعضها فقط وتفريغها إلى ملف SST منفصل لمزيد من التنزيل، على سبيل المثال، باستخدام وحدة التحكم في إدارة الشهادات المحلية أو باستخدام وحدة تحكم إدارة نهج المجموعة (للاستيراد والتي سياسة المجال من خلال المعلمة تكوين الكمبيوتر. > سياسات. > إعدادات ويندوز > اعدادات الامان > سياسات رئيسية العامة. > سلطات شهادة الجذر الموثوق بها).

ومع ذلك، بالنسبة لانتشار شهادات الجذر التي تهتم بها، باستخدام تعديل تشغيل آلية التحديث التلقائي على أجهزة الكمبيوتر العميلة النهائية، نحتاج إلى تمثيل مختلف قليلا من تعددية شهادات الجذر الموضعية. يمكنك الحصول عليه باستخدام نفس الأداة certutil.ولكن مع مجموعة أخرى من المفاتيح.

في مثالنا، سيتم استخدام مجلد شبكة مشترك على خادم الملفات كمصدر توزيع محلي. وهنا من المهم أن نفت الانتباه إلى حقيقة أنه عند إعداد مثل هذا المجلد، من الضروري الحد من الوصول إلى التسجيل بحيث لا يعمل حتى يتمكن أي شخص من تعديل مجموعة شهادات الجذر، والتي سيتم بعد ذلك "تسرب" من قبل العديد من أجهزة الكمبيوتر.

certutil. -Syncwithwu -f. \\\\ ملف خادم \\ مشاركة \\ rootcaupd \\ gpo-النشر \\

مفاتيح يستخدم -f -f للتحديث القسري لجميع الملفات في الدليل الوجهة.

نتيجة لتنفيذ الأمر في مجلد الشبكة المحدد من قبلنا، ستظهر مجموعة متنوعة من الملفات مع حجم إجمالي في أرضية ميغابايت:

وفقا للذكر سابقامقالات ، ملفات الوجهة كما يلي:

ملف authrootstl.cab. يحتوي على قوائم ثقة شهادة جهة خارجية؛
ملف disallowedcertstl.cab. يحتوي على قائمة شهادات الثقة بشهادات لا تصدق؛
ملف disallowedcert.stst. يحتوي على مستودع للشهادات المتسلسلة، بما في ذلك شهادات غير كذرية؛
الملفات مع أسماء النوع thumbprint.crt. تحتوي على شهادات جذر الطرف الثالث.

لذلك، يتم الحصول على الملفات اللازمة لتشغيل آلية التحديث التلقائي، ونذهب الآن إلى تنفيذ التغيير في مخطط عمل هذه الآلية ذاتها. لهذا، كما هو الحال دائما، يأتي سياسيون مجموعة النطاق لمساعدتنا الدليل النشط. (GPO.) على الرغم من أنه يمكنك استخدام أدوات الإدارة المركزية الأخرى، فإن كل ما نحتاج إلى القيام به على جميع أجهزة الكمبيوتر هو تغيير أو إضافة معلمة تسجيل واحدة فقط rootdirl. في فرع hklm \\ software \\ microsoft \\ systemcertificates \\ authroot \\ autoupdateوالتي ستحدد المسار إلى دليل الشبكة لدينا الذي سجلناه سابقا مجموعة من ملفات شهادة الجذر.

تحدث عن إعداد GPO، لتنفيذ المهمة، مرة أخرى، يمكنك استخدام خيارات مختلفة. على سبيل المثال، هناك خيار "قديم" مع إنشاء قالب نهج المجموعة، كما هو موضح في مألوف بالفعل لنامقالة - سلعة وبعد للقيام بذلك، قم بإنشاء ملف بتنسيق قالب GPO الإداري ( ADM.)، على سبيل المثال، اسمه Rootcupdatelocalpath.adm والمحتوى:

صف دراسي آلة آلة !! SystemCertificates KeyName " برنامج \\ Microsoft \\ SystemCercerificates \\ Authroot \\ autoupdate"السياسة !! جذر !! RootDirurl شرح! الجذور RootDirUrl_help الجزء! جذر التورتيرور Edittext ValueName" rootdirurl لاستخدام موقع التنزيل لملفات CTL. "SystemCerCerificates \u003d" إعدادات AutoPDate Windows "

انسخ هذا الملف إلى وحدة تحكم المجال في الدليل٪ SystemRoot٪ \\ INC (كقاعدة عامة، هذا هو C: \\ Windows \\ INF الدليل). بعد ذلك، ننتقل إلى محرر سياسات مجموعة المجال وإنشاء سياسة جديدة منفصلة، \u200b\u200bوفتحها على التحرير. في الفصل تكوين الكمبيوتر. > قوالب إدارية ... افتح قائمة السياق وحدد اتصال قالب السياسة الجديد. إضافة / إزالة القوالب

في النافذة التي تفتح، باستخدام زر المراجعة، حدد الملف المضافة سابقا. ٪ systemroot٪ \\ inf \\ rootcupdatelocalpath.admوبعد ظهور القالب في القائمة، انقر فوق يغلق.

بعد التمثيل بالنيابة في القسم إعدادات. > قوالب إدارية. > قوالب الإدارية الكلاسيكية. (ADM.) سوف تظهر المجموعة إعدادات التشغيل التلقائي ويندوزحيث المعلمة الوحيدة ستكون متاحة عنوان URL لاستخدامه لاستخدام Instad of Default CTLDL.windowsupdate.com

سنفتح هذه المعلمة وأدخل المسار إلى المورد المحلي الذي وضعناه ملفات التحديث التي تم تنزيلها مسبقا، في http: // server1 / المجلد أو الملف: /// \\\\ server1 \\ folder folder،
على سبيل المثال ملف: // \\/ \\\\ file-server \\ مشاركة \\ rootcaupd \\ gpo-النشر

نحفظ التغييرات التي تم إجراؤها وتطبيق السياسة التي تم إنشاؤها إلى حاوية المجال، حيث توجد أجهزة الكمبيوتر المستهدفة. ومع ذلك، فإن الطريقة التي كانت تعتبر الإعداد GPO لها عدد من أوجه القصور وهذا هو السبب في أنني اتصلت به "Sculnia القديم".

آخر، طريقة تكوين سجل العملاء أكثر حداثة وأكثر تقدما هي استخدام تفضيلات نهج المجموعة. (GPP.). مع هذا الخيار، يمكننا إنشاء كائن GPP مناسب في قسم "نهج المجموعة" تكوين الكمبيوتر. > التفضيلات. > التسجيل مع تحديث المعلمة ( عمل.: تحديث.) التسجيل rootdirl. (نوع القيمة REG_SZ.)

إذا لزم الأمر، يمكننا تمكين آلية تهدف مرنة لمعلمة GPP التي تم إنشاؤها (المرجعية مشترك. \u003e الخيار استهداف مستوى البند) إلى جهاز كمبيوتر معين أو مجموعة من أجهزة الكمبيوتر للاختبار المسبق الذي نواجهه مع سياسات المجموعة الأولى.

بالطبع، تحتاج إلى اختيار خيار واحد أو مع اتصال خاصة بك ADM.-SBlon أو استخدام. GPP..

بعد إعداد سياسات المجموعة على أي كمبيوتر عميل تجريبي، ستنفذ تحديث الأمر gpupdate / القوة إعادة التشغيل اللاحقة. بعد تحميل النظام، تحقق من وجود مفتاح تم إنشاؤه في السجل وحاول التحقق من تحديث مستودع شهادة الجذر. للتحقق، نستخدم مثال بسيط ولكنه فعال موضح في الشقالجذور الموثوقة والشهادات غير المسموح بها .

على سبيل المثال، دعونا نرى ما إذا كانت هناك شهادة جذرية في مستودع شهادة الكمبيوتر، المستخدمة لإصدار شهادة، والتي يتم تثبيتها على الموقع المسمى Buypass.no (ولكن لا تذهب إلى الموقع نفسه :)).

اجعل هذا الأكثر ملاءمة بمساعدة الأموال Powershell.:

Get-childitem cert: \\ localmachine \\ الجذر | حيث ($ _. صديق ودية "* buypass *")

مع احتمال كبير، لن يكون لدينا شهادة جذر هذه. إذا كان الأمر كذلك، فسوف أفتح متصفح الانترنت. والرجوع إلى عنوان URLhttps://buypass.no. وبعد وإذا كانت الآلية التي تم تكوينها من قبلنا تحديث شهادات الجذر تلقائيا بنجاح، في سجل أحداث Windows طلب مع هذا سيظهر الحدث مع المصدر ( مصدر) capi2.تشير إلى التنزيل الناجح لشهادة الجذر الجديدة:

اسم المجلة: التطبيق

جاء لي بطريقة أو بأخرى صديقا (seryoga مع antelecs.ru) مع سؤال عما إذا كان من الممكن تسريع / أتمتة العملية الروتينية لإضافة شهادات متعددة لمستودع مراكز شهادات الجذر الموثوق بها. بدا لي المهمة مثيرة للاهتمام ومناسبة حول موضوع الموقع، وبالتالي فإن القرار الذي اتخذته للنشر هنا. البرمجيات الحرة أقترح تنزيل Cybersoft!

بالطبع، سيكون من الممكن تجميد GPO أو أي شيء آخر مسؤول، ولكن لسبب ما كنت أعتقد الأول استخدام سبل الانتصاف في شكل RAR-Archiver ووظائفه لإنشاء الاستخراج الذاتي (SFX) أرشيف.

نجعل شهادات التثبيت التلقائي

سنحتاج إلى الأداة المساعدة Certmgr.exe من مجموعة Windows SDK. معلومات حول كيفية استخدامها - في هذه الصفحة.

في قائمة السياق، عند تحديد كافة الملفات، حدد الأمر "Add to Archive ...".

تشير إلى معلمات الأرشيف. يمكنك هنا تعيين اسم تعسفي للملف القابل للتنفيذ الإخراج، ومن الضروري أيضا وضع علامة على عنصر "إنشاء أرشيف SFX".

في علامة التبويب خيارات متقدمة، انقر فوق زر المعلمات "SFX ...".

في علامة التبويب عام، حدد المسار الخاص بتفريغ - يمكنك تحديد المجلد الحالي أو الدليل الفرعي.

الأكثر إثارة للاهتمام: في علامة التبويب "الإعداد"، حدد الأوامر التي يجب القيام بها بعد استخراج الملفات. سيكون الكتالوج الحالي هو الشخص الذي يتم فيه تفريغ الملفات. يبدو الأمر تثبيت الشهادة في التخزين مثل هذا:

certmgr.exe -Add -c "اسم الملف .cer" -s -l localmachine الجذر

حيث يعني localmachine تثبيت لجهاز كمبيوتر، والجذر هو اسم مستودع مراكز شهادات الجذر الموثوق بها.

لسهولة الاستخدام، يمكنك إخفاء جميع مربعات الحوار (وإلا فسيتم عرض مربع حوار اختيار الدليل لتفريغها، إلخ).

في علامة التبويب "تعليقات"، يتم عرض جميع الإجراءات التي يتم إجراؤها أثناء تفريغها. من حيث المبدأ، يمكنك إدخال النص يدويا وتنفيذ نفسه.

الفيديو على الموضوع

لفهم أفضل للعملية، سجلت فيديو صغير!

"المستخدمون الآخرون" - مستودع شهادات السيطرة على السلطات؛
"مراكز جذر الشهادات الموثوقة" و "مراكز الشهادات المؤقتة" - مستودع شهادة مركز الشهادات.

يتم تثبيت الشهادات الشخصية فقط باستخدام برنامج Crypt Pro.

لبدء وحدة التحكم، يجب إجراء الخطوات التالية.

1. حدد قائمة "بدء التشغيل"\u003e "تشغيل" (أو على لوحة المفاتيح في نفس الوقت اضغط على مفاتيح "Win + R").

2. حدد الأمر MMC وانقر فوق الزر "موافق".

3. حدد قائمة "ملف"\u003e "إضافة أو إزالة المعدات".

4. حدد من القائمة إلى المفاجئة "الشهادات" وانقر فوق الزر "إضافة".

5. في النافذة التي تفتح، قم بتعيين مفتاح "حساب المستخدم الخاص بي" وانقر فوق الزر "إنهاء".

6. حدد من القائمة الموجودة في الأدوات المضافة اليمنى وانقر فوق الزر "موافق".

تثبيت الشهادات

1. افتح المستودع المطلوب (على سبيل المثال، مراكز شهادات الجذر الموثوق بها). للقيام بذلك، تكشف "الشهادات - المعلومات الحالية"\u003e "مراكز الجذر الموثوق بها للشهادات"\u003e "شهادات".

2. حدد قائمة "الإجراء"\u003e "جميع المهام"\u003e "استيراد".

4. التالي، انقر فوق الزر "نظرة عامة" وحدد ملف الشهادة للحصول على الواردات (يمكن تنزيل شهادات الجذر من مركز الشهادات من موقع مركز الشهادات، وتقع شهادات السلطات السيطرة على موقع نظام الدائرة. خبرة ). بعد تحديد شهادة، يجب النقر فوق الزر "فتح"، ثم عن طريق الزر "التالي".

5. في النافذة التالية، يجب النقر فوق الزر "التالي" (يتم تحديد التخزين المطلوب تلقائيا).

6. اضغط على زر "إنهاء" لإكمال الاستيراد.

حذف الشهادات

لإزالة الشهادات باستخدام وحدة التحكم MMC (على سبيل المثال، من تخزين المستخدمين الآخرين)، يجب عليك القيام بما يلي:

افتح الفرع "الشهادات - المستخدم الحالي"\u003e المستخدمين الآخرين "\u003e" شهادات ". على الجانب الأيمن من النافذة، سيتم عرض جميع الشهادات المثبتة في مستودع "المستخدمين الآخرين". حدد الشهادة المطلوبة، انقر بزر الماوس الأيمن فوقها وحدد "حذف".

لتثبيت الشهادات، يجب عليك توصيل محرك أقراص فلاش USB مع EP، افتحه وتثبيت الشهادات.

1. لإنشاء شهادة مركز الشهادة الشهادة لمراكز الجذر الموثوق بها، لهذا تحتاج:

1.1. ماوس مزدوج انقر على شهادة رأس UZ - ملف "مركز التصديق".

1.2. في النموذج الذي يفتح، يجب عليك النقر فوق الزر "تثبيت شهادة ...".

1.3. حدد "ضع جميع الشهادات في التخزين التالي" (قم بتعيين العلامة قبل النقش) وانقر فوق الزر "نظرة عامة".

1.4. في القائمة التي تفتح، يجب عليك تحديد "مراكز جذر موثوقة من الشهادات" وانقر فوق الزر "موافق".

2. تثبيت شهادة شخصية

يتم إجراء تثبيت شهادة شخصية باستخدام برنامج CRYPTOPRO CPS
2.1. تحتاج إلى تشغيل برنامج CRYPTOPRO CSP (زر "ابدأ" -\u003e Crptopro CSP أو زر البدء -\u003e جميع البرامج -\u003e Crypto-Pro -\u003e CryptoPro CSP).

2.2. في النافذة التي تفتح، يجب عليك تحديد علامة التبويب "Service" وانقر فوق زر "تثبيت الشهادة الشخصية ...".

2.3. في النافذة التي تفتح، انقر فوق الزر "نظرة عامة"، حدد شهادة المؤسسة على محرك أقراص Flash - الملف الثاني مع امتداد "CER" (وليس ملف شهادة UC (في المثال - "Adicom.cer")) و انقر فوق {التالي".

2.4. في النموذج الذي يفتح، يجب عليك النقر فوق "التالي"

2.5. في النموذج الذي يفتح، يجب النقر فوق "البحث عن حاوية تلقائيا". نتيجة لذلك، سيتم ملء "اسم الحاوية الرئيسية" وانقر فوق "التالي"

2.6. في النموذج الذي يفتح، يجب عليك النقر فوق "التالي"

2.7. في النموذج الذي يفتح، يجب عليك النقر فوق "جاهز"

على المستخدم المحلي للمستخدم، يمكن توقيع كل ما تحتاجه لتوليد توقيع إلكتروني بواسطة النماذج المطبوعة.

3. تثبيت Cryptopro امتداد لمكونات متصفح Cades في المتصفح

لتثبيت ملحق متصفح (إضافات) امتداد Cryptopro لمكون إضافي لمتصفح Cades متاجر Stirling في المتصفح الخاص بك والبحث عن CADES بعد الملحقات / ل Yandex.Browser Link -

أيضا على الموضوع

كيفية الاستئناف من قبل مرسوم GIBDD بشأن الجرائم الإدارية موظفة شرطة المرور حميم وقح

كيفية كتابة شكوى حول دقة المسافة؟

نداء عقوبة إدارية

الممارسات القضائية في حادث (تسبب رئة أو ضرر معتدل لصحة الضحية) المادة 12 24 ساعة 1

ما هي عقوبة العبور المتأخرة