자체 서명 인증서 설치 시스템 관리자에게 매우 일반적인 작업입니다. 일반적으로 그것은 수동으로 수행되지만 12 대의 자동차를위한 자동차가없는 경우가 있습니까? 인증서가 혼자 있지 않을 수 있으므로 시스템을 다시 설치하거나 새 PC를 구입할 때 어떻게 해야하는지. 유아용 침대 레크리에이션을 쓰십시오. 왜, 훨씬 간단하고 편리한 방법이있는 경우 - ActiveDirectory Group Policy. 정책을 구성하면 더 이상 필요한 인증서의 사용자 가용성에 대해 걱정할 수 없습니다.
오늘 우리는 우리가 수출 한 루트 인증서 Zimbra의 예에서 인증서의 배포를 살펴볼 것입니다. 우리의 작업은 다음과 같습니다. 자동으로 장치 (OU)에 포함 된 모든 컴퓨터에 대한 인증서를 자동으로 배포합니다. 사무실....에 이렇게하면 북쪽, 창고 및 현금 데스크톱 등에서 필요하지 않은 인증서를 설정할 수 없습니다.
컨테이너에서 스냅을 열고 새 정책을 만듭니다. 그룹 정책 개체이렇게하려면 오른쪽 버튼으로 컨테이너를 클릭하고 선택하십시오. 창조하다...에 정책을 사용하면 동시에 하나의 인증서를 모두 설치할 수 있습니다. 어떻게 해결할 수 있습니다 - 각 인증서에 대한 정책을 만드는 것이 좋습니다. 응용 프로그램의 규칙을 더욱 유연하게 변경할 수 있습니다. 또한 6 개월 만에 콘솔을 열기 위해 명확한 이름의 정책을 물어봐야합니다.
그 후에 컨테이너에 대한 정책을 드래그합니다 사무실.이 장치에 적용됩니다.
이제 마우스 오른쪽 버튼으로 정책을 클릭하고 선택하십시오. 변화...에 그룹 정책에서 열리면 우리는 일관되게 펼쳐집니다 컴퓨터 구성 - Windows 구성 - 보안 매개 변수 - 열린 키 정책 -. 오른쪽 클릭 메뉴의 창 오른쪽에서 선택을 선택하십시오. 수입 인증서를 가져 오십시오.
이 정책은 이제 응용 프로그램의 정확성을 확인하는 시간이 생성됩니다. 스냅에서 그룹 정책 관리 고르다 그룹 정책 모델링 마우스 오른쪽 버튼을 클릭하십시오 마스터 모델링.
대부분의 매개 변수는 기본적으로 남을 수 있으며, 지정해야 할 유일한 것은 정책을 검사 할 사용자 및 컴퓨터입니다.
시뮬레이션을 통해 정책이 지정된 컴퓨터에 성공적으로 적용되는지 확인할 수 있습니다. 그렇지 않으면 항목을 공개합니다. 거부 된 물건 우리는 정치 가이 사용자 또는 컴퓨터에 적용 할 수없는 것으로 밝혀 졌는 이유를 살펴 봅니다.
그런 다음 클라이언트 PC에서 정책 작업을 확인하십시오.이 경우 팀과 함께 정책을 업데이트합니다.
gpupdate.
이제 인증서 저장소를 엽니 다. 그것을 통해 가장 쉬운 방법 인터넷 익스플로러.: 관찰자의 속성 - 함유량 - 인증서...에 인증서는 컨테이너에 있어야합니다 신뢰할 수있는 루트 인증 센터.
볼 수 있듯이 관리자의 모든 것이 작동하고 하나의 두통이 적어졌습니다. 인증서는 자동으로 부서에 배치 된 모든 컴퓨터로 확산됩니다. 사무실....에 필요한 경우 정책 적용을 위해 더 복잡한 조건을 설정할 수 있지만이 기사의 범위를 초과하는 것이 이미 있습니다.
OC Windows를 사용하는 대상 컴퓨터에서 Trusted Root Center의 인증서 저장소가 업데이트되지 않기 때문에 올바른 배포의 불가능한 문제로 인해 업데이트되지 않습니다. 그 당시에는 패키지를 배치하여 질문이 제거되었습니다. rootsupd.exe.저렴한 KB931125.OS에 요청했습니다 윈도우 XP....에 이제이 OS는 Microsoft 지원에서 완전히 제거 되었으므로이 KB 기사가 Microsoft 웹 사이트에서 더 많은 것을 사용할 수 없습니다. 이 모든 것에서도 해당 시간에도 이미 쓸모없는 인증서 패키지의 배포로 결정이 가장 최적이 아니 었습니다. 이후 OS가있는 시스템이있었습니다. Windows Vista. 과 윈도우 7.이것은 이미 TrustedRootCA 인증서 저장소를 자동 업데이트하기위한 새로운 메커니즘에 참여했습니다. 다음은 Windows Vista에 대한 오래된 기사 중 하나입니다. 그러한 메커니즘의 몇 가지 측면을 설명합니다.인증서 지원 및 결과 인터넷 통신 Windows Vista . 최근에는 Windows 클라이언트 컴퓨터 및 서버의 특정 질량에서 TrustedRootca 인증서 저장소를 업데이트 할 필요성의 원래 문제가 다시 발생했습니다. 이러한 모든 컴퓨터는 인터넷에 직접 액세스 할 수 없으므로 자동 업데이트 인증서의 메커니즘은 내가 원하는대로 작업을 수행하지 않습니다. 직접 인터넷 접속의 모든 컴퓨터가 열리면 특정 주소에서도 원래 극단적 인 것으로 간주되며,보다 받아 들일 수있는 해결책을 검색하는 것은 기사로 이끌었습니다.신뢰할 수있는 루트와 허용되지 않은 인증서를 구성합니다 (RU. ), 즉시 모든 질문에 대한 답변을 제시했습니다. 글쎄, 일반적 으로이 기사에서는 특정 예제에 대해 요약 할 것입니다. Windows Vista 컴퓨터에서 중앙에서 다시 연결할 수 있고 TrustedRootCA 인증서 저장소의 가장 자동 업데이트를 원본 업데이트 파일 리소스로 사용할 수 있습니다. 지역 회사 네트워크에서 웹 사이트.시작하려면, 어떤주의를 기울이는 것은 컴퓨터에 적용되는 그룹 정책에서 자동 업데이트 메커니즘의 작동을 차단하는 파라미터가 관련되어서는 안된다는 것입니다. 이것은 매개 변수입니다 자동 루트 인증서 업데이트를 끕니다 장에서 컴퓨터 구성. > 관리 템플릿. > 체계. > 인터넷 통신 관리. > 인터넷 통신 설정...에 우리는이 매개 변수가 필요합니다 꺼져또는 쉬운 구성되지 않았습니다.
섹션의 TrustedRootca 인증서 저장소를 보면 로컬 컴퓨터, 직접 인터넷에 연결되지 않은 시스템에서는 인증서 세트가 옳을 것입니다.
이 파일은 예를 들어 사용 가능한 인증서 전체 하위 집합에서 사용 가능한 경우에만 사용하는 것이 편리합니다. 예를 들어 로컬 인증서 관리 콘솔을 사용하여 추가 다운로드를 위해 별도의 SST 파일로만 선택하고 언로드 할 필요가 있습니다. 그룹 정책 관리 콘솔 사용 (매개 변수를 통한 도메인 정책을 통해 가져 오기) 컴퓨터 구성. > 정책. > Windows 설정 > 보안 설정 > 공개 키 정책. > 신뢰할 수있는 인증 기관).
그러나 최종 클라이언트 컴퓨터에서 자동 업데이트 메커니즘의 작동 수정을 사용하여 관심있는 루트 인증서의 전파를 위해 복수의 주제 루트 인증서의 약간 다른 표현이 필요합니다. 동일한 유틸리티를 사용하여 가져올 수 있습니다 Certutil.그러나 다른 키 세트가 있습니다.
이 예에서 파일 서버의 공유 네트워크 폴더가 로컬 배포 소스로 사용됩니다. 그리고 여기서 폴더를 준비 할 때 레코드에 대한 액세스를 제한하여 누구나 루트 인증서 세트를 수정할 수 있도록 해당 레코드에 대한 액세스를 제한해야합니다. 많은 컴퓨터에 의해
Certutil. -syncwithwu -f -f. \\\\ file-server \\ share \\ rootcaupd \\ gpo-deployment \\키 -f -f는 대상 디렉토리의 모든 파일의 강제 업데이트에 사용됩니다.
우리가 지정한 네트워크 폴더에서 명령을 실행 한 결과, 다양한 파일이 메가 바이트 바닥에 총 볼륨이 나타납니다.
앞서 언급 한 것에 따라
조항 , 대상 파일 다음과 같이 :- 파일 authrootstl.cab. 타사 인증서 신뢰 목록을 포함합니다.
- 파일 disallowedcertstl.cab. 믿을 수없는 인증서가있는 신뢰 인증서 목록이 포함되어 있습니다.
- 파일 disallowedcert.sst. Untruth 인증서를 포함하여 직렬화 된 인증서 저장소가 포함되어 있습니다.
- 이름이있는 파일 thumbprint.crt. 제 3 자 루트 인증서를 포함합니다.
따라서 자동 업데이트 메커니즘의 작동에 필요한 파일이 얻어졌으며 이제는이 바로이 메커니즘의 작업 계획의 변화를 구현합니다. 이를 위해 언제나처럼 도메인 그룹 정치인이 우리를 도울 수있게되었습니다. Active Directory. (GPO.) 다른 모든 중앙 관리 도구를 사용할 수 있지만 모든 컴퓨터에서 수행 해야하는 모든 것이 변경되거나 오히려 하나의 레지스트리 매개 변수를 변경하는 것입니다. 루트 디르 지점에서 HKLM \\ Software \\ Microsoft \\ SystemCertificates \\ AuthRoot \\ AutoUpdate우리가 이전에 루트 인증서 파일 세트를 게시 한 네트워크 디렉토리의 경로를 결정합니다.
GPO 설정에 대해 말하면 작업을 구현하려면 다른 옵션을 사용할 수 있습니다. 예를 들어, 그룹 정책 템플릿을 생성하는 "이전 스케일"옵션이 이미 익숙한 것에 설명되어 있습니다.
조 ...에 이렇게하려면 GPO 관리 템플릿 형식으로 파일을 만듭니다 ( adm.), 예를 들어 rootcupdatelocalpath.adm 및 내용이라는 이름으로 지정된 것입니다. 수업 기계 카테고리 !! SystemCertificates KeyName " 소프트웨어 \\ Microsoft \\ SystemCertificates \\ Authroot \\ AutoUpdate."정책 !! RootDirurl Explain! rootdirurl_help part !! rootdirurl edittext valueName"rootdirurl "끝 부분 종료 정책 rootdirurl \u003d"기본 ctldl.windowsupdate.com 대신 사용할 URL 주소 "rootdirurl_help \u003d"파일 또는 http URL 입력 CTL 파일의 다운로드 위치로 사용합니다. "SystemCertificates \u003d"Windows 자동 관리 설정 "이 파일을 % systemroot % \\ INF 디렉토리의 도메인 컨트롤러로 복사하십시오 (규칙으로, 이것은 C : \\ WINDOWS \\ INF 디렉토리입니다). 그 후, 도메인 그룹 정책의 편집기로 돌아가서 별도의 새 정책을 만들어 편집 할 때 열립니다. 장에서 컴퓨터 구성. > 관리 템플릿 ... 컨텍스트 메뉴를 열고 새 정책 템플릿 연결을 선택하십시오. 템플릿 추가 / 제거
열리는 창에서 검토 단추를 사용하여 이전에 추가 된 파일을 선택하십시오. % systemroot % \\ inf \\ rootcupdatelocalpath.adm.목록에 템플릿이 나타나면 클릭하십시오. 닫기.
섹션에서 연기 한 후에 구성. > 관리 템플릿. > 클래식 관리 템플릿. (adm.) 그룹이 나타납니다 Windows 자동 업데이트 설정유일한 매개 변수가 사용할 수 있습니다 기본 CTLDL.WINDOWSUPDATE 닷컴의 instad를 사용하는 URL 주소
우리는이 매개 변수를 열고 이전에 다운로드 한 업데이트 파일을 http : // server1 / 폴더 또는 file : /////// //// \\ server1 \\ 폴더 형식으로 배치 한 로컬 리소스의 경로를 입력합니다.
예를 들어 파일 : // \\\\ file-server \\ share \\ rootcaupd \\ gpo-deployment
변경 사항을 저장하고 생성 된 정책을 대상 컴퓨터가있는 도메인 컨테이너에 적용합니다. 그러나 설정 GPO의 고려 된 방법은 여러 가지 단점을 가지고 있으며 그 이유는 "Old-Sculnia"라고 불렀습니다.
또 다른 현대적이고 고급 고객 레지스트리 구성 방법은 사용하는 것입니다. 그룹 정책 환경 설정. (GPP.짐마자 이 옵션을 사용하면 그룹 정책 섹션에서 적절한 GPP 오브젝트를 만들 수 있습니다. 컴퓨터 구성. > 환경 설정. > 기재 매개 변수의 업데이트로 ( 동작.: 최신 정보.) 레지스트리 루트 디르 (가치 유형 reg_sz.)
필요한 경우 생성 된 GPP 매개 변수에 대한 유연한 조준 메커니즘을 활성화 할 수 있습니다 (북마크 흔한. \u003e 옵션 항목 수준 타겟팅) 특정 컴퓨터 또는 사전 테스트를위한 컴퓨터 그룹 또는 첫 번째 그룹 정책으로 끝나는 컴퓨터 그룹.
물론 하나의 옵션을 선택하거나 자신의 연결을 선택해야합니다. adm.-sblon 또는 사용 GPP..
모든 실험 클라이언트 컴퓨터에서 그룹 정책을 설정 한 후 명령 업데이트를 실행합니다. gpupdate / 힘 후속 재부팅. 시스템을로드 한 후 레지스트리에서 생성 된 키가 있음을 확인하고 루트 인증서 저장소를 업데이트하는 것을 확인하십시오. 확인하려면 노치에 설명 된 간단하지만 유효한 예제를 사용합니다.
신뢰할 수있는 뿌리와 허용되지 않은 인증서 .예를 들어, 컴퓨터 인증서 저장소에 루트 인증서가 있는지 확인해 봅시다. Buypass.no라는 사이트에 설치된 인증서를 발행하는 데 사용됩니다 (사이트 자체로 이동하지 마십시오.).
자금의 도움으로 가장 편리하게 만드십시오 Powershell.:
Get-ChildItem Cert : \\ localmachine \\ root | 여기서 ($ _ .friendlyname-like "* buypass *")큰 확률로 우리는 그러한 뿌리 인증서를 가지고 있지 않습니다. 그렇다면 나는 열릴 것입니다 인터넷 익스플로러. URL을 참조하십시오https://buypass.no. ...에 그리고 우리가 자동으로 구성한 메커니즘이 자동으로 루트 인증서를 업데이트하는 경우 Windows 이벤트 로그에서 신청 이와 함께 소스가있는 이벤트가 나타납니다 ( 출처) capi2.새 루트 인증서의 성공적인 다운로드를 나타내는 것 :
저널 이름 : 응용 프로그램어쨌든 신뢰할 수있는 루트 인증 센터의 저장소에 여러 인증서를 추가하기위한 일상적인 프로세스를 속도를 높이거나 자동화 할 수 있는지 여부에 관계없이 나에게 왔습니다. 그 일은 저에게 재미 있고 사이트의 주제에 적합한 것처럼 보였으므로 내가 여기서 게시하는 데 사용하는 결정. 무료 소프트웨어 CyberFOT 다운로드를 제안합니다!
물론 GPO 또는 else 관리자와 동결할 수 있지만, 어떤 이유로 나는 Rar-Archiver의 형태로 구제 수단을 사용하고 자체 추출 (SFX)을 만드는 기능을 처음으로 사용하려는 첫 번째 생각이었습니다. 아카이브.
우리는 자동 설치 인증서를 만듭니다
Windows SDK 세트에서 certmgr.exe 유틸리티가 필요합니다. 사용 방법에 대한 정보 -이 페이지에 있습니다.
컨텍스트 메뉴에서 모든 파일을 선택할 때 "Addive to Add to Add to Und"명령을 선택하십시오.
아카이브 매개 변수를 나타냅니다. 여기서 출력 실행 파일의 임의의 이름을 설정할 수 있으며 "SFX 아카이브 만들기"항목을 표시해야합니다.
고급 탭에서 "sfx ..."매개 변수 버튼을 클릭하십시오.
일반 탭에서 포장 풀기 경로를 지정하십시오. 현재 폴더 또는 하위 디렉토리를 지정할 수 있습니다.
가장 흥미로운 : "설정"탭에서 파일 추출 후 수행 할 명령을 지정하십시오. 현재 카탈로그는 파일이 압축 해제 된 것입니다. 저장소에 인증서를 설치하는 명령은 다음과 같습니다.
certmgr.exe - add -c "file name.cer"-s -l localmachine 루트
여기서 localmachine은 컴퓨터에 대한 설치를 의미하며 루트는 신뢰할 수있는 루트 인증 센터의 저장소의 이름입니다.
사용의 용이성을 위해 모든 대화 상자를 숨길 수 있습니다 (그렇지 않으면 디렉토리 선택 대화 상자가 풀기 위해 표시됩니다).
주석 탭에서 포장을 찍는 동안 수행 된 모든 작업이 표시됩니다. 원칙적으로 텍스트를 수동으로 입력하고 동일하게 실행할 수 있습니다.
주제에 대한 비디오
그 과정을 더 잘 이해하기 위해 나는 작은 비디오를 기록했다!
- "다른 사용자"- 당국의 통제 인증서 저장소;
- "신뢰할 수있는 인증 루트 센터"및 "임시 인증 센터"- 인증 센터 인증서 창고.
개인 인증서를 설치하면 Crypt Pro 프로그램 만 사용됩니다.
콘솔을 시작하려면 다음 단계를 수행해야합니다.
1. "시작"\u003e "실행"메뉴 (또는 동시에 키보드에서 "Win + R"키를 누르십시오)를 선택하십시오.
2. mmc 명령을 지정하고 "확인"버튼을 클릭하십시오.
3. "파일"\u003e "장비 추가 또는 제거"메뉴를 선택하십시오.
4. 목록에서 "인증서"를 스냅하고 추가 버튼을 클릭하십시오.
5. 열리는 창에서 "내 사용자 계정"스위치를 설정하고 "마침"버튼을 클릭하십시오.
6. 오른쪽 추가 툴링의 목록에서 선택하고 "확인"버튼을 클릭하십시오.
인증서 설치
1. 필요한 저장소를 엽니 다 (예 : 신뢰할 수있는 루트 인증 센터). 이렇게하려면 "인증서 - 현재 정보"\u003e "인증 루트 센터"\u003e "인증서"를 밝히십시오.
2. "동작"메뉴\u003e "모든 작업"\u003e "가져 오기"를 선택하십시오.
4. 다음으로 "개요"버튼을 클릭하고 가져 오기를위한 인증서 파일을 지정하십시오 (인증 센터의 루트 인증서는 인증 센터 웹 사이트에서 다운로드 할 수있는 인증서가 회로 시스템의 웹 사이트에 있습니다. 짐마자 인증서를 선택한 후 "열기"버튼을 클릭 한 다음 "다음"버튼을 클릭해야합니다.
5. 다음 창에서 "다음"버튼을 클릭해야합니다 (원하는 저장소가 자동으로 선택됨).
6. "마침"버튼을 눌러 가져 오기를 완료하십시오.
인증서 삭제
MMC 콘솔 (예 : 다른 사용자의 저장)을 사용하여 인증서를 제거하려면 다음을 수행해야합니다.
지점 "인증서 - 현재 사용자"\u003e "다른 사용자"\u003e "인증서"를 엽니 다. 창의 오른쪽에있는 "다른 사용자"저장소에 설치된 모든 인증서가 표시됩니다. 필수 인증서를 선택하고 마우스 오른쪽 버튼을 클릭하고 "삭제"를 선택하십시오.
인증서를 설치하려면 USB 플래시 드라이브를 EP로 연결하고, 열기 및 인증서를 설치해야합니다.
1. 신뢰할 수있는 루트 센터에 인증서 인증서 인증서를 설정하려면이 필요합니다.
1.1. 더블 마우스 HEAD UZ 인증서 - "HEAD Certifying Center.cer"파일을 클릭하십시오.
1.2. 열리는 양식에서는 "인증서 설치 ..."버튼을 클릭해야합니다. 
1.3. "다음 저장소에있는 모든 인증서를 배치하십시오"(비문 앞에 표시를 설정하십시오)를 선택하고 "개요"버튼을 클릭하십시오. 
1.4. 열리는 목록에서 "신뢰할 수있는 인증 센터"를 선택하고 "확인"버튼을 클릭해야합니다. 
2. 개인 인증서를 설치하십시오
CSP Cryptopro 프로그램을 사용하여 개인 인증서를 설치하는 것은 수행됩니다.
2.1. CSP Cryptopro 프로그램 ( "시작"버튼 -\u003e CRPTOPRO CSP 또는 시작 단추 -\u003e 모든 프로그램 -\u003e Crypto-Pro -\u003e Cryptopro CSP)를 실행해야합니다. 
2.2. 창에서 "서비스"탭을 선택하고 "개인 인증서 설치 ..."버튼을 클릭해야합니다. 
2.3. 열리는 창에서 "개요"버튼을 클릭하고 플래시 드라이브에서 조직 인증서를 선택합니다. 확장자 "CER"(UC 인증서 파일 (예 : "Adicom.cer"에서 UC 인증서 파일이 아님). "다음"을 클릭하십시오. 
2.4. 열리는 양식에서는 "다음"을 클릭해야합니다. 
2.5. 열리는 양식에서는 "자동으로 컨테이너 찾기"를 클릭해야합니다. 결과적으로 "키 컨테이너 이름"이 채워지고 "다음"을 클릭합니다. 
2.6. 열리는 양식에서는 "다음"을 클릭해야합니다. 
2.7. 열리는 양식에서는 "준비"를 클릭해야합니다. 
사용자의 로컬 사용자에게 전자 서명을 생성하는 데 필요한 모든 것이 인쇄 된 양식으로 서명 할 수 있습니다.
3. 브라우저에서 CADES 브라우저 플러그인을위한 CRYPTOPRO 확장자 설치
브라우저 확장 (추가) CADES 브라우저 플러그인을위한 Cryptopro 확장자를 설치하려면 브라우저에서 스털링 스토어를 열고 Extensions / for yandex.browser 링크 다음 Cades를 검색합니다.