Savarankiškų pasirašytų sertifikatų diegimas yra labai dažna sistemos administratoriaus užduotis. Paprastai tai daroma rankiniu būdu, bet jei nėra jokių automobilių tuzinui? Ir kaip būti įdiegiant sistemą arba nusipirkti naują kompiuterį, nes sertifikatas gali būti ne vienas. Parašykite lovelės poilsį? Kodėl, kai yra daug paprastesnis ir patogesnis būdas - "ActiveDirectory Group" politika. Kai konfigūruoti politiką, nebegalima nerimauti dėl reikiamų sertifikatų naudotojų prieinamumo.
Šiandien mes pažvelgsime į sertifikatų pasiskirstymą ant šaknų sertifikato Zimbra, kurį mes eksportavome į. Mūsų užduotis bus tokia - automatiškai platina sertifikatą visiems įrenginyje įtrauktiems kompiuteriams (OU) - Biuras.. Tai leis sukurti sertifikato, kai to nereikia: šiaurėje, sandėlyje ir kasos darbalaukyje ir kt.
Atidarykite "Snap" ir sukurkite naują konteinerio politiką Grupės politikos objektaiNorėdami tai padaryti, paspauskite ant konteinerio su dešiniuoju mygtuku ir pasirinkite Sukurti. Politika leidžia jums įdiegti ir vieną ir kelis sertifikatus tuo pačiu metu, kaip padaryti - išspręsti jus, mes norėtume sukurti mūsų politiką kiekvienam sertifikato, tai leidžia jums lanksčiau pakeisti jų taikymo taisykles. Taip pat turėtumėte paklausti aiškaus pavadinimo politikos, kad atidarytumėte konsolę per šešis mėnesius, kurių jums nereikėjo skausmingai prisiminti už tai, ko reikia.
Po to vilkite politiką į konteinerį Biuras.tai bus taikoma šiam vienetui.
Dabar spustelėkite politiką su dešiniuoju pelės mygtuku ir pasirinkite Keisti. Grupės politikoje atidarėme, mes nuolat atsiskleidžia Kompiuterių konfigūracija - "Windows" konfigūracija - Saugumo parametrai - Atvira pagrindinė politika -. \\ T Dešinėje lango pusėje dešiniuoju pelės mygtuku spustelėkite meniu, pasirinkite Importas. \\ T Ir importuoti sertifikatą.
Politika sukurta, dabar laikas patikrinti jo taikymo teisingumą. Snap. Grupės politikos valdymas Pasirinkite Grupės politikos modeliavimas ir pradėkite dešiniuoju pelės klavišu Pagrindinis modeliavimas.
Dauguma parametrų gali būti paliktas pagal nutylėjimą, vienintelis dalykas, kurį norite nurodyti, yra vartotojas ir kompiuteris, kuriam norite patikrinti politiką.
Imituojant, mes galime įsitikinti, kad politika būtų sėkmingai taikoma nurodytam kompiuteriui, kitaip atskleidžiame elementą Atmesti daiktus Ir mes pažvelgsime į priežastį, kodėl politika pasirodė netaikoma šio vartotojo ar kompiuterio.
Po to patikrinkite kliento kompiuterio politikos darbą, nes aš atnaujinsiu politiką su komanda:
Gpupdate.
Dabar atidarykite sertifikato saugyklą. Paprasčiausias būdas tai padaryti Internet Explorer.: Stebėtojo savybės - Turinys - Sertifikatai. Mūsų sertifikatas turi būti konteineryje Patikimi šaknų sertifikavimo centrai.
Kaip matote - viskas veikia ir vienas galvos skausmas administratoriuje tapo mažesnis, sertifikatas automatiškai išplito į visus skyriuje esančius kompiuterius Biuras.. Jei reikia, galite nustatyti sudėtingesnes sąlygas politikos taikymo, tačiau jis jau yra už šio straipsnio taikymo sritį.
Su problemos dėl teisingo diegimo neįmanoma dėl to, kad tiksliniuose kompiuteriuose su OC Windows, sertifikatų sertifikatų sertifikatų saugykla nėra atnaujinama (toliau, mes vadinsime šį patikimąRootca saugyklą). Tuo metu klausimas buvo pašalintas diegiant paketą rootsupd.exe.Įperkamos KB931125.prašoma OS. Windows XP.. Dabar ši OS yra visiškai pašalinta iš "Microsoft" palaikymo, o galbūt šis KB straipsnis yra daugiau "Microsoft" svetainėje. Visa tai, galite pridėti kažką, kad net tuo metu sprendimas su jau pasenusi sertifikato paketo diegimu nebuvo optimaliausias, nes tada buvo sistemų su OS "Windows Vista". ir. \\ T Windows 7.kuris jau dalyvavo naujame automatinio patikimoRootca sertifikato saugojimo mechanizme. Čia yra vienas iš senų straipsnių apie "Windows Vista", aprašant kai kuriuos tokio mechanizmo aspektus -Sertifikato palaikymas ir gauta interneto ryšys "Windows Vista" . Neseniai, aš vėl susidūrė su pradine problema poreikio atnaujinti patikimaiRootca sertifikato saugojimo tam tikroje "Windows" klientų kompiuterių ir serverių masėje. Visi šie kompiuteriai neturi tiesioginės prieigos prie interneto, todėl automatinių atnaujinimo sertifikatų mechanizmas neatitinka savo užduoties, kaip norėčiau. Pasirinkimas su visų tiesioginės interneto prieigos kompiuterių atidarymu, leiskite jam net tam tikruose adresuose, iš pradžių buvo laikomas ekstremaliu, o ieškoma priimtino sprendimo ieškoma mane į straipsnį.Konfigūruokite patikimą šaknis ir neleistinus sertifikatus (RU. ), kuris nedelsdamas atsakė į visus mano klausimus. Na, apskritai, remiantis šiuo straipsniu, ši pastaba aš apibendrinsiu konkrečiu pavyzdžiu, kaip galiu sutelkti dėmesį į "Windows Vista" kompiuterius ir aukščiau šį labiausiai automatinį patikimoRootca sertifikato saugyklą, kuris bus naudojamas kaip šaltinio atnaujinimai failų ištekliams arba svetainė vietiniame verslo tinkle.Norėdami pradėti su, ką atkreipti dėmesį į tai, kad grupės politikoje taikoma kompiuteriams, parametras blokuoja automatinio atnaujinimo mechanizmo veikimą neturėtų būti įtrauktas. Tai yra parametras Atnaujinkite automatinius šaknų sertifikatus Skyriuje. \\ T Kompiuterių konfigūracija. > Administraciniai šablonai. > Sistema. > Interneto ryšių valdymas. > Interneto ryšių nustatymai. Mums reikia šio parametro Išjungtasarba lengva. \\ t NĖRA sukonfigūruota.
Jei pažvelgsite į TRUSTEDROOTCA sertifikato saugyklą skyriuje Vietinis kompiuteris, sistemose, kuriose nėra tiesioginės interneto prieigos, sertifikato rinkinys bus teisingas, kad būtų maža:
Šis failas yra patogu naudoti, pavyzdžiui, kai nuo visos turimų sertifikatų pogrupio jums reikia tik pasirinkti tik kai kuriuos rinkinius ir iškrauti juos į atskirą SST failą tolesniam atsisiuntimui, pavyzdžiui, naudojant vietinę sertifikato valdymo konsolę arba naudojant grupės politikos valdymo konsolę (importui, į kurį domeno politika per parametrą Kompiuterių konfigūracija. > Politika. > "Windows" nustatymai > Apsaugos Nustatymai > Viešosios pagrindinės politikos kryptys. > Patikimos šaknų sertifikavimo institucijos).
Tačiau, nes jus domina šaknų sertifikatų, naudojant automatinio atnaujinimo mechanizmo eksploatavimo galutinio kliento kompiuterių keitimą, mes turime šiek tiek kitokį vaizdą apie daugybę vietinių šaknikų sertifikatų. Galite jį naudotis tuo pačiu naudingumu Certutil.Bet su kitu raktų rinkiniu.
Mūsų pavyzdyje failų serveryje bus naudojamas bendras tinklo aplankas, kaip vietinis platinimo šaltinis. Ir čia svarbu atkreipti dėmesį į tai, kad rengiant tokį aplanką, būtina apriboti prieigą prie įrašo, kad jis neveiktų, kad kiekvienas galėtų keisti šaknų sertifikatų rinkinį, kuris tada bus "išsiliejęs" rinkinį daugelis kompiuterių.
Certutil. -Syncwitwu -f -f. "File-Server" dalinkitės "RootCaupd" GPO diegimo \\ tRaktai -F -f yra naudojamas priverstiniam atnaujinimui visoms paskirties katalogui.
Atlikus komandą JAV nurodytame tinklo aplanke, įvairūs failai bus rodomi bendra tūrio megabaitų grindų:
Pagal anksčiau minėtą
straipsniai , paskirties failai taip:- Failas. \\ T authrootstl.cab. yra trečiosios šalies sertifikato patikimumo sąrašai;
- Failas. \\ T neleisticertstl.cab. yra pasitikėjimo sertifikatų sąrašas su neįtikėtinais sertifikatais;
- Failas. \\ T neleidžiamacert.sst. yra serializuotų sertifikatų saugykla, įskaitant netiesioginius sertifikatus;
- Failai su tipo pavadinimais thumbprint.crt. Turi trečiųjų šalių šaknų sertifikatus.
Taigi gaunami failai, reikalingi automatinio atnaujinimo mechanizmo veikimui, ir dabar mes einame į šio labai mechanizmo darbo schemos pakeitimo įgyvendinimą. Už tai, kaip visada, domeno grupės politikai ateiti padėti mums "Active Directory". (GPO.) Nors galite naudoti kitus centralizuotus valdymo įrankius, kad mes turime tai padaryti visuose kompiuteriuose yra pakeisti arba gana pridėti, tik vieną registro parametrą Rootdirrl. filialu HKLM Programinė įranga "Microsoft" systemcerficates \\ Authroot Autoupdatekuris bus nustatytas kelias į mūsų tinklo katalogą, kuriame mes anksčiau paskelbėme šaknų sertifikato failų rinkinį.
Kalbėdamas apie GPO steigimą, vėl įgyvendinti užduotį, galite naudoti skirtingas galimybes. Pavyzdžiui, yra "senojo masto" galimybė sukuriant grupės politikos šabloną, nes jis aprašytas jau pažįstamas mums
straipsnis . Norėdami tai padaryti, sukurkite failą GPO administracinio šablono formatu ( ADM.), pavyzdžiui, pavadintas rootcupdatelocal.adm ir turinys: Klasė Mašinų kategorija !! SystemCertificates Keyname " Programinė įranga "Microsoft" systemcerficates \\ Authroot \\ AUTOUPDATE"Politika! ChootDirurl paaiškinti !! Rootdirurl_help dalis !! Rootdirurl edittxt Value vardą" Rootdirurl "pabaigos dalis Praeiti politikos pabaigos kategorija rootdirurl \u003d" URL adresas, kuris turi būti naudojamas vietoj numatytuosius CTLDL.WindowsUpdate.com "rootdirurl_help \u003d" Įveskite failą arba http URL Norėdami naudoti kaip CTL failų atsisiuntimo vietą. "SystemCertificates \u003d" Windows Autopdate Settings "Nukopijuokite šį failą į domeno valdiklį% "SystemRoot%" INF kataloge (kaip taisyklė, tai yra C: Windows \\F katalogas). Po to mes kreipiamės į domeno grupės politikos redaktorių ir sukurti atskirą naują politiką, atidarydami jį redaguojant. Skyriuje. \\ T Kompiuterių konfigūracija. > Administraciniai šablonai ... Atidarykite kontekstinį meniu ir pasirinkite naują politikos šablono prijungimą. Pridėti / pašalinti šablonus
Atidarant langą, naudodami peržiūros mygtuką, pasirinkite anksčiau pridėtą failą. % "SystemRoot% on" rootcupdatelocal.admir po to, kai šablonas rodomas sąraše, spustelėkite Uždaryti.
Po to, kai veikiate skyriuje Konfigūracija. > Administraciniai šablonai. > Klasikiniai administraciniai šablonai. (ADM.) Pasirodys grupė "Windows" automatinio nustatymų nustatymaikurioje bus prieinamas vienintelis parametras URL adresas, naudojamas Numatytasis CTLDL.WindowSupdate.com
Atsidarysime šį parametrą ir įveskite kelią į vietinį šaltinį, kuriame mes įdėjome anksčiau atsisiųstą naujinimo failų, http: // server1 / aplanko ar failo: /// \\\\ server1),
pvz., failas: // failų serverio dalintis \\ tOCHCAUPD \\ GPO-diegimo
Išsaugojome atliktus pakeitimus ir taikome sukurtą politiką į domeno konteinerį, kuriame yra tiksliniai kompiuteriai. Tačiau laikomas nustatymo GPO metodas turi keletą trūkumų, todėl aš jį pavadino "senosios saknios".
Kitas, modernesnis ir pažangesnis klientų registro konfigūracijos metodas yra naudoti Grupės politikos nuostatos. (ŽVP.). Su šia galimybe galime sukurti tinkamą ŽVP objektą Grupės politikos skyriuje Kompiuterių konfigūracija. > Nuostatos. > Registras. \\ T Atnaujinant parametrą ( Veiksmas.: Atnaujinti.) Registras Rootdirrl. (Vertės tipas) Reg_sz.)
Jei reikia, mes galime įjungti lankstų siekį sukurto GPP parametro (žymė Dažni. \u003e Galimybė Tikslas) Į konkretų kompiuterį ar kompiuterių grupę, kad galėtume išbandyti, kad galų gale su pirmosios klasės grupės politika.
Žinoma, jums reikia pasirinkti vieną parinktį arba su savo prijungimu ADM.-Sblon arba naudojant ŽVP..
Nustatę grupės politiką bet kuriame eksperimentiniame kliento kompiuteryje, atliksite komandų atnaujinimą gpupdate / jėga Vėlesnis perkrovimas. Įkeliant sistemą, patikrinkite registre sukurto rakto buvimą ir bandykite patikrinti, kaip atnaujinti šaknų sertifikato saugyklą. Norėdami patikrinti, mes naudojame paprastą, bet veiksmingą pavyzdį, aprašytą eilėje
Patikimos šaknys ir neleistinos sertifikatai .Pavyzdžiui, pažiūrėkime, ar kompiuterinio sertifikato saugykloje yra šaknų sertifikatas, naudojamas išduoti sertifikatą, kuris yra įdiegtas vietoje pavadintas BUYS.NO (bet ne eiti į pačios svetainės :)).
Padarykite tai patogiausia su lėšomis Powershell.:
"Get-Childitem Cert": "LocalMachine" root | Kur ($ _. Draugiškameame "* BUYPASS *")Su dideliu tikimybe, mes neturėsime tokio šakninio sertifikato. Jei taip, aš atidarysiu Internet Explorer. ir nurodykite URLhttps://buyps.no. . Ir jei mus sukonfigūruota mechanizmas automatiškai atnaujina šaknų sertifikatus, yra sėkmingas, tada "Windows" įvykio žurnale Taikymas Su tuo pasirodys įvykis su šaltiniu ( Šaltinis. \\ T) CAPI2.Nurodant sėkmingą naujo "Root" sertifikato atsisiuntimas:
Žurnalo pavadinimas: taikymasKažkaip atėjo pas mane draugas (seryoga su Antelecs.ru) su klausimu, ar galima paspartinti / automatizuoti įprastą procesą, kad būtų galima pridėti daugybę sertifikatų patikimų šaknų sertifikavimo centrų saugykloje. Užduotis man buvo įdomu ir tinkama svetainės tema, todėl sprendimas, kuriuo aš nuėmiau skelbti čia. Nemokama programinė įranga, kurią siūlau atsisiųsti "Cybersoft"!
Žinoma, būtų galima užšaldyti su GPO ar kažkuo kitokiu administratoriumi, bet dėl \u200b\u200bkokios nors priežasties aš buvau pirmoji mintis naudoti rerin-archiverio pavidalu ir jo funkcijas sukurti savęs ekstrakciją (SFX) Archyvai.
Mes gaminame automatinius diegimo sertifikatus
Mums reikės cermgr.exe naudingumo iš "Windows SDK" rinkinio. Informacija apie tai, kaip ją naudoti - yra šiame puslapyje.
Konteksto meniu, kai pasirinksite visus failus, pasirinkite komandą "Pridėti į archyvą".
Nurodyti archyvo parametrus. Čia galite nustatyti savavališką išvesties vykdomojo failo pavadinimą, ir taip pat būtina pažymėti elementą "Sukurti SFX archyvą".
Skirtuke Išplėstinė spustelėkite "SFX ..." parametrų mygtuką.
Skirtuke Bendra Nurodykite išpakavimo kelią - galite nurodyti dabartinį aplanką arba pakatalogį.
Įdomiausia: "SetUp" skirtuke nurodykite, kurios komandos atlikti po failo ištraukimo. Dabartinis katalogas bus tas, kur failai yra išpakuoti. Komanda, skirta įdiegti sertifikatą saugojimo atrodo taip:
cermgr.exe -Ad -C "Failo pavadinimas.cer" -L-localmachine šaknis
kur localmachine reiškia kompiuterio diegimą ir šaknis yra patikimų šaknų sertifikavimo centrų saugyklos pavadinimas.
Siekiant lengvai naudoti, galite paslėpti visus dialogo langus (kitaip bus rodomas dialogo langas, kai bus rodomas dialogo langas, skirtas išpakuoti ir pan.).
Skirtuke komentarai, rodomi visi išpakavimo metu atlikti veiksmai. Iš esmės galite įvesti tekstą rankiniu būdu ir vykdykite tą patį.
Vaizdo įrašas šia tema
Siekiant geriau suprasti procesą, įrašiau nedidelį vaizdo įrašą!
- "Kiti vartotojai" - valdžios institucijų kontrolės sertifikatų saugykla;
- "Patikimi sertifikavimo šaknų centrai" ir "tarpiniai sertifikavimo centrai" - sertifikavimo centro sertifikato sandėlis.
Asmeninių sertifikatų diegimas atliekamas tik naudojant "Crypt Pro" programą.
Norėdami pradėti konsolę, turite atlikti šiuos veiksmus.
1. Pasirinkite meniu "Pradėti"\u003e "Pradėti" (arba klaviatūroje tuo pačiu metu paspauskite "Win + R" klavišus).
2. Nurodykite MMC komandą ir spustelėkite mygtuką "OK".
3. Pasirinkite meniu "File"\u003e "Pridėti arba pašalinti įrangą".
4. Pasirinkite iš sąrašo į "Snap" sertifikatus "ir spustelėkite mygtuką Pridėti.
5. Atidarant langą, nustatykite "Mano vartotojo abonemento" jungiklį ir spustelėkite mygtuką "Baigti".
6. Pasirinkite iš sąrašo dešinėje pridėtoje įrankiuose ir spustelėkite mygtuką "OK".
Sertifikatų diegimas
1. Atidarykite reikiamą saugyklą (pvz., Patikimi šaknų sertifikavimo centrai). Norėdami tai padaryti, atskleisti "sertifikatus - dabartinę informaciją"\u003e "Patikimi šaknies centrai sertifikavimo"\u003e "sertifikatai".
2. Pasirinkite meniu "Veiksmas"\u003e "Visos užduotys"\u003e "Import".
4. Kitas spustelėkite mygtuką "Apžvalga" ir nurodykite importo sertifikato failą (sertifikavimo centro šaknų sertifikatai gali būti atsisiųsti iš sertifikavimo centro svetainės, kontrolės institucijų sertifikatai yra grandinės sistemos svetainėje. Patirtis ). Pasirinkę sertifikatą, turite spustelėti mygtuką "Atidaryti", o tada mygtuką "Kitas".
5. Kitame lange turite spustelėti mygtuką "Kitas" (norimas saugojimas automatiškai pasirinktas).
6. Paspauskite mygtuką "Baigti", kad užbaigtumėte importą.
Ištrinti sertifikatus
Norėdami pašalinti sertifikatus naudojant MMC konsolę (pavyzdžiui, nuo kitų naudotojų saugojimo), turite atlikti šiuos veiksmus:
Atidarykite filialą "sertifikatai - dabartinis vartotojas"\u003e "kiti naudotojai"\u003e "sertifikatai". Dešinėje lango pusėje bus rodomi visi "kitų naudotojų" saugyklos sertifikatai. Pasirinkite reikiamą sertifikatą, dešiniuoju pelės mygtuku spustelėkite jį ir pasirinkite "Ištrinti".
Norėdami įdiegti sertifikatus, turite prijungti USB atmintinę su EP, atidarykite jį ir įdiegti sertifikatus.
1. Sukurti sertifikato sertifikato Centro sertifikatą patikimam šaknies centrams, nes jums reikia:
1.1. Dvigubas pelės paspaudimas ant galvos UZ - "galvos sertifikavimo centro.cer" failo sertifikatas.
1.2. Atsidariusioje formoje turite spustelėti mygtuką "Įdiegti sertifikatą ...". 
1.3. Pasirinkite "Įdėkite visus sertifikatus šioje saugykloje" (nustatykite ženklą prieš užrašą) ir spustelėkite mygtuką "Apžvalga". 
1.4. Atidarant sąrašą, turite pasirinkti "Patikimi šaknies centrai sertifikavimo" ir spustelėkite mygtuką "OK". 
2. Įdiekite asmeninį sertifikatą
Asmeninio sertifikato diegimas atliekamas naudojant CSP CryptoPro programą
2.1. Jums reikia paleisti CSP CryptoPro programą ("Start" mygtuką -\u003e CRPTOPRO CSP arba Start mygtuką -\u003e Visos programos -\u003e Crypto-Pro -\u003e CryptoPro CSP). 
2.2. Atsidariame lange, turite pasirinkti skirtuką "Paslauga" ir spustelėkite mygtuką "Įdiegti asmeninį sertifikatą ...". 
2.3. Atsidariame lange, spustelėkite mygtuką "Apžvalga", pasirinkite "Flash Drive" organizacijos sertifikatą - antrąjį failą su pratęsimu "CER" (ne UC sertifikato failas (Pavyzdžiui - "adicom.cer")) ir Spustelėkite "Next". 
2.4. Atidarant formą, turite spustelėti "Next" 
2.5. Atidarant formą, turite spustelėti ant "Rasti konteinerį automatiškai". Kaip rezultatas, "raktų konteinerių pavadinimas" bus užpildytas ir spustelėkite "Next" 
2.6. Atidarant formą, turite spustelėti "Next" 
2.7. Atsidariusioje formoje turite spustelėti "READY" 
Vietiniame vartotojo naudotojoje, viskas, ko reikia norint sukurti elektroninį parašą, galima pasirašyti spausdintinėmis formomis.
3. Įdiekite CryptoPro plėtinį Cades naršyklės papildinį naršyklėje
Norint įdiegti naršyklės plėtinį (papildymus) CryptoPro plėtinys CADES naršyklės papildinį Atidarykite Stirlingo parduotuvę savo naršyklėje ir ieškokite Cades po plėtinių / už Yandex.Browser nuorodą -