Pašreģistrēto sertifikātu instalēšana ir ļoti izplatīts sistēmas administratora uzdevums. Parasti tas tiek darīts manuāli, bet, ja nav automašīnu duci automašīnām? Un kā būt, kad pārinstalēt sistēmu vai iegādāties jaunu datoru, jo sertifikāts var nebūt viens pats. Uzrakstiet bērnu gultiņas atpūtu? Kāpēc, ja ir daudz vienkāršāks un ērts veids - Activedirectory grupas politika. Pēc politikas konfigurēšanas jūs vairs nevarat jāuztraucas par nepieciešamo sertifikātu lietotāju pieejamību.
Šodien mēs aplūkosim sertifikātu sadalījumu uz sakņu sertifikāta Zimbra, ko mēs eksportējām. Mūsu uzdevums būs šāds - automātiski izplata sertifikātu visiem datoriem, kas iekļauti vienībā (ou) - Birojs.. Tas ļaus neizveidot sertifikātu, ja tas nav nepieciešams: uz ziemeļiem, noliktavu un naudas galddatoriem utt.
Atveriet snap un izveidot jaunu politiku konteinerā Grupas politikas objektiLai to izdarītu, noklikšķiniet uz tvertnes ar pareizo pogu un izvēlieties Radīt. Politika ļauj jums instalēt gan vienu, gan vairākus sertifikātus vienlaicīgi, kā to darīt - atrisināt jūs, mēs vēlamies izveidot savu politiku katram sertifikātam, tas ļauj elastīgāk mainīt savu pieteikuma noteikumus. Jums vajadzētu arī uzdot politiku skaidru nosaukumu, lai atvērtu konsoli sešu mēnešu laikā jums nav bijis sāpīgi atcerēties par to, kas tas ir nepieciešams.
Pēc tam velciet politiku uz konteineru Birojs.kas to piemēros šai vienībai.
Tagad noklikšķiniet uz politikas ar peles labo pogu un izvēlieties Mainīt. Atvērtās grupas politikas mēs pastāvīgi izvērsim Datoru konfigurācija - Windows konfigurācija - Drošības parametri - Atvērt galvenās politikas -. Labajā pusē noklikšķiniet uz izvēlnes labajā pusē, izvēlieties Imports Un importēt sertifikātu.
Politika ir izveidota, tagad ir pienācis laiks pārbaudīt tās piemērošanas pareizību. Snap Grupas politikas vadība Izvēlēties Grupas politikas modelēšana un sākt ar peles labo pogu Maģistra modelēšana.
Lielākā daļa parametru var atstāt pēc noklusējuma, vienīgais, kas norādīts, ir lietotājs un dators, par kuru vēlaties pārbaudīt politiku.
Simulējot, mēs varam pārliecināties, ka politika tiek veiksmīgi piemērota norādītajam datoram, pretējā gadījumā mēs atklājam šo vienumu Noraidītie objekti Un mēs aplūkojam iemeslu, kāpēc politika izrādījās nepiemērojama šim lietotājam vai datoram.
Pēc tam pārbaudiet klienta datora politikas darbu, jo es atjaunināšu politiku ar rokām ar komandu:
Gpupdate.
Tagad atveriet sertifikāta veikalu. Vieglākais veids, kā to izdarīt, izmantojot Internet Explorer.: Novērotāja īpašības - Saturs - Sertifikāti. Mūsu sertifikātam jābūt klāt konteinerā Uzticamie saknes sertifikācijas centri.
Kā jūs varat redzēt - viss darbojas un viena galvassāpes administratorā ir kļuvusi mazāka, sertifikāts automātiski izplatīsies uz visiem nodaļā ievietotajiem datoriem Birojs.. Ja nepieciešams, jūs varat iestatīt sarežģītākus nosacījumus politikas piemērošanai, bet tas jau ir ārpus šī panta darbības jomas.
Ar problēmu neiespējamību pareizu izvietošanu sakarā ar to, ka mērķa datoriem ar OC logiem, repozitorija sertifikātu uzticamu saknes centriem sertifikācijas nav atjaunināts (turpmāk tekstā, mēs to saucam par šo trustedrootca uzglabāšanu). Tajā laikā jautājums tika noņemts, izvietojot paketi rootsupd.exe.pieņemams KB931125.pieprasīts OS Windows XP.. Tagad šī OS ir pilnībā izņemta no Microsoft atbalsta, un tāpēc šis KB raksts ir vairāk pieejams Microsoft tīmekļa vietnē. Lai to visu varētu pievienot kaut ko, kas pat tajā laikā lēmums ar jau novecojušās sertifikāta paketes izvietošanu nebija optimālākā, kopš tā laika bija sistēmas ar OS Windows Vista. un Windows 7.Kas jau apmeklēja jaunu mehānismu, lai automātiski atjauninātu Trustedrootca sertifikāta uzglabāšanas. Šeit ir viens no vecajiem rakstiem par Windows Vista, aprakstot dažus šāda mehānisma aspektus -Sertifikāta atbalsts un rezultātā interneta komunikācija Windows Vista . Nesen es atkal sastapu sākotnējo problēmu, kas saistīta ar nepieciešamību atjaunināt Trustedrootca sertifikāta uzglabāšanu noteiktā Windows klientu datoru un serveru masā. Visiem šiem datoriem nav tiešas piekļuves internetam, un tāpēc automātisko atjaunināšanas sertifikātu mehānisms neatbilst savu uzdevumu, jo es gribētu. Iespēja ar visu tiešās interneta piekļuves datoru atvēršanu, ļaujiet tai pat noteiktās adresēs, sākotnēji tika uzskatīts par ekstrēmu, un vairāk pieņemamāka risinājuma meklēšana lika man rakstuKonfigurējiet uzticamos saknes un neatļautos sertifikātus (Ru ), kas nekavējoties sniedza atbildes uz visiem maniem jautājumiem. Nu, kopumā, pamatojoties uz šo rakstu, šī piezīme Es apkoposies konkrētā piemērā, kā es varu centralizēti atjaunot savienojumu Windows Vista datoros un augstāk par to, ka visvairāk automātiski atjaunina Trustedrootca sertifikāta uzglabāšanas, kas jāizmanto kā avota atjauninājumu failu resurss vai Tīmekļa vietne vietējā korporatīvajā tīklā.Lai sāktu ar, ko pievērst uzmanību tam, ka grupu politikā, ko piemēro datoriem, nav jāiesaista parametru bloķēšana automātiskās atjaunināšanas mehānisma darbību. Tas ir parametrs Izslēdziet automātisko sakņu sertifikātu atjauninājumu Nodaļā Datoru konfigurācija. > Administratīvās veidnes. > Sistēma. > Interneta komunikācijas vadība. > Interneta komunikācijas iestatījumi. Mums ir nepieciešams šis parametrs Izslēgtsvai viegli Nav konfigurēts.
Ja aplūkojat Trustedrootca sertifikāta veikalu sadaļā Vietējais dators, Sistēmām, kurām nav tiešas piekļuves interneta piekļuves, sertifikāta komplekts būs labi, tāpēc saka mazs:
Šis fails ir ērti lietojams, piemēram, kad no visas pieejamo sertifikātu apakškopa jums ir jāizvēlas tikai daži iestatījumi un jāizkrauj tos uz atsevišķu SST failu tālākai lejupielādei, piemēram, izmantojot vietējo sertifikātu pārvaldības konsoli vai Grupas politikas pārvaldības konsoles izmantošana (importam, uz kuru vai nu domēna politika, izmantojot parametru Datoru konfigurācija. > Politikas. > Windows iestatījumi > Drošības iestatījumi > Publiskās galvenās politikas. > Trusted Root sertificēšanas institūcijas).
Tomēr, lai pavairošanas sakņu sertifikātu jūs interesē, izmantojot modifikāciju darbībai Auto-update mehānisma gala klientu datoriem, mums ir nepieciešams nedaudz atšķirīgu pārstāvību par daudzveidīgu aktuālu sakņu sertifikātu. To var iegūt, izmantojot to pašu lietderību Sertifikāts.Bet ar citu atslēgu komplektu.
Mūsu piemērā kopīga tīkla mape failu serverī tiks izmantota kā vietējā izplatīšanas avots. Un šeit ir svarīgi pievērst uzmanību tam, ka, sagatavojot šādu mapi, ir jāierobežo piekļuve ierakstīšanai, lai tas nedarbosies, lai ikviens varētu mainīt sakņu sertifikātu kopumu, kas pēc tam būs "izlijis" daudziem datoriem.
Sertifikāts. -Syncwithwu -f -f. File-serveris \\ t Rootcaupd \\ GPO-izvietošana \\ tTaustiņi -F -f tiek izmantots, lai piespiedu atjauninātu visus failus galamērķa direktorijā.
Tā rezultātā izpildes komandu tīkla mapē, ko ASV, dažādi faili parādīsies ar kopējo tilpumu megabaitu stāvā:
Saskaņā ar iepriekš minēto
raksti , Galamērķa faili šādi:- Fails authrootstl.cab. satur trešo pušu sertifikātu uzticības sarakstus;
- Fails disallowedcertstar.cab. satur uzticamības sertifikātu sarakstu ar neticīgiem sertifikātiem;
- Fails disallowedcert.sst. satur sērijveida sertifikātu krātuvi, tostarp nepatiesības sertifikātus;
- Faili ar tipa nosaukumiem thumbprint.crt. Satur trešās puses sakņu sertifikātus.
Tātad, tiek iegūti faili, kas nepieciešami automātiskās atjaunināšanas mehānisma darbībai, un mēs tagad dodamies uz šīs paša mehānisma darba shēmas izmaiņu īstenošanu. Par to, kā vienmēr, domēna grupa politiķi nāk, lai palīdzētu mums Active Directory. (GPO.) Lai gan jūs varat izmantot citus centralizētus pārvaldības rīkus, visi, kas mums jādara visos datoros, ir mainīt vai drīzāk pievienot tikai vienu reģistra parametru Rootdirll filiālē HKLM PROGRAMMATŪRA Microsoft SystemCertificates \\ autoroot AutoUrdatekas noteiks ceļu uz mūsu tīkla direktoriju, kurā mēs iepriekš ievietojām sakņu sertifikātu failu kopu.
Runājot par GPO iestatīšanu, lai īstenotu uzdevumu, jūs varat izmantot dažādas iespējas. Piemēram, ir opcija "vecā mēroga", izveidojot grupas politikas veidni, jo tas ir aprakstīts jau pazīstamā ASV
raksts . Lai to izdarītu, izveidojiet failu GPO administratīvās veidnes formātā ( Adm.), piemēram, nosaukts rootcupdatelocalpath.adm un saturs: Klase Mašīnas kategorija! SystemCertificates Keyname " Programmatūra Microsoft SystemCertificates \\ autoroot AutoUrdate"Rootdirurl izskaidrot !! rootdirurl_help daļa !! rootdirur edittxt valueName" rootdirurl "gala daļas beigu politikas beigu kategorija rootDirur \u003d" URL adrese, kas jāizmanto noklusējuma ctldl.windowsupdate.com "rootDirurl_help \u003d" Ievadiet failu vai HTTP URL Lai izmantotu kā CTL failu lejupielādes atrašanās vietu. "SystemCertificates \u003d" Windows autopdātu iestatījumi "Kopējiet šo failu domēna kontrolierim% Systemroot% \\ t direktorijā (kā likums, tas ir C: Windows inf direktorija). Pēc tam mēs vēršamies pie domēna grupas politikas redaktora un izveidojām atsevišķu jaunu politiku, atverot to rediģēšanā. Nodaļā Datoru konfigurācija. > Administratīvās veidnes ... Atveriet konteksta izvēlni un izvēlieties jaunās politikas veidnes savienojumu. Pievienot / noņemt veidnes
Logā, kas atveras, izmantojot pārskatīšanas pogu, izvēlieties iepriekš pievienoto failu. % SYSTEMROOT% \\ INF \\ Sinkapdatelocalath.admun pēc veidnes parādās sarakstā, noklikšķiniet uz Tuvoties.
Pēc rīkojoties sadaļā Konfigurācija. > Administratīvās veidnes. > Klasiskās administratīvās veidnes. (Adm.) Parādīsies grupa Windows AutoUrdate iestatījumikurā būs pieejams vienīgais parametrs URL adrese, kas jāizmanto instad par noklusējuma ctlll.windowsupdate.com
Mēs atvērsim šo parametru un ievadīsim ceļu uz vietējo resursu, uz kuru mēs esam ievietojuši iepriekš lejupielādētos atjaunināšanas failus, HTTP: // Server1 / mapē vai failā: /// server1 mapes formāts,
piem fails: // faila-serveris \\ t COOTCAUPD \\ GPO-izvietošana
Mēs saglabājam izmaiņas un piemērot izveidoto politiku domēna tvertnei, kurā atrodas mērķa datori. Tomēr uzskatītā metode SETUP GPO ir vairāki trūkumi, un tāpēc es to saucu par "veco skulnia".
Vēl viens, modernāks un modernāks klientu reģistra konfigurācijas metode ir jāizmanto Grupas politikas preferences. (GPP.). Ar šo iespēju, mēs varam izveidot atbilstošu GPP objektu grupas politikas sadaļā Datoru konfigurācija. > Preferences. > Reģistrs Ar parametra atjaunināšanu ( Rīcība.: Atjaunināt.) Reģistrs Rootdirll (Vērtības veids Reg_sz.)
Ja nepieciešams, mēs varam ļaut elastīgu mērķa mehānismu izveidotajam GPP parametram (grāmatzīmi) Kopīgs. \u003e Iespēja Preces līmeņa mērķauditorijas atlase) Uz konkrētu datoru vai datoru grupu iepriekšējai pārbaudei, ko mēs nonākam pie pirmās grupas politikas.
Protams, jums ir jāizvēlas viena izvēle vai savienojums ar savu Adm.-sblon vai izmantojot GPP..
Pēc grupas politikas izveidošanas jebkurā eksperimentālā klienta datorā jūs izpildīsiet komandu atjauninājumu gpupdate / spēks Turpmākā atsāknēšana. Pēc sistēmas ievietošanas pārbaudiet izveidotā atslēgu reģistrā un mēģiniet pārbaudīt, lai atjauninātu saknes sertifikātu repozitoriju. Lai pārbaudītu, mēs izmantojam vienkāršu, bet efektīvu piemēru, kas aprakstīts iecirtumā
Uzticamas saknes un neatļautie sertifikāti .Piemēram, pieņemsim redzēt, vai datora sertifikāta repozitorijā ir saknes sertifikāts, ko izmanto, lai izsniegtu sertifikātu, kas ir instalēts vietnē, nosaukts Buypass.No (bet neiet uz pašu vietni :)).
Padarīt to ērtāko līdzekļu palīdzību PowerShell:
Get-Childitem Cert: Localmachine rach | Kur ($ _ .friendlyname-piemēram "* Buypass *")Ar lielu varbūtību, mums nebūs tik saknes sertifikāts. Ja tā, es atvērtu Internet Explorer. un skatiet URLhttps://buypass.no. . Un, ja ASV konfigurētais mehānisms automātiski atjaunina saknes sertifikātus, tad Windows notikumu žurnālā Pielietojums Tas parādīsies notikums ar avotu ( Avots.) CAPI2.norādot jaunā saknes sertifikāta veiksmīgu lejupielādi:
Journal Vārds: pieteikumsKaut kā man bija draugs (Seryoga ar Antelecs.ru) ar jautājumu, vai ir iespējams paātrināt / automatizēt ikdienas procesu, lai pievienotu vairākus sertifikātus uzticamu sakņu sertifikācijas centru krātuvei. Uzdevums man šķiet interesants un piemērots vietnes tēmai, tāpēc lēmums, ko es šeit veicu, lai publicētu šeit. Bezmaksas programmatūra Ieteicams lejupielādēt CyberSoft!
Protams, būtu iespējams iesaldēt ar GPO vai kaut ko citu-admin, bet kāda iemesla dēļ esmu bijis pirmā doma, lai izmantotu tiesiskās aizsardzības līdzekļus rar-archiver formā un tās funkcijas, lai radītu pašizpletes (SFX) Arhīvi.
Mēs izgatavojam automātiskās instalācijas sertifikātus
Mums būs nepieciešams certmgr.exe lietderība no Windows SDK komplekta. Informācija par to, kā to lietot - ir šajā lapā.
In konteksta izvēlnē, izvēloties visus failus, izvēlieties "Pievienot arhīvu ..." komandu.
Norādiet arhīvu parametrus. Šeit jūs varat iestatīt patvaļīgu izvades izpildāmā faila nosaukumu, un tas ir nepieciešams arī, lai atzīmētu "Izveidot SFX arhīvu" vienumu.
Cilnē Papildu noklikšķiniet uz pogas "SFX ..." parametri.
Cilnē Vispārīgi norādiet Ceļš par izsaiņošanu - varat norādīt pašreizējo mapi vai apakšdirektoriju.
Visbiežāk interesanti: cilnē "Setup" norādiet, kuras komandas veikt pēc faila ieguves. Pašreizējais katalogs būs tāds, kur faili ir izsaiņoti. Komandu, lai instalētu sertifikātu glabāšanā izskatās šādi:
certmgr.exe -add -c "fails name.cer" -s -l vietējais machine sakne
ja vietējais mitrs ir dators, un sakne ir uzticamu sakņu sertifikācijas centru krātuves nosaukums.
Lai atvieglotu lietošanu, varat paslēpt visas dialoglodzes (pretējā gadījumā parādīsies direktoriju dialoglodziņš, lai izsaiņotu, utt.).
Tab komentāros tiek parādītas visas darbības, kas veiktas izsaiņošanas laikā. Principā tekstu var ievadīt manuāli un izpildīt to pašu.
Video par tēmu
Lai labāk izprastu procesu, es ierakstīju nelielu video!
- "Citi lietotāji" - iestāžu kontroles sertifikātu krātuve;
- "Uzticamie sertifikācijas root centri" un "pagaidu sertifikācijas centri" - sertifikācijas centra sertifikāta noliktava.
Personisko sertifikātu instalēšana tiek veikta tikai ar CRYPT PRO programmu.
Lai sāktu konsoli, jums ir veikt šādas darbības.
1. Izvēlieties izvēlni "Start"\u003e "Run" (vai uz tastatūras, tajā pašā laikā nospiediet taustiņus "Win + R").
2. Norādiet MMC komandu un noklikšķiniet uz pogas "OK".
3. Izvēlieties "File"\u003e "Pievienot vai noņemt iekārtas" izvēlni.
4. Izvēlieties no saraksta, lai snap "Sertifikāti" un noklikšķiniet uz pogas Pievienot pogu.
5. Logā, kas atveras, iestatiet slēdzi "Mans lietotāja konts" un noklikšķiniet uz pogas "Pabeigt".
6. Izvēlieties no saraksta pa labi pievienoto rīku un noklikšķiniet uz "OK" pogu.
Sertifikātu instalēšana
1. Atveriet nepieciešamo repozitoriju (piemēram, uzticamiem sakņu sertifikācijas centriem). Lai to izdarītu, atklāt "sertifikātus - pašreizējo informāciju"\u003e "Uzticamie saknes centri sertifikācijas"\u003e "Sertifikāti".
2. Izvēlieties "Action"\u003e "Visi uzdevumi"\u003e "Import".
4. Turpinājumā noklikšķiniet uz pogas "Pārskats" un norādiet importa sertifikāta failu (sertifikāta centra saknes sertifikātus var lejupielādēt no sertifikācijas centra tīmekļa vietnes, kontrolējošo iestāžu sertifikāti atrodas Circuit sistēmas tīmekļa vietnē. Pieredze ). Pēc sertifikāta izvēles jums ir noklikšķiniet uz pogas "Atvērt", un pēc tam pēc "Nākamās" pogas.
5. Nākamajā logā jums ir noklikšķiniet uz pogas "Next" (vēlamā krātuve tiek automātiski izvēlēta).
6. Nospiediet pogu "Pabeigt", lai pabeigtu importu.
Dzēst sertifikātus
Lai noņemtu sertifikātus, izmantojot MMC konsoli (piemēram, no citu lietotāju uzglabāšanas), jums ir jādara šādi:
Atveriet filiāli "Sertifikāti - pašreizējais lietotājs"\u003e "Citi lietotāji"\u003e "Sertifikāti". Loga labajā pusē tiks parādīts visi "citi lietotāji" repozitorijā uzstādītie sertifikāti. Izvēlieties nepieciešamo sertifikātu, ar peles labo pogu noklikšķiniet uz tā un izvēlieties "Dzēst".
Lai instalētu sertifikātus, jums ir jāpievieno USB zibatmiņas disks ar EP, atveriet to un instalēt sertifikātus.
1. Lai izveidotu sertifikāta sertifikāta sertifikāta sertifikātu uzticamiem sakņu centriem, jums ir nepieciešams:
1.1. Double peles klikšķi uz galvas UZ sertifikāta - "galvas sertifikācijas centrs.cer" failu.
1.2. Tiek atvērta veidlapā, noklikšķiniet uz pogas "Instalēt sertifikātu ...". 
1.3. Izvēlieties "Novietojiet visus sertifikātus šādā atmiņā" (iestatiet atzīmi pirms uzraksta) un noklikšķiniet uz pogas "Pārskats". 
1.4. Atverot sarakstā, jums ir jāizvēlas "uzticami saknes centri sertifikāciju" un noklikšķiniet uz pogas "OK". 
2. Instalējiet personīgo sertifikātu
Personas sertifikāta instalēšana tiek veikta, izmantojot CSP Cryptopro programmu
2.1. Jums ir nepieciešams palaist CSP CryptoPro programmu ("Start" poga -\u003e CrpoPro SPS vai Sākt pogu -\u003e Visas programmas -\u003e Crypto-Pro -\u003e CryptoPro CSP). 
2.2. Logā, kas tiek atvērts, jums ir jāizvēlas cilne "Service" un noklikšķiniet uz pogas "Instalēt personīgo sertifikātu ...". 
2.3. Atveras logā, noklikšķiniet uz pogas "Pārskats", izvēlieties Flash Drive organizācijas sertifikātu - 2. failu ar paplašinājumu "CER" (nevis UC sertifikāta fails (piemēram, "Adicom.cer") un " Noklikšķiniet uz "Next". 
2.4. Veidlapā, kas atveras, jums ir noklikšķiniet uz "Next" 
2.5. Atverot formu, jums ir noklikšķiniet uz "Atrast konteineru automātiski". Rezultātā "galvenais konteinera nosaukums" tiks aizpildīts un noklikšķiniet uz "Next" 
2.6. Veidlapā, kas atveras, jums ir noklikšķiniet uz "Next" 
2.7. Atverot formā, jums ir noklikšķiniet uz "Ready" 
Lietotāja vietējā lietotājam viss, kas nepieciešams, lai radītu elektronisko parakstu, var parakstīt drukātas formas.
3. Instalējiet CryptoPro paplašinājumu CADES pārlūkprogrammas spraudnim pārlūkprogrammā
Lai instalētu pārlūkprogrammas paplašinājumu (papildinājumi) CryptoPro paplašinājums CADES pārlūkprogrammas spraudnim Atveriet stirklikas veikalu savā pārlūkprogrammā un meklējiet CADES šādus paplašinājumus / Yandex.Browser Link -