Instalarea certificatelor auto-semnate O sarcină foarte comună pentru administratorul de sistem. De obicei, se face manual, dar dacă nu există mașini pentru o duzină de mașini? Și cum să fie atunci când reinstalați sistemul sau cumpărați un PC nou, deoarece certificatul nu poate fi singur. Scrieți Recreation Crib? De ce, atunci când există o modalitate mult mai simplă și convenabilă - politicile de grup activedirectoriale. Odată ce configurați politicile, nu vă mai vă faceți griji cu privire la disponibilitatea utilizatorilor certificatelor necesare.
Astăzi vom examina distribuția certificatelor pe exemplul certificatului de rădăcini Zimbra, pe care am exportat-o. Sarcina noastră va fi după cum urmează - distribuiți automat certificatul pentru toate computerele incluse în unitate (OU) - Birou.. Acest lucru va permite să nu stabilească un certificat în cazul în care nu este necesar: pe desktop-urile de la nord, depozit și de numerar etc.
Deschideți rapid și creați o nouă politică în recipient Obiecte de politică de grupPentru a face acest lucru, faceți clic pe container cu butonul din dreapta și selectați Crea. Politica vă permite să instalați în același timp unul și mai multe certificate, cum să faceți - vă rezolvăm, preferăm să creăm politica noastră pentru fiecare certificat, vă permite să modificați mai flexibil regulile aplicației lor. De asemenea, trebuie să întrebi o politică de nume clar pentru a deschide consola în șase luni nu a trebuit să fii amintit dureros pentru ceea ce este necesar.
După acea tragere a politicilor la container Birou.care o va aplica acestei unități.
Faceți clic pe Politica cu butonul drept al mouse-ului și alegeți Schimbare. În politicile de grup au fost deschise, ne desfășurăm în mod constant Configurarea computerului - Configurarea Windows. - Parametrii de securitate - Deschideți politicile cheie -. În partea dreaptă a ferestrei din meniul cu clic dreapta, selectați Import Și să importe un certificat.
Politica este creată, acum momentul pentru a verifica corectitudinea aplicației sale. În Snap. Gestionarea politicilor de grup Alege Modelarea politicii de grup și începeți clic dreapta Master Modeling..
Majoritatea parametrilor pot fi lăsați în mod implicit, singurul lucru pe care doriți să îl specificați este un utilizator și un computer pentru care doriți să verificați politica.
Prin simularea, ne putem asigura că politica este aplicată cu succes la computerul specificat, altfel dezvăluim elementul Obiecte respinse Și ne uităm la motivul pentru care politica sa dovedit a fi inaplicabilă față de acest utilizator sau la computer.
După aceea, verificați activitatea politicii pe PC-ul client, pentru că voi actualiza politicile cu mâna:
Gpupdate.
Acum deschideți magazinul de certificate. Cel mai simplu mod de a face acest lucru Internet Explorer.: Proprietățile observatorului - Conţinut - Certificate. Certificatul nostru trebuie să fie prezent în container Centrele de certificare a rădăcinilor de încredere.
După cum puteți vedea - totul funcționează și o durere de cap la administrator a devenit mai puțin, certificatul se va răspândi automat la toate computerele plasate în diviziune Birou.. Dacă este necesar, puteți stabili condiții mai complexe pentru aplicarea politicilor, dar este deja dincolo de domeniul de aplicare al acestui articol.
Odată cu problema imposibilității implementării corecte datorită faptului că, pe computerele țintă cu Windows OC, depozitul de certificate de centre de certificare de încredere nu este actualizat (denumit în continuare, vom numi această depozitare tristrootca). În acel moment, întrebarea a fost eliminată prin implementarea pachetului rootsupd.exe.accesibil KB931125.Solicitat la OS. Windows XP.. Acum, acest sistem de operare este complet eliminat de la Microsoft Support, și poate, prin urmare, acest articol KB nu este disponibil mai mult pe site-ul Microsoft. La toate acestea, puteți adăuga ceva care chiar și în acel moment decizia cu implementarea pachetului de certificate deja învechite nu a fost cea mai optimă, de atunci au existat sisteme cu OS Windows Vista. și Windows 7.care au participat deja la un nou mecanism pentru actualizarea automată a spațiului de stocare a certificatelor Trustedrootca. Iată unul dintre articolele vechi despre Windows Vista, descriind câteva aspecte ale unui astfel de mecanism -Suport pentru certificate și comunicarea internet rezultată în Windows Vista . Recent, am întâlnit din nou problema inițială a necesității de a actualiza stocarea certificatelor Trustedrootca la o anumită masă de computere client Windows și servere. Toate aceste computere nu au acces direct la Internet și, prin urmare, mecanismul de certificate automate de actualizare nu își îndeplinește sarcina așa cum aș dori. Opțiunea cu deschiderea tuturor computerelor de acces direct la internet, lăsați-o chiar la anumite adrese, a fost inițial considerată extremă, iar căutarea unei soluții mai acceptabile a condus-o la articolConfigurați rădăcinile de încredere și certificatele nepermise (RU. ), care au răspuns imediat la toate întrebările mele. Ei bine, în general, pe baza acestui articol, această notă pe care o voi rezuma pe un exemplu specific, cum pot să mă reconectez centralizat pe computerele Windows Vista și mai presus de această actualizare automată a depozitării certificatelor TRUSTEDROOTCA să fie utilizată ca o resursă de fișier sursă sau site-ul web într-o rețea corporativă locală.Pentru a începe cu, ce să acorde atenție este că în politicile de grup aplicate computerelor, blocarea parametrilor funcționarea mecanismului de actualizare automată nu ar trebui să fie implicată. Acesta este un parametru Opriți actualizarea certificatelor automate de radiculare in sectiune Configurarea computerului. > Șabloane administrative. > Sistem. > Gestionarea comunicării pe Internet. > Setări de comunicare pe Internet. Avem nevoie de acest parametru pentru a fi Inchissau ușor Neconfigurat.
Dacă te uiți la magazinul de certificate Trustedrootca din secțiune Computerul local, Pe sistemele care nu au acces direct la internet, setul de certificate va fi corect, așa că spuneți mici:
Acest fișier este convenabil de utilizat, de exemplu, când, de la întregul subset al certificatelor disponibile, trebuie doar să selectați numai unele setați și descărcați-le într-un fișier SST separat pentru a descărca mai departe, de exemplu, utilizând consola locală de gestionare a certificatelor sau Utilizarea consolei de gestionare a politicii de grup (pentru importurile la care fie o politică de domeniu prin parametru Configurarea computerului. > Politici. > Setări Windows. > Setări de securitate > Politici cheie cheie. > Autoritățile de certificare a rădăcinilor de încredere).
Cu toate acestea, pentru propagarea certificatelor de rădăcini, vă interesează, utilizând modificarea funcționării mecanismului de actualizare automată a computerelor finale ale clienților, avem nevoie de o reprezentare ușor diferită a unei multitudini de certificate de rădăcini topice. Puteți obține utilizarea aceluiași utilitate Certlutil.Dar cu un alt set de chei.
În exemplul nostru, un folder de rețea partajat de pe serverul de fișiere va fi utilizat ca sursă de distribuție locală. Iar aici este important să atrageți atenția asupra faptului că, la pregătirea unui astfel de dosar, este necesar să se limiteze accesul la înregistrare, astfel încât să nu funcționeze astfel încât oricine să poată modifica setul de certificate de rădăcini, care va fi apoi "vărsat" de multe computere.
Certlutil. -Syncwithwu -f -f. \\\\ File-server \\ Share \\ RootCauUpd \\ gpo-implementare \\Cheile -F-F este utilizat pentru actualizarea forțată a tuturor fișierelor din directorul de destinație.
Ca urmare a executării comenzii din dosarul de rețea specificat de noi, va apărea o varietate de fișiere cu un volum total în podeaua Megabyte:
Conform celor menționate anterior
articole , fișiere de destinație după cum urmează:- Fişier authrootstl.cab. conține liste de încredere a certificatelor terților;
- Fişier dislesedcertstl.cab. conține o listă de certificate de încredere cu certificate increditate;
- Fişier dislocatcedcert.sst. conține un depozit de certificate serializate, inclusiv certificatele neadevărate;
- Fișiere cu nume de tip thumbprint.crt. Conțin certificate de rădăcini terță parte.
Astfel, fișierele necesare pentru funcționarea mecanismului de actualizare automată sunt obținute și acum mergem la punerea în aplicare a schimbării schemei lucrării acestui mecanism. Pentru aceasta, ca întotdeauna, politicienii de grup de domenii vin să ne ajute Director activ. (GPO.) Deși puteți utiliza alte instrumente de gestionare centralizate, tot ceea ce trebuie să facem pe toate computerele este de a schimba sau mai degrabă adăuga, doar un parametru de registru Rootdirrl. într-o ramură HKLM \\ Software \\ Microsoft \\ Systemcertificate \\ Authroot \\ AutoupdateCare va determina calea către directorul nostru de rețea în care am postat anterior un set de fișiere de certificate rădăcină.
Vorbind despre înființarea GPO, pentru a implementa din nou sarcina, puteți utiliza diferite opțiuni. De exemplu, există o opțiune "veche", cu crearea unui șablon de politică de grup, așa cum este descris în cele deja familiarizate
articol . Pentru a face acest lucru, creați un fișier în formatul șablonului administrativ GPO ( Adm.), de exemplu, numit RootcupdateLocalPath.Adm și conținut: Clasă Categoria de mașini !! Systemcertificate Keyname " Software \\ Microsoft \\ Systemcertificate \\ Authroot \\ Autoupdate"Politică !!!!!!!! RootDirll_Help RootDirurl" RootDirll "RootDiRll" RootDiRll "End Partea de end Politica de end Categoria de capăt ROOTDIRRL \u003d" Adresa URL care va fi utilizată în loc de implicit ctldl.windowsupdate.com "rootdirll_help \u003d" Introduceți un fișier sau o adresă URL HTTP Pentru a utiliza ca locație de descărcare a fișierelor CTL. "Systemcertificates \u003d" Setări Windows Autopatate "Copiați acest fișier la controlerul de domeniu din directorul% SystemRoot% \\ Inf (de regulă, acesta este directorul C: \\ Windows \\ Inf). După aceasta, ne întoarcem la editorul politicilor grupului de domenii și creați o nouă politică separată, deschizându-l pe editare. In sectiune Configurarea computerului. > Șabloane administrative ... Deschideți meniul contextual și selectați conexiunea noului șablon de politică. Adăugați / eliminați șabloanele
În fereastra care se deschide, folosind butonul de revizuire, selectați fișierul adăugat anterior. % SystemRoot% \\ Inf \\ RootcupdateLocalPath.Adm, iar după ce șablonul apare în listă, faceți clic pe Închide.
După acționarea acționând în secțiune Configurare. > Șabloane administrative. > Șabloane administrative clasice. (Adm.) Va apărea grupul Setările cu autocare Windows.în care va fi disponibil singurul parametru Adresa URL care va fi utilizată Instad de implicit ctldl.windowsupdate.com
Vom deschide acest parametru și vom introduce calea către resursa locală pe care am plasat fișierele de actualizare descărcate anterior, în http: // server1 / dosar sau fișier: /// \\\\ server1 \\ Format folder,
de exemplu fișier: // \\\\ File-server \\ Share \\ RootCauUpd \\ GPO-Implement
Salvăm modificările efectuate și aplicați politica creată în containerul de domeniu, în care sunt amplasate computerele țintă. Cu toate acestea, metoda considerată a GPO de configurare are o serie de deficiențe și de aceea l-am numit "Vechi-sculnia".
O altă metodă de configurare a registrului de client mai modern și mai avansată este utilizarea Preferințe politice de grup. (GPP.). Cu această opțiune, putem crea un obiect GPP adecvat în secțiunea de politică de grup Configurarea computerului. > Preferințe. > Registru Odată cu actualizarea parametrului ( Acțiune.: Actualizați.) Registrul Rootdirrl. (Tipul de valoare Reg_sz.)
Dacă este necesar, putem permite un mecanism flexibil de urmărire a parametrului GPP creat (marcaj UZUAL. \u003e Opțiune Direcționarea la nivel de element) La un anumit computer sau un grup de computere pentru pre-testarea că ajungem la politicile de grup de primăvară.
Desigur, trebuie să alegeți o singură opțiune sau cu conexiunea propriei dvs. Adm.-Sblon sau utilizarea GPP..
După configurarea politicilor de grup pe orice computer client experimental, veți executa actualizarea comenzii gpupdate / forță Reboot ulterior. După încărcarea sistemului, verificați prezența unei taste create în registru și încercați să verificați actualizarea depozitului de certificate rădăcină. Pentru a verifica, folosim un exemplu simplu, dar eficient descris într-o crestătură
Rădăcini de încredere și certificatele nepermise .De exemplu, să vedem dacă există un certificat rădăcină în depozitul certificatului de calculator, utilizat pentru a emite un certificat, care este instalat pe site-ul numit Buypass.no (dar nu mergeți la site-ul în sine :)).
Faceți acest lucru cel mai convenabil cu ajutorul fondurilor PowerShell.:
Get-ChildITEM CERT: \\ LocalMachine \\ Root | Unde ($ _ .Friendlyname -ke "* buypass *")Cu o probabilitate mare, nu vom avea un astfel de certificat rădăcină. Dacă da, mă voi deschide Internet Explorer. și să se refere la adresa URLhttps://buypass.no. . Și dacă mecanismul configurat de noi actualizează automat certificatele de rădăcini este de succes, apoi în jurnalul de evenimente Windows Aplicație Cu acest lucru va apărea evenimentul cu sursa ( Sursă.) CAPI2.indicând descărcarea cu succes a noului certificat rădăcină:
Numele jurnalului: aplicațieCumva a venit la mine un prieten (Seryoga cu antelecs.ru), cu o întrebare dacă este posibilă accelerarea / automatizarea procesului de rutină pentru adăugarea de certificate multiple la depozitul centrelor de certificare de radiculare de încredere. Sarcina mi-a părut interesantă și potrivită pe subiectul site-ului, deci decizia pe care am luat-o pentru a publica aici. Software gratuit Vă sugerăm să descărcați Cybersoft!
Bineînțeles, ar fi posibil să înghețe cu GPO sau altceva-admin, dar din anumite motive am fost primul gând de a folosi remediile sub forma arhivatorului RAR și a funcțiilor sale de a crea auto-extragere (SFX) arhive.
Facem certificate de instalare auto
Vom avea nevoie de un utilitar certMgr.exe dintr-un set Windows SDK. Informații despre cum să o utilizați - este pe această pagină.
În meniul contextual, când selectați toate fișierele, selectați comanda "Adăugați la arhivă ...".
Indică parametrii de arhivare. Aici puteți seta un nume arbitrar al fișierului executabil de ieșire și este necesar, de asemenea, să marcați elementul "Creați arhiva SFX".
În fila Avansat, faceți clic pe butonul "SFX ..." Parametri.
În fila General, specificați calea pentru despachetare - puteți specifica dosarul curent sau subdirectorul IT.
Cel mai interesant: În fila "Setup", specificați comenzile pentru a efectua după extragerea fișierului. Catalogul curent va fi cel în care fișierele sunt despachetate. Comanda de instalare a certificatului în stocare arată astfel:
certMgr.exe -Add-C "Nume fișier.cer" -s -l Root LocalMachine
În cazul în care localmachina înseamnă o instalație pentru un computer și rădăcină este numele depozitului de centre de certificare de bază de încredere.
Pentru ușurința utilizării, puteți ascunde toate casetele de dialog (altfel va fi afișată o casetă de dialog de selectare a directorului pentru despachetare etc.).
În fila Comentarii, sunt afișate toate acțiunile efectuate în timpul despachetării. În principiu, puteți introduce textul manual și puteți executa același lucru.
Video pe subiect
Pentru o mai bună înțelegere a procesului, am înregistrat un mic videoclip!
- "Alți utilizatori" - depozitul certificatelor de control al autorităților;
- "Centrele de bază de certificare de încredere" și "Centrele Interimare de Certificare" - Warehouse certificat de certificare.
Instalarea certificatelor personale se face numai utilizând programul cript Pro.
Pentru a porni consola, trebuie să efectuați pașii următori.
1. Selectați meniul "Start"\u003e "Run" (sau pe tastatură, apăsați în același timp tastele "Win + R").
2. Specificați comanda MMC și faceți clic pe butonul "OK".
3. Selectați "Fișierul"\u003e "Adăugați sau eliminați echipamentul".
4. Selectați din listă pentru a fixa "Certificatele" și faceți clic pe butonul Adăugare.
5. În fereastra care se deschide, setați comutatorul "Contul meu de utilizator" și faceți clic pe butonul "Finish".
6. Selectați din lista din instrumentul adăugat drept și faceți clic pe butonul "OK".
Instalarea certificatelor
1. Deschideți depozitul necesar (de exemplu, centre de certificare a rădăcinilor de încredere). Pentru a face acest lucru, dezvăluiți "Certificatele - informațiile curente"\u003e "Centrele Root de încredere"\u003e "Certificatele".
2. Selectați meniul "Acțiune"\u003e "Toate sarcinile"\u003e "Import".
4. Apoi, faceți clic pe butonul "Prezentare generală" și specificați fișierul de certificat pentru importuri (certificatele de bază ale Centrului de certificate pot fi descărcate de pe site-ul centrului de certificare, certificatele autorităților de control sunt situate pe site-ul sistemului de circuit. Experiență ). După selectarea unui certificat, trebuie să faceți clic pe butonul "Deschis", apoi prin butonul "Următorul".
5. În fereastra următoare, trebuie să faceți clic pe butonul "Următorul" (stocarea dorită este selectată automat).
6. Apăsați butonul "Finish" pentru a finaliza importul.
Ștergeți certificatele
Pentru a elimina certificatele utilizând consola MMC (de exemplu, din depozitarea altor utilizatori), trebuie să faceți următoarele:
Deschideți ramura "Certificatele - utilizatorul curent"\u003e "Alți utilizatori"\u003e "Certificate". În partea dreaptă a ferestrei, vor fi afișate toate certificatele instalate în depozitul "Alți utilizatori". Selectați certificatul dorit, faceți clic dreapta pe acesta și selectați "Ștergere".
Pentru a instala certificate, trebuie să conectați o unitate flash USB cu EP, să o deschideți și să instalați certificate.
1. Pentru a stabili certificatul Centrului certificat de certificare la centrele de rădăcină de încredere, pentru că aveți nevoie:
1.1. Dublu click de mouse pe certificatul capului UZ - fișierul "Center Certificator.Cer".
1.2. În forma care se deschide, trebuie să faceți clic pe butonul "Instalare certificat ...". 
1.3 Selectați "Plasați toate certificatele în următoarea stocare" (Setați marcajul înainte de inscripție) și faceți clic pe butonul "Prezentare generală". 
1.4. În lista care se deschide, trebuie să selectați "Centrele de certificare de încredere de încredere" și faceți clic pe butonul "OK". 
2. Instalați un certificat personal
Instalarea unui certificat personal se efectuează utilizând programul CSP Cryptopro
2.1. Trebuie să rulați programul CSP Cryptopro (butonul "Start" -\u003e CRPTOPRO CSP sau butonul Start -\u003e Toate programele -\u003e Crypto-Pro -\u003e Cryptopro CSP). 
2.2. În fereastra care se deschide, trebuie să selectați fila "Service" și faceți clic pe butonul "Instalați certificatul personal ...". 
2.3. În fereastra care se deschide, faceți clic pe butonul "Prezentare generală", selectați certificatul de organizare de pe unitatea flash - fișierul 2 cu extensia "CER" (nu este un fișier de certificat UC (în exemplul "ADICOM.CER")) și Faceți clic pe "Next". 
2.4. În forma care se deschide, trebuie să faceți clic pe "Next" 
2.5. În forma care se deschide, trebuie să faceți clic pe "găsiți automat recipientul". Ca rezultat, "numele containerului cheie" va fi completat și faceți clic pe "Next" 
2.6. În forma care se deschide, trebuie să faceți clic pe "Next" 
2.7. În forma care se deschide, trebuie să faceți clic pe "Ready" 
Pe utilizatorul local al utilizatorului, tot ce aveți nevoie pentru a genera o semnătură electronică poate fi semnat prin formulare tipărite.
3. Instalați extensia Cryptopro pentru plug-in-ul browserului CADS în browser
Pentru a instala o extensie de browser (adăugiri) Extensia Cryptopro pentru Plugin Browser Cades Deschideți magazinul Stirling din browserul dvs. și căutați cadre după extensii / pentru Yandex.Browser Link -