Kendinden imzalı sertifikaları takma Sistem yöneticisi için çok yaygın bir görev. Genellikle manuel olarak yapılır, ancak bir düzine araba için araba yoksa? Ve sistemi tekrar yüklerken veya yeni bir PC satın alınırken nasıl olacağı, çünkü sertifika yalnız olmayabilir. Crib Rekreasyon Yazın? Neden, çok daha basit ve kullanışlı bir yol varken - Activeddirectory Grup İlkeleri. Politikaları yapılandırıldıktan sonra, gerekli sertifikaların kullanıcılarının kullanılabilirliği konusunda artık endişelenemezsiniz.
Bugün, ihraç ettiğimiz kök sertifikası Zimbra örneği üzerine sertifikaların dağılımına bakacağız. Görevimiz aşağıdaki gibi olacak - birimdeki (OU) içindeki tüm bilgisayarlar için sertifikayı otomatik olarak dağıtın - Ofis.. Bu, gerekli olmadığı bir sertifika oluşturmamasına izin verecek: kuzeyde, depo ve nakit masaüstleri vb.
Snap'ı açın ve kabın içindeki yeni bir politika oluşturun Grup İlkesi NesneleriBunu yapmak için, sağ düğmeyle kabı tıklayın ve seçin Oluşturmak. Politika, hem bir hem de birkaç sertifika kurmanıza izin veriyor, nasıl yapılır - Sizi çözün, her sertifika için politikamızı oluşturmayı tercih ediyoruz, uygulamalarının kurallarını daha esnek bir şekilde değiştirmenize izin verir. Ayrıca altı ay içinde konsolu açmak için net bir ad politikası sormalısınız.
Bundan sonra politikaları kabın içine sürükleyin Ofis.Bu, bu birime uygulayacak.
Şimdi sağ fare düğmesiyle bağlantıya tıklayın ve seçin Değişiklik. Açılan grup politikalarında sürekli açılıyoruz Bilgisayar Yapılandırması - Windows Yapılandırması - Güvenlik parametreleri - Anahtar Politikaları Aç -. Pencerenin sağ tarafında sağ tıklama menüsünde, İthalat Ve bir sertifika içe aktarın.
Politika, şimdi başvurusunun doğruluğunu kontrol etme zamanı geldi. Çıtçıtta Grup İlkesi Yönetimi Seç Grup İlkesi Modellemesi ve sağ tıklayın Ana modelleme.
Çoğu parametre varsayılan olarak bırakılabilir, belirtilecek tek şey, politikayı kontrol etmek istediğiniz bir kullanıcı ve bilgisayardır.
Simüle ederek, politikanın belirtilen bilgisayara başarıyla uygulandığından emin olabiliriz, aksi takdirde öğeyi ifşa ettik. Reddedilen nesneler Ve politikaların bu kullanıcı veya bilgisayara uygulanabileceği bir şekilde ortaya çıktık.
Bundan sonra, politika çalışmalarını Müşteri PC'sinde kontrol edin, bunun için tüm ekible poliçeleri elle güncelleyeceğim:
Gpupdate.
Şimdi sertifika deposunu açın. Bunu yapmanın en kolay yolu Internet Explorer.: Gözlemcinin özellikleri - İçerik - Sertifikalar. Sertifikamız konteynerde bulunmalıdır Güvenilir Kök Sertifika Merkezleri.
Gördüğünüz gibi - her şey çalışıyor ve yöneticideki bir baş ağrısı daha az hale geldi, sertifika otomatik olarak bölünmeye yerleştirilen tüm bilgisayarlara yayılacak. Ofis.. Gerekirse, politikaların uygulanması için daha karmaşık koşullar belirleyebilirsiniz, ancak bu makalenin kapsamı zaten ötesindedir.
Doğru dağıtımın imkansızlığı sorunuyla, OC Windows'u olan hedef bilgisayarlarda, sertifikasyonun güvenilir kök merkezlerinin sertifikaları güncellenmesi nedeniyle güncellenmedi (bundan sonra, bu Trustedrootca depolamasını arayacağız). O zaman, soru paketi dağıtarak kaldırıldı. rootsupd.exe.uygun fiyatlı KB931125.işletim sistemi istendi Windows XP.. Şimdi, bu işletim sistemi tamamen Microsoft desteğinden çıkarılmıştır ve belki de bu KB makalesi Microsoft web sitesinde daha uygun değildir. Bütün bunlara göre, o zaman bile, o zamandan beri zaten eski sertifika paketinin dağıtımına ilişkin kararın en optimum değildi, o zamandan beri işletim sistemi olan sistemler vardı. Windows Vista. ve Windows 7.Bu zaten TrustedRootca sertifika deposunu otomatik olarak güncellemek için yeni bir mekanizmaya katıldı. İşte, Windows Vista hakkındaki eski makalelerden biri, böyle bir mekanizmanın bazı yönlerini tanımlayan -Sertifika Desteği ve Windows Vista'da İnternet İletişim . Son zamanlarda, yine, belirli bir Windows istemci bilgisayar ve sunucuların belirli bir kitlesindeki Trustedrootca sertifika deposunu güncelleme ihtiyacının orijinal sorunu ile karşılaştım. Bütün bu bilgisayarların internete doğrudan erişimi yoktur ve bu nedenle otomatik güncelleme sertifikaları mekanizması, istediğim gibi görevini yerine getirmiyor. Seçenek doğrudan internet erişiminin tüm bilgisayarlarının açılmasıyla, belirli adreslerde bile izin verdi, başlangıçta aşırı olarak kabul edildi ve daha kabul edilebilir bir çözüm arayışı beni makaleye yönlendirdi.Güvenilir kökleri ve izin vermeyen sertifikaları yapılandırın (Ru ), kim hemen tüm sorularıma cevap verdi. Genel olarak, genel olarak, bu makaleye dayanarak, bu nota özgü bir örnekte özetleyeceğim, Windows Vista bilgisayarlarında ve bu da bu en üst düzeyde bir kaynak güncelleme dosyası kaynağı olarak kullanılacak olan Trustedrootca sertifika depolamasının en otomatik güncellenmesini nasıl yapabilirim veya Yerel bir şirket ağında web sitesi.Başlamak için, neye dikkat edilmesi gerektiği, bilgisayarlara uygulanan grup politikalarında, otomatik güncelleme mekanizmasının çalışmasını engelleyen parametre dahil olmamasıdır. Bu bir parametredir Otomatik kök sertifikaları güncellemesini kapatın Bölümde Bilgisayar Yapılandırması. > İdari şablonlar. > Sistem. > İnternet İletişim Yönetimi. > İnternet İletişim Ayarları. Bu parametreye ihtiyacımız var Kapalıveya kolay Ayarlanmamış.
Bölümdeki TrustDrootca sertifika deposuna bakarsanız Yerel bilgisayar, doğrudan internet erişimine sahip olmayan sistemlerde, sertifika seti haklı olacak, bu yüzden küçük diyebilirsiniz:
Bu dosya kullanım için uygundur, örneğin, mevcut sertifikaların tüm alt kümesinden, yalnızca bazı ayarları seçmeniz ve daha fazla indirmek için ayrı bir SST dosyasına, örneğin yerel sertifika yönetimi konsolunu kullanarak veya Grup İlkesi Yönetim Konsolu'nu kullanma (parametre aracılığıyla bir etki alanı politikası için ithalat için) Bilgisayar Yapılandırması. > Politikalar. > Windows Ayarları > Güvenlik ayarları > Genel anahtar politikaları. > Güvenilen Kök Sertifika Yetkilileri).
Bununla birlikte, ilgilendiğiniz kök sertifikaların yayılması için, son istemci bilgisayarlarda otomatik güncelleme mekanizmasının çalışmasının değiştirilmesini kullanarak, çok sayıda topikal kök sertifikasının biraz farklı bir gösterimine ihtiyacımız var. Aynı yardımcı programı kullanarak alabilirsiniz Certutil.Ancak başka bir anahtar seti ile.
Örneğimizde, dosya sunucusundaki paylaşılan bir ağ klasörü yerel bir dağıtım kaynağı olarak kullanılacaktır. Ve burada böyle bir klasör hazırlanırken, herhangi birinin kök sertifikaları setini değiştirebilmesi için işe yaramayacağı için kaydının erişiminin sınırlandırılması gerektiği gerçeğine dikkat çekmek önemlidir. Birçok bilgisayar tarafından.
Certutil. -Syncwithwu -f -f. \\\\ dosya-sunucu \\ Paylaş \\ rootcaupd \\ GPO-dağıtım \\Anahtarlar -F -F, Hedef dizindeki tüm dosyaların zorunlu güncellemesi için kullanılır.
Komutun bizim tarafımızdan belirtilen ağ klasöründeki yürütülmesinin bir sonucu olarak, megabayt katındaki toplam birimde çeşitli dosyalar görünecektir:
Daha önce belirtilenlere göre
nesne , hedef dosyaları aşağıdaki gibidir:- Dosya authrootstl.cab. üçüncü taraf sertifika güven listeleri içerir;
- Dosya disallowedcertstl.cab. inanılmaz sertifikalara sahip güven sertifikalarının bir listesini içerir;
- Dosya izinsizCert.sst. Gerçekleştirilmiş sertifikalar da dahil olmak üzere, serileştirilmiş sertifikaların bir deposunu içerir;
- Tür isimleri olan dosyalar thumbprint.crt. Üçüncü taraf kök sertifikaları içerir.
Bu nedenle, otomatik güncelleme mekanizmasının çalışması için gerekli dosyalar elde edilir ve şimdi bu çok mekanizmanın çalışmaları şemasındaki değişimin uygulanmasına gidiyoruz. Bunun için her zaman olduğu gibi, etki alanı grubu politikacıları bize yardım etmeye geldiler. Active Directory. (GPO.) Diğer merkezi yönetim araçlarını kullanabilmeniz olsa da, tüm bilgisayarlarda yapmamız gereken her şey değiştirmek ya da eklemek, sadece bir kayıt parametresidir. Rootdirrl. bir dalda HKLM \\ Software \\ Microsoft \\ SystemCertificates \\ Authroot \\ AutoupdateBu, daha önce bir dizi kök sertifika dosyası gönderdiğimiz ağ dizinimize giden yolu belirleyecektir.
GPO'yu ayarlamakla ilgili olarak, görevi yerine getirmek için, tekrar, farklı seçenekler kullanabilirsiniz. Örneğin, bir grup politika şablonunun oluşturulmasıyla "eski ölçekli" bir seçenek var, çünkü bize zaten tanıdık olarak açıklandı.
makale . Bunu yapmak için, GPO Yönetim Şablonu'nun biçiminde bir dosya oluşturun ( ADM.), örneğin, rootcupdatelocalpath.adm ve içerik olarak adlandırılmış: Sınıf Makine Kategorisi !! SystemCertificates KeyName " Yazılım \\ Microsoft \\ SystemCertificates \\ Authroot \\ Autoupdate"Politika !! rootdirurl açıklamak !! rootdirurl_help rol !! rootdirurl editts valuename" rootdirurl "son parça sonu politikası sonu kategorisi rootdirurl \u003d" varsayılan olarak kullanılacak URL adresi "rootdirurl_help \u003d" Bir dosya veya HTTP URL'sini girin CTL dosyalarının indirme konumu olarak kullanmak için. "SystemCertificates \u003d" Windows Autopdate Ayarları "Bu dosyayı% SystemRoot% \\ INF dizininde etki alanı denetleyicisine kopyalayın (kural olarak, bu C: \\ Windows \\ INF dizinidir). Bundan sonra, etki alanı grubu politikalarının editörüne döner ve ayrı bir yeni politika oluştururuz, düzenlemeye açılır. Bölümde Bilgisayar Yapılandırması. > İdari Şablonlar ... Bağlam menüsünü açın ve yeni politika şablonunun bağlantısını seçin. Şablon Ekle / Kaldır
Açılan pencerede, İnceleme düğmesini kullanarak, önceden eklenen dosyayı seçin. % Systemroot% \\ inf \\ rootcupdatelocalpath.admve şablon listede göründükten sonra, Kapat.
Bölümde hareket eden oyunculuktan sonra Yapılandırma. > İdari şablonlar. > Klasik idari şablonlar. (ADM.) Grup görünecek Windows AutoupDate ayarlarıTek parametrenin bulunduğu URL Adresi Kullanılacak URL Adresi Varsayılan CTLDL.WindowsUpdate.com
Bu parametreyi açacağız ve daha önce indirilen güncelleme dosyalarını, http: // Server1 / Folder veya Dosya: /// \\\\ Server1 \\ Klasör formatında, daha önce indirilen güncelleme dosyalarını yerleştirdiğimiz yerel kaynağa gireceğiz.
Örneğin dosya: // \\\\ File-Server \\ Share \\ Rootcaupd \\ GPO-Dağıtım
Yapılan değişiklikleri kaydederiz ve oluşturulan politikayı, hedef bilgisayarların bulunduğu etki alanı kapsayıcısına uygulayız. Bununla birlikte, Kurulum GPO'nun kabul edilen yöntemi bir dizi eksiklik vardır ve bu yüzden "Old-Sculnia" olarak adlandırdığımdır.
Başka, daha modern ve daha gelişmiş müşteri kayıt defteri yapılandırma yöntemi kullanmaktır Grup İlkesi Tercihleri. (GPP.). Bu seçenekle, Grup İlkesi bölümünde uygun bir GPP nesnesi oluşturabiliriz. Bilgisayar Yapılandırması. > Tercihler. > Kayıt Parametrenin güncellenmesi ile ( Aksiyon.: Güncelleme.) Kayıt Rootdirrl. (Değer türü Reg_sz.)
Gerekirse, oluşturulan GPP parametresi için esnek bir amaçlama mekanizmasını etkinleştirebiliriz (yer imi YAYGIN. \u003e Seçenek Öğe düzeyinde hedefleme) Birinci sınıf grup politikalarıyla sonuçlandığımız ön test için belirli bir bilgisayara veya bilgisayar grubuna.
Tabii ki, bir seçenek seçmeniz gerekir ya da kendi bağlantısınızla ADM.-Sblon veya kullanma GPP..
Herhangi bir deneysel istemci bilgisayarda grup politikaları kurduktan sonra, komut güncellemesini çalıştıracaksınız. gpupdate / kuvvet Sonraki yeniden başlatma. Sistemi yükledikten sonra, kayıt defterindeki oluşturulan bir anahtarın varlığını kontrol edin ve kök sertifika deposunu güncellemeyi deneyin. Kontrol etmek için, bir çentikte açıklanan basit fakat etkili bir örnek kullanıyoruz.
Güvenilir kökler ve izin verilmeyen sertifikalar .Örneğin, BuySnass.no adlı siteye yüklenen bir sertifika vermek için kullanılan bilgisayar sertifikası deposunda bir kök sertifikası olup olmadığını görelim (ancak siteye gitmeyin :)).
Fonların yardımıyla bu en uygun hale getirin Güç kalkanı:
Get-Childitem Cert: \\ LocalMachine \\ Root | Nerede ($ _. FriendlyName benzeri "* BUYPASS *")Büyük bir olasılıkla, böyle bir kök sertifikasına sahip olmayacağız. Eğer öyleyse, açacağım Internet Explorer. ve URL'ye bakınhttps://buypass.no. . Ve bizim tarafımızdan yapılandırılan mekanizma otomatik olarak kök sertifikalarını güncellerse, ardından Windows Olay günlüğünde Uygulama Bununla, kaynakla etkinlik görünecektir ( Kaynak) Capi2.Yeni kök sertifikasının başarılı bir şekilde indirilmesini belirten:
Dergi Adı: UygulamaBir şekilde bana bir arkadaşıma (AntElecs.ru ile birlikte Seryoga) geldi. Görev bana ilginç görünüyordu ve sitenin konusuna uygun görünüyordu, bu yüzden burada yayınlamaya karar verdim. Ücretsiz Yazılım Cybersoft'u indirmeyi öneririm!
Tabii ki, GPO veya başka bir şey başka bir şeyle dondurmak mümkün olacaktır, ancak nedense, bir nedenden dolayı, rar-arşivleyici ve kendiliğinden çıkarılan (SFX) oluşturma fonksiyonları formundaki ilaçları kullanan ilk düşüncem olmuştur. Arşivler.
Otomatik kurulum sertifikalarını yapıyoruz
Bir Windows SDK setinden Certmgr.exe yardımcı programına ihtiyacımız olacak. Bunun nasıl kullanılacağı hakkında bilgi - bu sayfada.
Bağlam menüsünde, tüm dosyaları seçtiğinizde, "Arşive Ekle ..." komutunu seçin.
Arşiv parametrelerini belirtin. Burada, çıktı yürütülebilir dosyanın keyfi bir adını ayarlayabilirsiniz ve "SFX Arşivi Oluştur" öğesini işaretlemek de gereklidir.
Gelişmiş sekmesinde, "SFX ..." parametreleri düğmesini tıklayın.
Genel sekmesinde, ambalajlama yolunu belirtin - Geçerli klasörü veya alt dizinini belirleyebilirsiniz.
En ilginç: "Kurulum" sekmesinde, dosya çıkarmadan sonra hangi komutları gerçekleştireceğinizi belirtin. Mevcut katalog, dosyaların açılmadığı kişi olacaktır. Sertifikayı depolamaya yükleme komutu şöyle görünür:
certmgr.exe -Add -c "dosya adı.cer" -S -L localmachine kök
yerelMachinin bir bilgisayar için bir kurulum anlamına gelirse ve kök, güvenilir kök sertifikasyon merkezlerinin deposunun adıdır.
Kullanım kolaylığı için, tüm iletişim kutularını gizleyebilirsiniz (Aksi halde ambalajlamak için bir dizin seçim iletişim kutusu görüntülenecektir.).
Yorumlar sekmesinde, ambalajlama sırasında gerçekleştirilen tüm eylemler görüntülenir. Prensip olarak, metni manuel olarak girebilir ve aynı şeyi uygulayabilirsiniz.
Konudaki video
Sürecin daha iyi anlaşılması için küçük bir video kaydettim!
- "Diğer kullanıcılar" - makamların kontrol sertifikalarının deposu;
- "Güvenilir Sertifika Kök Merkezleri" ve "Geçici Sertifika Merkezleri" - Sertifika Merkezi Sertifika Deposu.
Kişisel sertifikaları yüklemek, yalnızca Crypt Pro programını kullanarak yapılır.
Konsolu başlatmak için aşağıdaki adımları izlemelisiniz.
1. "Başlat"\u003e "Çalıştır" menüsünü seçin (veya aynı anda klavyede "Win + R" tuşlarına basın).
2. MMC komutunu belirtin ve "Tamam" düğmesine tıklayın.
3. "Dosyayı"\u003e "Eklentiyi Ekle veya Kaldır" menüsünü seçin.
4. "Sertifikalar" için listeden seçin ve Ekle düğmesine tıklayın.
5. Açılan pencerede, "Kullanıcı Hesabım" düğmesini ayarlayın ve "Son" düğmesini tıklayın.
6. Sağ ek karttaki listeden seçin ve "Tamam" düğmesine tıklayın.
Sertifikaları Yükleme
1. İstenilen depoyu açın (örneğin, güvenilir kök sertifikasyon merkezleri). Bunu yapmak için "Sertifikalar - Mevcut Bilgileri"\u003e "Sertifikanın Güvenilir Kök Merkezleri"\u003e "Sertifikalar".
2. "İşlem" menüsünü\u003e "Tüm Görevler"\u003e "İçe Aktar" seçeneğini seçin.
4. Sonraki, "Genel Bakış" düğmesine tıklayın ve ithalat için sertifika dosyasını belirtin (Sertifika Merkezi'nin Kök Sertifikaları Sertifika Merkezi web sitesinden indirilebilir, kontrol yetkilileri sertifikaları, devre sisteminin web sitesinde bulunur. Deneyim ). Bir sertifikayı seçtikten sonra, "Aç" düğmesine ve ardından "İleri" düğmesine tıklamanız gerekir.
5. Bir sonraki pencerede, "İleri" düğmesine tıklamanız gerekir (istenen depolama otomatik olarak seçilir).
6. İçe aktarmayı tamamlamak için "Son" düğmesine basın.
Sertifikaları Sil
MMC konsolunu kullanarak sertifikaları kaldırmak için (örneğin, diğer kullanıcıların depolanmasından), aşağıdakileri yapmanız gerekir:
Şubeyi açın "Sertifikalar - Geçerli Kullanıcı"\u003e "Diğer Kullanıcılar"\u003e "Sertifikalar". Pencerenin sağ tarafında, "diğer kullanıcılar" deposuna yüklenen tüm sertifikalar görüntülenecektir. Gerekli sertifikayı seçin, üzerine sağ tıklayın ve "Sil" seçeneğini seçin.
Sertifikaları yüklemek için, bir USB flash sürücüsünü EP ile bağlamanız ve sertifikaları kurmanız gerekir.
1. Sertifika Sertifika Merkezi Sertifikasını güvenilir kök merkezlerine kurmak için, bunun için ihtiyacınız var:
1.1. Çift fare, Kafa Özü - "Head Sertifikating Center.cer" dosyasının sertifikasına tıklayın.
1.2. Açılan formda, "Sertifika Yükle ..." düğmesini tıklamanız gerekir. 
1.3. "Tüm sertifikaları aşağıdaki depoda" yerleştirin (Yazıttan önce işaretinizi ayarlayın) ve "Genel Bakış" düğmesine tıklayın. 
1.4. Açılan listede, "Sertifikasyonun Güvenilir Kök Merkezleri" ni seçmeli ve "Tamam" düğmesini tıklayın. 
2. Kişisel bir sertifika yükleyin
Bir Kişisel Sertifika Yükleme CSP Cryptopro Programı kullanılarak gerçekleştirilir.
2.1. CSP CryptOpro Programını ("Başlat" düğmesi -\u003e Crptopro CSP veya Başlat düğmesi -\u003e Tüm Programlar -\u003e Crypto-Pro -\u003e Cryptopro CSP) çalıştırmanız gerekir. 
2.2. Açılan pencerede, "Servis" sekmesini seçmelisiniz ve "Kişisel Sertifika Yükle ..." düğmesini tıklayın. 
2.3. Açılan pencerede, "Genel Bakış" düğmesini tıklatın, Flash sürücüsündeki Kuruluş Sertifikasını seçin - "CER" uzantısına sahip 2. dosya (bir UC sertifika dosyası değil (örnekte "adicom.cer") ve Sonrakine tıkla". 
2.4. Açılan formda, "İleri" yi tıklamanız gerekir. 
2.5. Açılan formda, "Konteyner Bul'u Bul'u Bulun" üzerine tıklamanız gerekir. Sonuç olarak, "anahtar konteyner adı" doldurulacak ve "İleri" yi tıklayın. 
2.6. Açılan formda, "İleri" yi tıklamanız gerekir. 
2.7. Açılan formda, "HAZIR" düğmesini tıklamanız gerekir. 
Kullanıcının yerel kullanıcısında, elektronik imza üretmek için ihtiyacınız olan her şey basılı formlarla imzalanabilir.
3. CRYPTOPRO Uzantısını tarayıcıda Cades Tarayıcı eklentisi için yükleyin
Bir tarayıcı uzantısı yüklemek (eklemeler) CRYPTOPRO uzantısı için Cades tarayıcı eklentisi Tarayıcınızda Stirling Mağazasını açın ve aşağıdaki uzantıları takip eden Cades'i arayın / Yandex.Browser Link -