Установка самоподпісанного сертифікатів дуже часте завдання для системного адміністратора. Зазвичай це робиться вручну, але якщо машин не один десяток? І як бути при перевстановлення системи або купівлі нового ПК, адже сертифікат може бути і не один. Писати шпаргалки-нагадування? Навіщо, коли є набагато більш простий і зручний спосіб - групові політики ActiveDirectory. Один раз налаштувавши політику можна більше не турбується про наявність у користувачів необхідних сертифікатів.
Сьогодні ми розглянемо поширення сертифікатів на прикладі кореневого сертифіката Zimbra, який ми експортували в. Наше завдання буде стояти наступним чином - автоматично поширювати сертифікат на всі комп'ютери входять до підрозділу (OU) - Office. Це дозволить не встановлювати сертифікат туди, де він не потрібен: на півночі, складські та касові робітники станції і т.д.
Відкриємо оснащення і створимо нову політику в контейнері Об'єкти групової політики, Для цього клацніть на контейнері правою кнопкою і виберіть створити. Політика дозволяє встановлювати як один, так і кілька сертифікатів одночасно, як вчинити - вирішувати вам, ми ж вважаємо за краще створювати для кожного сертифіката свою політику, це дозволяє більш гнучко змінювати правила їх застосування. Також слід задати політиці зрозуміле ім'я, щоб відкривши консоль через півроку вам не довелося болісно згадувати для чого вона потрібна.
Після чого перетягніть політику на контейнер Office, Що дозволить застосувати її до даного підрозділу.
Тепер клацнемо на політику правою кнопкою миші і виберемо змінити. У відкритому редакторі групових політик послідовно розгортаємо конфігурація комп'ютера - конфігурація Windows - параметри безпеки - Політики відкритого ключа -. У правій частині вікна в меню правою кнопкою миші вибираємо імпорт і імпортуємо сертифікат.
Політика створена, тепер саме час перевірити правильність її застосування. В оснащенні Управління груповою політикою виберемо Моделювання групової політики і запустимо по правому кліку Майстер моделювання.
Більшість параметрів можна залишити за замовчуванням, єдине що слід задати - це користувача і комп'ютер для яких ви хочете перевірити політику.
Виконавши моделювання можемо переконатися, що політика успішно застосовується до зазначеного комп'ютера, в іншому випадку розкриваємо пункт відхилені об'єкти і дивимося причину по якій політика виявилася непридатна до даного користувача або комп'ютера.
Після чого перевіримо роботу політики на клієнтському ПК, для цього оновимо політики вручну командою:
Gpupdate
Тепер відкриємо сховище сертифікатів. Найпростіше це зробити через Internet Explorer: Властивості оглядача - зміст - сертифікати. Наш сертифікат повинен бути присутнім в контейнері Довірені кореневі центри сертифікації.
Як бачимо - все працює і одним головним болем у адміністратора стало менше, сертифікат буде автоматично поширюватися на всі комп'ютери поміщені в підрозділ Office. При необхідності можна задати більш складні умови застосування політики, але це вже виходить за рамки даної статті.
з проблемою неможливості коректного розгортання ПО через те, що на цільових комп'ютерах з OC Windows не оновлюється сховище сертифікатів довірених кореневих центрів сертифікації (далі для стислості будемо називає це сховище TrustedRootCA). На той момент питання було зняте з допомогою розгортання пакета rootsupd.exe, Доступного в статті KB931125, Яка ставилася до ОС Windows XP. Тепер же ця ОС повністю знята з підтримки Microsoft, і можливо, тому дана KB-стаття більш недоступна на сайті Microsoft. До всього цього можна додати те, що вже навіть на той момент часу рішення з розгортанням вже застарілого в ту пору пакета сертифікатів було найоптимальнішим, оскільки тоді в ходу були системи з ОС Windows Vista і Windows 7, В яких вже був присутній новий механізм автоматичного оновлення сховища сертифікатів TrustedRootCA. Ось одна зі старих статей про Windows Vista, що описують деякі аспекти роботи такого механізму -Certificate Support and Resulting Internet Communication in Windows Vista . Нещодавно я знову зіткнувся з вихідної проблемою необхідності поновлення сховища сертифікатів TrustedRootCA на деякій масі клієнтських комп'ютерів і серверів на базі Windows. Всі ці комп'ютери не мають прямого доступу в Інтернет і тому механізм автоматичного оновлення сертифікатів не виконує своє завдання так, як хотілося б. Варіант з відкриттям всіх комп'ютерів прямого доступу в Інтернет, нехай навіть на певні адреси, спочатку розглядався як крайній, а пошуки більш прийнятного рішення привів мене до статтіConfigure Trusted Roots and Disallowed Certificates (RU ), Яка відразу дала відповіді на всі мої запитання. Ну і, в загальному то, за мотивами цієї статті, в цій статті я коротко викладу на конкретному прикладі те, яким чином можна централізовано переналаштувати на комп'ютерах Windows Vista і вище цей самий механізм авто-оновлення сховища сертифікатів TrustedRootCA, щоб він використовував як джерело оновлень файловий ресурс або веб-сайт в локальній корпоративній мережі.Для початку, на що потрібно звернути увагу, це на те, що в групових політиках, які застосовуються до комп'ютерів, не повинен бути задіяний параметр блокує роботу механізму авто-оновлення. це параметр Turn off Automatic Root Certificates Update в розділі Computer Configuration > Administrative Templates > System > Internet Communication Management > Internet Communication settings. Нам буде потрібно, щоб цей параметр був вимкнений, Або просто Не настроєний.
Якщо поглянути на сховище сертифікатів TrustedRootCA в розділі локальний комп'ютер, То на системах, які не мають прямого доступу в Інтернет, набір сертифікатів буде прямо так скажемо невеликий:
Цей файл зручно використовувати, наприклад, коли з усього підмножини доступних сертифікатів потрібно вибрати лише деякий набір і вивантажити їх у окремий SST файл для подальшого завантаження, наприклад, за допомогою консолі управління локальними сертифікатами або за допомогою консолі управління груповими політиками (для імпорту в яку- або доменну політику через параметр Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities).
Однак для нас цікавить способу поширення кореневих сертифікатів, за допомогою модифікації роботи механізму авто-оновлення на кінцевих клієнтських комп'ютерах, нам потрібно трохи інше уявлення безлічі актуальних кореневих сертифікатів. Отримати його можна за допомогою все тієї ж утиліти Certutil, Але вже з іншим набором ключів.
У нашому прикладі в якості локального джерела поширення буде використана загальна мережева папка на файловому сервері. І тут важливо звернути увагу на те, що під час підготовки такої папки обов'язково потрібно обмежувати доступ на запис, щоб не вийшло так, що будь-який бажаючий зможе модифікувати набір кореневих сертифікатів, які потім будуть "розливатися" по безлічі комп'ютерів.
Certutil -syncWithWU -f -f \\\\ FILE-SERVER \\ SHARE \\ RootCAupd \\ GPO-Deployment \\ключі -f -f використовуються для форсованого оновлення всіх файлів в каталозі призначення.
В результаті виконання команди в зазначеній нами мережевий папці з'явиться безліч файлів загальним обсягом приблизно в пів мегабайта:
Згідно з раніше згаданої
статті , Призначення файлів наступне:- файл authrootstl.cab містить сторонні списки довіри сертифікатів;
- файл disallowedcertstl.cab містить список довіри сертифікатів з недовірених сертифікатами;
- файл disallowedcert.sst містить сховище серіалізовать сертифікатів, включаючи недовірених сертифікати;
- Файли з іменами типу thumbprint.crt містять сторонні кореневі сертифікати.
Отже, файли необхідні для роботи механізму авто-оновлення отримані, і ми тепер переходимо до реалізації зміни схеми роботи цього самого механізму. Для цього, як завжди, нам на допомогу приходять доменні групові політики Active Directory (GPO), Хоча можна використовувати і інші інструменти централізованого управління, весь все, що нам потрібно зробити на всіх комп'ютерах - це змінити, вірніше додати, всього один параметр реєстру RootDirURL в гілці HKLM \\ Software \\ Microsoft \\ SystemCertificates \\ AuthRoot \\ AutoUpdate, Який і визначить шлях до нашого мережевого каталогу, в якому ми раніше розмістили набір файлів кореневих сертифікатів.
Говорячи про налаштування GPO, для реалізації поставленого завдання, знову ж таки, можна використовувати різні варіанти. Наприклад, є "олд-скульним" варіант зі створенням власного шаблону групової політики, так як це описано в уже знайомій нам
статті . Для цього створимо файл у форматі адміністративного шаблону GPO ( ADM), Наприклад, з ім'ям RootCAUpdateLocalPath.adm і вмістом: CLASS MACHINE CATEGORY !! SystemCertificates KEYNAME " Software \\ Microsoft \\ SystemCertificates \\ AuthRoot \\ AutoUpdate"POLICY !! RootDirURL EXPLAIN !! RootDirURL_help PART !! RootDirURL EDITTEXT VALUENAME" RootDirURL "END PART END POLICY END CATEGORY RootDirURL \u003d" URL address to be used instead of default ctldl.windowsupdate.com "RootDirURL_help \u003d" Enter a FILE or HTTP URL to use as the download location of the CTL files. "SystemCertificates \u003d" Windows AutoUpdate Settings "Скопіюємо цей файл на контролер домену в каталог% SystemRoot% \\ inf (як правило, це каталог C: \\ Windows \\ inf). Після цього перейдемо в редактор доменних групових політик і створимо окрему нову політику, відкривши потім її на редагування. В розділі Computer Configuration > Administrative Templates ... відкриємо контекстне меню і виберемо пункт підключення нового шаблону політик Add / Remove Templates
В відкрилося вікні за допомогою кнопки огляду виберемо раніше доданий файл % SystemRoot% \\ inf \\ RootCAUpdateLocalPath.adm, І після того, як шаблон з'явиться в списку, натиснемо Close.
Після зробленого дії в розділі Configuration > Administrative Templates > Classic Administrative Templates (ADM) З'явиться група Windows AutoUpdate Settings, В якій буде доступний єдиний параметр URL address to be used instead of default ctldl.windowsupdate.com
Відкриємо цей параметр і введемо шлях до локального ресурсу, на якому ми розташували попередньо отримані файли оновлення, в форматі http: // server1 / folder або file: // \\\\ server1 \\ folder,
наприклад file: // \\\\ FILE-SERVER \\ SHARE \\ RootCAupd \\ GPO-Deployment
Збережемо пророблені зміни і застосуємо створену політику до доменного контейнеру, в якому розташовані цільові комп'ютери. Однак розглянутий метод настройки GPO має ряд недоліків і саме тому я назвав його "олд-скульним".
Інший, більш сучасний і більш просунутий метод настройки реєстру клієнтів - це використання Group Policy Preferences (GPP). При такому варіанті ми можемо створити відповідний об'єкт GPP в розділі групової політики Computer Configuration > Preferences > Registry з оновленням параметра ( Action: Update) реєстру RootDirURL (Тип значення REG_SZ)
При необхідності можемо для створеного параметра GPP включити гнучкий механізм націлювання (Закладка Common \u003e Опція Item-level targeting) На конкретний комп'ютер або групу комп'ютерів для попереднього тестування того, що у нас в кінцевому підсумку вийти після застосування групових політик.
Зрозуміло, потрібно вибрати якийсь один варіант, або з підключенням власного ADM-шаблона, або з використанням GPP.
Після настройки групових політик на будь-якому піддослідному клієнтському комп'ютері виконаємо оновлення командою gpupdate / force c наступною перезавантаженням. Після завантаження системи перевіримо в реєстрі наявність створеного ключа і спробуємо перевірити наявність факту поновлення сховища кореневих сертифікатів. Для перевірки скористаємося простим але дієвим прикладом описаним в замітці
Trusted Roots and Disallowed Certificates .Для прикладу подивимося, чи є в сховищі сертифікатів комп'ютера кореневий сертифікат, використаний для випуску сертифіката, який встановлений на сайті з ім'ям buypass.no (але на сам сайт поки не переходимо :)).
Зробити це найзручніше за допомогою засобів PowerShell:
Get-ChildItem cert: \\ localmachine \\ root | Where ($ _ .friendlyname -like "* Buypass *")З великою часткою ймовірності у нас не виявиться такого кореневого сертифіката. Якщо так, то відкриємо Internet Explorer і звернемося до URLhttps://buypass.no . І якщо налаштований нами механізм автоматичного оновлення кореневих сертифікатів працює успішно, то в event-балці Windows Application при це з'явиться подія c джерелом ( Source) CAPI2, Що свідчить про успішну завантаженні нового кореневого сертифікату:
Ім'я журналу: ApplicationЯкось звернувся до мене товариш (Серьога з antelecs.ru) з питанням, чи можна якось прискорити / автоматизувати рутинний процес додавання декількох сертифікатів в сховище довірених кореневих центрів сертифікації. Завдання мені здалася цікавою і відповідної за тематикою сайту, тому рішення я взявся опублікувати тут. Безкоштовний софт пропоную качати на Кіберсофт!
Звичайно можна було б задурити з GPO або ще чим-небудь тру-адмінській, але у мене чомусь першою думкою було використовувати підручні засоби у вигляді RAR-архіватора і його функції створення саморозпаковуються (SFX) архівів.
Робимо автоустановку сертифікатів
Нам знадобиться утиліта certmgr.exe з набору Windows SDK. Інформація про те, як їй користуватися - є ось на цій сторінці.
У контекстному меню при виділенні всіх файлів вибираємо команду "Додати до архіву ...".
Вказуємо параметри архіву. Тут можна задати довільне ім'я вихідного файлу, а також необхідно відзначити галочкою пункт "Створити SFX-архів".
На вкладці "Додатково" натискаємо кнопку "Параметри SFX ...".
На вкладці "Загальні" вказуємо шлях для розпакування - можна вказати поточну папку або її підкаталог.
Найцікавіше: на вкладці "Установка" вказуємо які команди виконати після вилучення файлів. Поточним каталогом при цьому буде той, куди розпаковані файли. Команда для встановлення продукта в сховище виглядає так:
certmgr.exe -add -c "Ім'я файла.cer" -s -l localMachine root
де localMachine означає установку для комп'ютера, а root - назва сховища довірених кореневих центрів сертифікації.
Для зручності користування можна приховати всі діалогові вікна (в іншому випадку буде відображатися діалогове вікно вибору каталогу для розпакування і т.д.).
На вкладці Коментарі відображені всі дії, що здійснюються при розпакуванні. В принципі сюди можна ввести текст вручну і виконається те ж саме.
Відео по темі
Для кращого розуміння процесу я записав невеликий відеоролик!
- «Вам» - сховище сертифікатів контролюючих органів;
- «Довірені кореневі центри сертифікації» і «Проміжні центри сертифікації» - сховища сертифікатів засвідчується Центру.
Установка особистих сертифікатів здійснюється тільки за допомогою програми Кріпто Про.
Для запуску консолі необхідно виконати наступні дії
1. Вибрати меню «Пуск»\u003e «Виконати» (або на клавіатурі одночасно натиснути клавіші «Win + R»).
2. Вказати команду mmc і натиснути на кнопку «ОК».
3. Вибрати меню «Файл»\u003e «Додати або видалити оснастку».
4. Вибрати зі списку оснащення «Сертифікати» і клікнути на кнопку «Додати».
5. У вікні встановити перемикач «Моїй облікового запису користувача» і натиснути на кнопку «Готово».
6. Вибрати зі списку праворуч додану оснащення і натиснути на кнопку «ОК».
установка сертифікатів
1. Відкрити необхідне сховище (наприклад, довірені кореневі центри сертифікації). Для цього розкрити гілку «Сертифікати - поточний пoльзователь»\u003e «Довірені кореневі центри сертифікації»\u003e «Сертифікати».
2. Вибрати меню «Дія»\u003e «Усі завдання»\u003e «Імпорт».
4. Далі слід натиснути на кнопку «Огляд» і вказати файл сертифіката для імпорту (кореневі сертифікати засвідчується Центру можна скачати з сайту Засвідчуючого центру, сертифікати контролюючих органів знаходяться на сайті системи Контур.Екстерн). Після вибору сертифіката необхідно клікнути на кнопку «Відкрити», а потім по кнопці «Далі».
5. У наступному вікні необхідно натиснути на кнопку «Далі» (потрібне сховище вибрано автоматично).
6. Натиснути на кнопку «Готово» для завершення імпорту.
видалення сертифікатів
Щоб видалити сертифікати за допомогою консолі mmc (наприклад, зі сховища Інші користувачі), необхідно виконати наступні дії:
Розкрити гілку «Сертифікати - поточний пoльзователь»\u003e «Інші користувачі»\u003e «Сертифікати». У правій частині вікна відобразяться всі сертифікати, встановлені в сховище «Інші користувачі». Виділіть необхідний сертифікат, клацніть по ньому правою кнопкою миші і виберіть «Видалити».
Для установки сертифікатів, Ви повинні підключити флешку з ЕП, відкрити її і встановити сертифікати
1. Встановити сертифікат головного засвідчувального центру у довірені кореневі центри, для цього необхідно:
1.1. Подвійне клацання миші на сертифікат головного УЦ - файл «Головний засвідчує центр.cer».
1.2. У формі необхідно натиснути кнопку «Встановити сертифікат ...». 
1.3. Вибрати «Помістити всі сертифікати в наступне сховище» (встановити позначку перед написом) і натиснути кнопку «Огляд». 
1.4. У списку, необхідно вибрати «Довірені кореневі центри сертифікації» і натиснути кнопку «ОК». 
2. Встановити особистий сертифікат
Установка особистого сертифіката, за допомогою програми КріптоПро CSP
2.1. Необхідно запустити програму КріптоПро CSP (кнопка «Пуск» -\u003e «КріптоПро CSP» або кнопка «Пуск» -\u003e «Усі програми» -\u003e КРИПТО-ПРО -\u003e «КріптоПро CSP»). 
2.2. У вікні необхідно вибрати вкладку «Сервіс» і натиснути кнопку «Встановити особистий сертифікат ...». 
2.3. У вікні необхідно натиснути кнопку «Огляд», вибрати на флешці сертифікат організації - 2-ий файл з розширенням «cer» (не файл сертифіката УЦ (в прикладі - «adicom.cer»)) і натиснути «Далі». 
2.4. У формі необхідно натиснути «Далі» 
2.5. У формі необхідно натиснути галочку «Знайти контейнер автоматично». В результаті заповниться «Ім'я ключового контейнера» і натиснути «Далі» 
2.6. У формі необхідно натиснути «Далі» 
2.7. У формі необхідно натиснути «Готово» 
На локальній машині користувача встановлено все необхідне для генерації електронного підпису ПО - можна підписувати друковані форми.
3. Встановити в браузері розширення (доповнення) CryptoPro Extension for Cades Browser Plug-in
Для установки браузерного розширення (доповнення) CryptoPro Extension for Cades Browser Plugin відкрийте магазин раширение в вашому браузері і виконайте пошук розширень по слову Cades / Для Yandex.Browser посилання -