Установка сертификата при помощи групповых политик.

|

AD-certificate-GPO-000.jpgУстановка самоподписанных сертификатов весьма частая задача для системного администратора. Обычно это делается вручную, но если машин не один десяток? И как быть при переустановке системы или покупке нового ПК, ведь сертификат может быть и не один. Писать шпаргалки-напоминалки? Зачем, когда есть гораздо более простой и удобный способ - групповые политики ActiveDirectory. Один раз настроив политику можно больше не беспокоится о наличии у пользователей необходимых сертификатов.

Сегодня мы рассмотрим распространение сертификатов на примере корневого сертификата Zimbra, который мы экспортировали в прошлой статье. Наша задача будет стоять следующим образом - автоматически распространять сертификат на все компьютеры входящие в подразделение (OU) - Office. Это позволит не устанавливать сертификат туда, где он не нужен: на севера, складские и кассовые рабочие станции и т.д.

Откроем оснастку Управление групповой политикой и создадим новую политику в контейнере Объекты групповой политики, для этого щелкните на контейнере правой кнопкой и выберите Создать. Политика позволяет устанавливать как один, так и несколько сертификатов одновременно, как поступить - решать вам, мы же предпочитаем создавать для каждого сертификата свою политику, это позволяет более гибко менять правила их применения. Также следует задать политике понятное имя, чтобы открыв консоль через полгода вам не пришлось мучительно вспоминать для чего она нужна.

AD-certificate-GPO-001.jpgПосле чего перетащите политику на контейнер Office, что позволит применить ее к данному подразделению.

AD-certificate-GPO-002.jpgТеперь щелкнем на политику правой кнопкой мыши и выберем Изменить. В открывшемся редакторе групповых политик последовательно разворачиваем Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политики открытого ключа - Доверенные корневые центры сертификации. В правой части окна в меню правой кнопкой мыши выбираем Импорт и импортируем сертификат.

AD-certificate-GPO-003.jpgПолитика создана, теперь самое время проверить правильность ее применения. В оснастке Управление групповой политикой выберем Моделирование групповой политики и запустим по правому щелчку Мастер моделирования.

AD-certificate-GPO-004.jpgБольшинство параметров можно оставить по умолчанию, единственное что следует задать - это пользователя и компьютер для которых вы хотите проверить политику.

AD-certificate-GPO-005.jpgВыполнив моделирование можем убедиться, что политика успешно применяется к указанному компьютеру, в противном случае раскрываем пункт Отклоненные объекты и смотрим причину по которой политика оказалась неприменима к данному пользователю или компьютеру.

AD-certificate-GPO-006.jpgПосле чего проверим работу политики на клиентском ПК, для этого обновим политики вручную командой:

gpupdate

AD-certificate-GPO-007.jpgТеперь откроем хранилище сертификатов. Проще всего это сделать через Internet Explorer: Свойства обозревателя - Содержание - Сертификаты. Наш сертификат должен присутствовать в контейнере Доверенные корневые центры сертификации.

AD-certificate-GPO-008.jpgКак видим - все работает и одной головной болью у администратора стало меньше, сертификат будет автоматически распространяться на все компьютеры помещенные в подразделение Office. При необходимости можно задать более сложные условия применения политики, но это уже выходит за рамки данной статьи.

 

Подписка на блог

Наш канал на YouTube Мы в Твиттере

Архивы по месяцам

Реклама

Статистика

 

Яндекс.Метрика

География

Flag Counter

Реклама

Об этой записи

Сообщение опубликовано 09.04.2013 18:47. Автор — Уваров А.С..

Предыдущая запись — Экспорт и установка сертификата Zimbra.

Следующая запись — Как правильно вносить изменения в IT-инфраструктуру.

Смотрите новые записи на главной странице или загляните в архив, где есть ссылки на все сообщения.

Реклама

Облако тегов