Установка сертификата на компьютеры домена с помощью групповых политик | Windows для системных администраторов

Установка сертификата на компьютеры домена с помощью групповых политик

Рассмотрим особенности централизованной установки сертификатов на компьютерах домена и добавление их в список доверенных с помощью групповых политик. В нашем случае, мы установим самоподписанный сертификат Exchange на клиентские компьютеры.

В том случае если на вашем Exchange сервере используется самоподписанный сертификат, то на клиентах, при первом запуске Outlook будет появляться сообщение, что сертификат не доверенный и пользоваться им небезопасно.

Outlook: ошибка использования недоверенного сертифката при использвании самоподписанного сертифката ExchangeЧтобы убрать это предупреждение, нужно на компьютере пользователя добавить сертификат Exchange в список доверенных сертификатов системы. Это можно сделать вручную (либо путем интеграции сертификата в корпоративный образ ОС), но гораздо более проще и эффективнее автоматически установить сертификат с помощью возможностей групповых политик (GPO). При такой методике сертификат будет автоматически устанавливаться на все старые и новые ПК пользователей домена.

В первую очередь, нам нужно экспортировать самоподписанный сертификат с нашего Exchange сервера. Для этого на сервере откройте консоль mmc.exe и добавьте в нее оснастку Certificates (для локального компьютера).

MMC оснастка Certificates (Local Computer)

Перейдите в раздел Certificates (Local Computer)  -> Trusted Root Certification Authorities -> Certificates

В правом разделе найдите ваш сертификат Exchange и в контекстном меню выберите All Tasks ->Export.

Эспорт сертификата из локального хранилищаВ мастере экспорта выберите формат DER encoded binary X.509 (.CER) и укажите путь к файлу сертификата.

Файл сертифката Exchange.cerИтак, мы экспортировали сертификат Exchange в файл, который нужно разместить в сетевом каталоге, куда у всех пользователей должен быть доступ на чтение (в случае необходимости можно ограничить доступ NTFS разрешениями, или как вариант, можно  дополнительно скрыть каталог с помощью ABE). К примеру, пусть путь к файл сертификата будет таким: \\msk-fs01\GroupPolicy$\Certificates Каталог с файлом сертифката

Перейдем к созданию политики распространения сертификата. Для этого, откроем консоль Group Policy Management (gpmc.msc). Создадим новую политику, выбрав OU на который она будет действовать (в нашем примере это OU с компьютерами пользователей, т.к. мы не хотим, чтобы сертификат устанавливался на сервера и технологические системы) и в контекстном меню выберем Create a GPI in this domain and Link it here…

Укажите имя политики (Install-Exchange-Cert) и перейдите в режим ее редактирования.

Групповая политика установки сертифката
В редакторе GPO перейдите в раздел Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Public Key Policies –> Trusted Root Certification Authorities (Конфигурация компьютера –> Конфигурация Windows –> Параметры безопасности –> Политики открытого ключа –> Доверенные корневые центры сертификации)

В правой части окна щелкните ПКМ и выберите пункт меню Import.

Импорт сертфиката в групповых политикахУкажите путь к импортируемому файлу сертификата, который мы разместили в сетевом каталоге.

Мастер импорта сертификатаВ соответствующем шаге мастера обязательно укажите, что сертификат нужно разместить в разделе Trusted Root Certification Authorities  (Доверенные корневые центры сертификации).

Trusted Root Certification Authorities  Политика распространения сертификатов создана. Возможно более узко таргетировать политику на клиентов с помощью Security Filtering или WMI фильтрации.

Протестируем политику, выполнив на клиенте обновление политик командой (gpupdate /force). Проверим что, сертификат появился в разделе доверенных хранилища сертификатов. Это можно сделать в оснастке управления сертификатами (раздел Trusted Root Certification Authorities->Certificates) или в настройках Internet Explorer (Internet Options -> Content ->Certificates-> Trusted Root Certification Authorities или Свойства обозревателя -> Содержание -> Сертификаты -> Доверенные корневые центры сертификации).

Список доверенных сертификатов в IEТеперь при настройке Outlook перестанет появляться окно с предупреждением о недоверенном сертификате.

Таким образом, мы настроили политику автоматического распространения сертификата на все компьютеры домена (на определенный контейнере или группу безопасности домена). Сертификат будет автоматически устанавливаться на все новые компьютеры, не требуя от служб техподдержки никаких ручных действий.

Еще записи по теме: Group Policy
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Есть 1 комментарий

Оставить комментарий
  1. Andrey | 02.11.2015

    Отличная статься.
    Как вариант, можно для каждого пользователя установить сертификат.
    Если используется центр сертификации, то даже этого не потребуется, достаточно будет просто запросить у него сертификат для Exchange.

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.00100 sec