Установка самоподпісанного сертифікатів дуже часте завдання для системного адміністратора. Зазвичай це робиться вручну, але якщо машин не один десяток? І як бути при перевстановлення системи або купівлі нового ПК, адже сертифікат може бути і не один. Писати шпаргалки-нагадування? Навіщо, коли є набагато більш простий і зручний спосіб - групові політики ActiveDirectory. Один раз налаштувавши політику можна більше не турбується про наявність у користувачів необхідних сертифікатів.
Сьогодні ми розглянемо поширення сертифікатів на прикладі кореневого сертифіката Zimbra, який ми експортували в минулій статті . Наше завдання буде стояти наступним чином - автоматично поширювати сертифікат на всі комп'ютери входять до підрозділу (OU) - Office. Це дозволить не встановлювати сертифікат туди, де він не потрібен: на півночі, складські та касові робітники станції і т.д.
Відкриємо оснащення Управління груповою політикою і створимо нову політику в контейнері Об'єкти групової політики, для цього клацніть на контейнері правою кнопкою і виберіть Створити. Політика дозволяє встановлювати як один, так і кілька сертифікатів одночасно, як вчинити - вирішувати вам, ми ж вважаємо за краще створювати для кожного сертифіката свою політику, це дозволяє більш гнучко змінювати правила їх застосування. Також слід задати політиці зрозуміле ім'я, щоб відкривши консоль через півроку вам не довелося болісно згадувати для чого вона потрібна.
Після чого перетягніть політику на контейнер Office, що дозволить застосувати її до даного підрозділу.
Тепер клацнемо на політику правою кнопкою миші і виберемо Змінити. У відкритому редакторі групових політик послідовно розгортаємо Конфігурація комп'ютера - Конфігурація Windows - Параметри безпеки - Політики відкритого ключа - Довірені кореневі центри сертифікації. У правій частині вікна в меню правою кнопкою миші вибираємо Імпорт і імпортуємо сертифікат.
Політика створена, тепер саме час перевірити правильність її застосування. В оснащенні Управління груповою політикою виберемо Моделювання групової політики і запустимо по правому кліку Майстер моделювання.
Більшість параметрів можна залишити за замовчуванням, єдине що слід задати - це користувача і комп'ютер для яких ви хочете перевірити політику.
Виконавши моделювання можемо переконатися, що політика успішно застосовується до зазначеного комп'ютера, в іншому випадку розкриваємо пункт Відхилені об'єкти і дивимося причину по якій політика виявилася непридатна до даного користувача або комп'ютера.
Після чого перевіримо роботу політики на клієнтському ПК, для цього оновимо політики вручну командою:
gpupdate
Тепер відкриємо сховище сертифікатів. Найпростіше це зробити через Internet Explorer: Властивості оглядача - Зміст - Сертифікати. Наш сертифікат повинен бути присутнім в контейнері Довірені кореневі центри сертифікації.
Як бачимо - все працює і одним головним болем у адміністратора стало менше, сертифікат буде автоматично поширюватися на всі комп'ютери поміщені в підрозділ Office. При необхідності можна задати більш складні умови застосування політики, але це вже виходить за рамки даної статті.
Писати шпаргалки-нагадування?