Установка сертифіката на комп’ютери домену за допомогою групових політик

Розглянемо особливості централізованої установки сертифікатів на комп’ютерах домену та додавання їх в список довірених за допомогою групових політик. У нашому випадку, ми встановимо самоподпісанний сертифікат Exchange на клієнтські комп’ютери.

У тому випадку якщо на вашому Exchange Сервер має самоподпісанний сертифікат, то на клієнтах, при першому запуску Outlook буде з’являтися повідомлення, що талон не довірений і користуватися ним небезпечно.

Щоб прибрати це попередження, потрібно на комп’ютері користувача додати сертифікат Exchange в список довірених сертифікатів системи. Це можна зробити вручну (або шляхом інтеграції сертифіката в корпоративний образ ОС), але набагато більш простіше і ефективніше автоматично встановити сертифікат за допомогою можливостей групових політик (GPO). При такій методиці сертифікат буде використовуватися збережений на всі старі і нові ПК користувачів домену.

В першу чергу, нам потрібно експортувати самоподпісанний сертифікат з нашого Exchange сервера. Для цього на сервері відкрийте консоль mmc.exe і додайте в неї оснащення Certificates (Для локального комп’ютера).

Перейдіть в розділ Certificates (Local Computer) -> Trusted Root Certification Authorities -> Certificates

У правому розділі знайдіть ваш сертифікат Exchange і в контекстному меню виберіть All Tasks ->Export.

У майстра експорту виберіть формат DER encoded binary X.509 (.CER) і вкажіть шлях до файлу сертифіката.

Отже, ми експортували сертифікат Exchange в файл, який потрібно розмістити в мережевому каталозі, куди у всіх користувачів повинен бути доступ на читання (в разі потреби можна обмежити доступ NTFS дозволами, або як варіант, можна додатково приховати каталог за допомогою ABE). Наприклад, нехай шлях до файл сертифіката буде таким: \\ msk-fs01 \ GroupPolicy $ \ Certificates

Перейдемо до створення політики поширення сертифіката. Для цього, відкриємо консоль Group Policy Management (Gpmc.msc). Створимо нову політику, вибравши OU на який вона буде діяти (в нашому прикладі це OU з комп’ютерами користувачів, тому що ми не хочемо, щоб сертифікат встановлювався на сервера і технологічні системи) і в контекстному меню виберемо Create a GPI in this domain and Link it here …

Вкажіть ім’я політики (Install-Exchange-Cert) І перейдіть в режим її редагування.

У редакторі GPO перейдіть в розділ Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Public Key Policies -> Trusted Root Certification Authorities (Конфігурація комп’ютера -> Конфігурація Windows -> Параметри безпеки -> Політики відкритого ключа -> Довірені кореневі центри сертифікації)

У правій частині вікна клацніть ПКМ і виберіть пункт меню Import.

Вкажіть шлях до імпортованого файлу сертифіката, який ми розмістили в мережевому каталозі.

У відповідному кроці майстра обов’язково вкажіть, що сертифікат потрібно розмістити в розділі Trusted Root Certification Authorities  (Довірені кореневі центри сертифікації).

Політика поширення сертифікатів створена. Можливо вужче зорієнтувати політику на клієнтів за допомогою Security Filtering або WMI фільтрації.

Протестуємо політику, виконавши на клієнті оновлення політик командою (gpupdate / force). Перевіримо що, сертифікат з’явився в розділі довірених сховища сертифікатів. Це можна зробити в оснащенні управління сертифікатами (розділ Trusted Root Certification Authorities->Certificates) або в налаштуваннях Internet Explorer (Internet Options -> Content ->Certificates-> Trusted Root Certification Authorities або Властивості оглядача -> зміст -> сертифікати -> Довірені кореневі центри сертифікації).

Тепер при налаштуванні Outlook перестане з’являтися вікно з попередженням про недовірених сертифікаті.

Таким чином, ми налаштували політику автоматичного поширення сертифіката на всі комп’ютери домену (на певний контейнері або групу безпеки домена). Сертифікат буде автоматично встановлюватися на всі нові комп’ютери, не вимагаючи від служб техпідтримки ніяких ручних дій.

Ссылка на основную публикацию