Trusted Root Certification Authorities sertifikaadihoidla automaatne värskendamine Windowsi arvutites, millel puudub otsene Interneti-juurdepääs. Usaldusväärse juurasutuse sertifikaadiahelat ei saa luua. Installige sertifikaat poodi

  • "Teised kasutajad" - reguleerivate asutuste sertifikaatide hoidla;
  • "Trusted Root Certification Authorities" ja "Intermediate Certification Authorities" - sertifitseerimisasutuse sertifikaatide hoidlad.

Isiklike sertifikaatide installimine toimub ainult Crypto Pro programmi abil.

Konsooli käivitamiseks peate tegema järgmist

1. Valige menüü "Start"> "Käivita" (või vajutage samal ajal klaviatuuril klahve "Win + R").

2. Määrake mmc käsk ja klõpsake nuppu "OK".

3. Valige Fail > Lisa või eemalda lisandmoodul.

4. Valige loendist lisandmoodul "Sertifikaadid" ja klõpsake nuppu "Lisa".

5. Avanevas aknas seadke lüliti "Minu konto kasutaja "ja klõpsake nuppu" Lõpeta ".

6. Valige parempoolsest loendist lisatud lisandmoodul ja klõpsake nuppu "OK".

Sertifikaatide paigaldamine

1. Avage vajalik salvestusruum (nt usaldusväärsed juursertifitseerimisasutused). Selleks avage haru "Sertifikaadid – praegune kasutaja"> "Usaldusväärsed juursertifitseerimisasutused"> "Sertifikaadid".

2. Valige Toiming > Kõik ülesanded > Import.

4. Järgmisena klõpsake nuppu "Sirvi" ja määrake importimiseks sertifikaadi fail (Sertifitseerimiskeskuse juursertifikaadid on allalaaditavad Sertifitseerimiskeskuse veebisaidilt, reguleerivate asutuste sertifikaadid asuvad Konturi veebisaidil. Väline süsteem). Pärast sertifikaadi valimist peate klõpsama nuppu "Ava" ja seejärel nuppu "Järgmine".

5. Järgmises aknas klõpsake nuppu "Järgmine" (vajalik salvestusruum valitakse automaatselt).

6. Importimise lõpetamiseks klõpsake nuppu "Lõpeta".

Sertifikaatide eemaldamine

Sertide kustutamiseks mmc-konsooli abil (näiteks teiste kasutajate poest) peate tegema järgmist.

Laiendage haru "Sertifikaadid – praegune kasutaja"> "Teised kasutajad"> "Sertifikaadid". Kõik "Teised kasutajad" poodi installitud sertifikaadid kuvatakse akna paremas servas. Tõstke esile nõutav sertifikaat, paremklõpsake sellel ja valige Kustuta.

Konsooli abil saab lisada või eemaldada Kontur Extern süsteemi töös kasutatavaid sertifikaate mmc järgmistest hoidlatest:

  • Teised kasutajad(reguleerivate asutuste sertifikaatide pood)
  • Usaldusväärsed Juursertimiskeskused ja Vahepealsed sertifitseerimisasutused(sertifikaatide kauplustes Sertifitseerimiskeskus).

Isiklike sertifikaatide installimine toimub ainult Crypto Pro programmi abil.

Konsooli käivitamiseks peate tegema järgmist.

1. Valige menüü Alusta/ Käivitage(või vajutage klaviatuuril samaaegselt klahve Win + R).

2. Määrake käsk mmc ja vajutage nuppu Okei.

3. Valige menüü Fail/ Lisa või eemalda lisandmoodul(vt joonis 1).

Riis. 1. Konsooli aken

4. Valige loendist lisandmoodul Sertifikaadid ja klõpsake nuppu Lisama(vt joonis 2).

Riis. 2. Plõksu lisamine

5. Avanevas aknas määrake raadionupp Minu kasutajakonto ja vajutage nuppu Valmis(vt joonis 3).

Riis. 3. Sertifikaadihalduri lisandmoodul

6. Valige parempoolsest loendist lisatud lisandmoodul ja klõpsake nuppu Okei(vt joonis 4).

Riis. 4. Lisatud seadme valimine


Sertifikaatide paigaldamine

1. Avage vajalik salvestusruum (nt usaldusväärsed juursertifitseerimisasutused). Selleks avage haru Sertifikaadid – praegune kasutaja / usaldusväärsed juursertifitseerimisasutused / sertifikaadid(vt joonis 5).

Riis. 5. Konsooli aken

2. Valige menüü Tegevus/ Kõik ülesanded / Import(vt joonis 6).

Riis. 6. Menüü "Kõik ülesanded / Import"

3. Avanevas aknas klõpsake nuppu Edasi.

4. Järgmisena klõpsake nuppu Ülevaade ja määrake impordi sertifikaadifail (juursertifikaadid Sertifitseerimiskeskus saab saidilt alla laadida Sertifitseerimiskeskus, reguleerivate asutuste sertifikaadid on Kontur-Extern süsteemi veebisaidil). Pärast sertifikaadi valimist klõpsake nuppu Avatud(vt joonis 7) ja seejärel nupuga Edasi.

Riis. 7. Impordiks sertifikaadi valimine

5. Järgmises aknas klõpsake nuppu Edasi(soovitav salvestusruum valitakse automaatselt). Vaata joon. kaheksa.

Riis. 8. Ladustuse valik

6. Vajutage nuppu Valmis impordi lõpuleviimiseks (vt joonis 9).

Riis. 9. Sertifikaadi impordi lõpuleviimine


Sertifikaatide eemaldamine

Sertide eemaldamiseks konsooli abil mmc(näiteks teiste kasutajate hoidlast), peate tegema järgmist.

Laiendage haru Sertifikaadid – praegune kasutaja / teised kasutajad / sertifikaadid... Kõik poodi installitud sertifikaadid kuvatakse akna paremas osas. Teised kasutajad... Tõstke esile vajalik sertifikaat, paremklõpsake sellel ja valige Kustuta(vt joonis 10).

Riis. 10. Konsooli aken

Dokumentide registreerimisel või organisatsiooni registreerimisel ilmneb kasutajatel tõrge - "Usaldusväärsele isikule ei saa sertifikaadiahelat luua juurekeskus". Kui proovite uuesti, kuvatakse tõrge uuesti. Mida selles olukorras teha, lugege artiklist lähemalt.

Sertifikaadi ahela vea põhjused

Vead võivad tekkida erinevatel põhjustel – kliendipoolsed probleemid Internetiga, blokeerimine tarkvara Windows Defender või muu viirusetõrjetarkvara. Lisaks puudumine juursertifikaat Sertifitseerimisasutus, probleemid krüptograafilise allkirja protsessis ja muud.

Lahendage tõrge usaldusväärse juurasutuse sertifikaadiahela loomisel

Kõigepealt veenduge, et teil pole Interneti-ühendusega probleeme. Viga võib ilmneda, kui juurdepääs on keelatud. Võrgukaabel peab olema ühendatud arvuti või ruuteriga.

  1. Klõpsake nuppu "Start" ja otsige "Command Prompt".
  2. Valige see hiire parema nupuga ja klõpsake "Käivita administraatorina".
  3. Sisestage DOS-i aknasse järgmine käsk "ping google.ru".

Kui Internet on ühendatud, peaksite kuvama andmed saadetud pakettide, edastuskiiruse ja muu teabe kohta. Kui internetti pole, näete, et paketid pole sihtkohta jõudnud.

Nüüd kontrollime CA juursertifikaadi olemasolu. Selle jaoks:


Kui sertifikaati pole, peate selle alla laadima. Enamasti leidub see juursertifikaatides ja kasutajal tuleb see vaid installida. Samuti tasub meeles pidada, et kõige parem on kasutada Internet Exploreri brauserit, et protsessi käigus tekiks vähem vigu ja kokkujooksmisi. Proovige juursertifikaatidest leida CA, pärast seda peate klõpsama ainult nupul "Installi", taaskäivitage brauser ja lahendate veaga probleemi - "Usaldusväärse juurkeskuse sertifikaadiahelat ei saa luua ."

CA juursertifikaadi kontrollimine brauseris

Kontrolli saab teha brauseris.

  1. Valige menüüst "Teenus".
  2. Järgmisena klõpsake rida "Interneti-suvandid".
  3. Klõpsake vahekaarti "Sisu".
  4. Siin peate valima "Sertifikaadid".
  5. Järgmine vahekaart on "Usaldusväärsed sertifitseerimisasutused". Siin peaks olema juur-CA sertifikaat, tavaliselt on see loendi lõpus.

Nüüd proovige uuesti samme, mis vea tekitasid. Juursertifikaadi saamiseks peate võtma ühendust vastava keskusega, kust saite UPC ES-i.

Muud võimalused serdiahela vea parandamiseks

Mõelgem, kuidas CryptoPro õigesti alla laadida, installida ja kasutada. Veendumaks, et programm pole teie arvutisse installitud (kui arvutikasutajaid on mitu), peate avama menüü "Start". Seejärel valige "Programmid" ja otsige loendist "CryptoPro". Kui seda pole, installime selle. Programmi saate alla laadida lingilt https://www.cryptopro.ru/downloads. Siin on sul vaja" CryptoPro CSP"- valige versioon.

Järgmises aknas peaksite nägema eelregistreerimise teadet.

CryptoPro installimine

Kui installifail on alla laaditud, peate selle arvutisse installimiseks käivitama. Süsteem kuvab hoiatuse, et programm küsib luba arvutis olevate failide muutmiseks, lubage tal seda teha.

Enne programmi arvutisse installimist tuleb kõik oma märgid ekstraktida. Brauser peab olema konfigureeritud töötama, välja arvatud Opera brauser, milles kõik vaikeseaded on juba tehtud. Kasutajal jääb üle vaid aktiveerida tööks spetsiaalne plugin. Selle protsessi käigus näete vastavat akent, kus Opera pakub selle plugina aktiveerimist.

Pärast programmi käivitamist peate aknasse sisestama võtme.

Saate leida programmi, mida käivitada järgmisel teel: "Start", "Kõik programmid", "CryptoPro", "CryptoPro CSP". Avanevas aknas klõpsake nuppu "Sisesta litsents" ja sisestage võti viimasesse veergu. Valmis. Nüüd tuleb programm teie ülesannete jaoks sobivalt konfigureerida. Mõnel juhul selleks elektrooniline allkiri kasutage täiendavaid utiliite - CryptoPro Office Allkiri ja CryptoACM. Saate vea kõrvaldada – usaldusväärse juurkeskuse jaoks ei saa sertifikaadiahelat luua – lihtsalt CryptoPro uuesti installides. Proovige seda, kui muud näpunäited ei aita.

Kas viga ikka ilmub? Saatke tugiteenusele taotlus, milles peate postitama oma järjestikuste toimingute ekraanipildid ja selgitama üksikasjalikult oma olukorda.

Tere päevast, kallid ajaveebisaidi lugejad, selle kuu jooksul on minult mitu korda küsitud. e-mail, kus sertifikaate hoitakse Windowsi süsteemides, räägin allpool üksikasjalikult sellest probleemist, kaalun salvestusstruktuuri, kuidas sertifikaate leida ja kus saate seda praktikas kasutada, see on eriti huvitav neile, kes kasutavad sageli EDS-i (elektrooniliselt digitaalselt allkirjastatud)

Miks teada, kus aknas sertifikaate hoitakse

Lubage mul tuua teile peamised põhjused, miks soovite neid teadmisi omandada:

  • Peate juursertifikaadi vaatama või installima
  • Peate vaatama või installima isikliku sertifikaadi
  • Uudishimu

Varem rääkisin teile, mis on sertifikaadid ja kust saate neid hankida ja rakendada, soovitan teil seda artiklit lugeda, kuna selles sisalduv teave on selles teemas põhiline.

Kõigis operatsioonisüsteemides Windows Vistast Windows 10 Redstone 2-ni salvestatakse sertifikaadid ühes kohas, omamoodi konteineris, mis on jagatud kaheks osaks, millest üks on kasutaja ja teine ​​arvuti jaoks.

Enamikul juhtudel saate Windowsis teatud sätteid muuta mmc lisandmoodulite kaudu ja serdisalv pole erand. Ja nii me vajutame klahvikombinatsiooni WIN + R ja käivitame avanevas aknas, kirjutage mmc.

Muidugi võid sisestada käsu certmgr.msc, aga nii saad ainult avada isiklikud tunnistused

Nüüd klõpsate tühjas mmc lisandmoodulis menüül Fail ja valige Lisa või eemalda lisandmoodul (klaviatuuri otsetee CTRL + M)

Otsige aknas Lisa ja eemalda lisandmoodulid väljalt Saadaolevad lisandmoodulid jaotist Sertifikaadid ja klõpsake nuppu Lisa.

Siin saate sertifikaadihalduris lisada lisandmooduleid:

  • minu kasutajakonto
  • teenuse konto
  • arvuti konto

Tavaliselt lisan kasutajakonto jaoks

ja arvuti

Arvutil on lisaseaded, tegemist on kas kohaliku või kaugarvutiga (võrgus), vali praegune ja kliki Valmis.

Selle tulemusel sain selle pildi.

Salvestame loodud lisandmooduli kohe, et me järgmisel korral neid samme ei teeks. Minge menüüsse Fail> Salvesta nimega.

Panime salvestuskoha paika ja ongi kõik.

Nagu näete konsooli, sertifikaadipoodi, näitan teile oma näites Windows 10 Redstone'i, kinnitan teile, et akna liides on kõikjal sama. Nagu ma varem kirjutasin, on sertifikaatidel kaks valdkonda - praegune kasutaja ja sertifikaadid (kohalik arvuti)

Sertifikaadid – praegune kasutaja

See ala sisaldab järgmisi kaustu:

  1. Isiklikud> isiklikud sertifikaadid (avatud või privaatvõtmed), mille installite erinevatest rootkenidest või etokenidest
  2. Trusted Root Certification Authorities> need on sertifitseerimisasutuste sertifikaadid, neid usaldades usaldate automaatselt kõiki nende poolt väljastatud sertifikaate, peate enamuse maailmas olevatest sertifikaatidest automaatselt kontrollima. See nimekiri kasutatakse CA usalduse loomise kettides, mida värskendatakse Windowsi värskendustega.
  3. Usaldussuhe ettevõttes
  4. Vahepealsed sertifitseerimisasutused
  5. Active Directory kasutajaobjekt
  6. Usaldusväärsed kirjastajad
  7. Ebausaldusväärsed sertifikaadid
  8. Kolmanda osapoole juursertifitseerimisasutused
  9. Usaldusväärsed isikud
  10. Kliendi autentimissertifikaadi pakkujad
  11. Kohalikud mitteeemaldatavad sertifikaadid
  12. Usaldusväärsed kiipkaardi juursertifikaadid

Isiklikus kaustas pole vaikimisi sertifikaate, välja arvatud juhul, kui olete need installinud. Installimine võib toimuda kas tokenist või sertifikaadi taotlemise või importimise teel.

  • PKCS # 12 (.PFX, .P12)
  • Krüprograafiline sõnumi süntaksi standard – PKCS # 7 sertifikaadid (.p7b)
  • Serialiseeritud sertifikaatide pood (.SST)

Vahekaardil usaldusväärsed keskused sertifikaati, näete muljetavaldavat loendit suurimate väljaandjate juursertifikaatidest, tänu neile usaldab teie brauser enamikku saitide sertifikaatidest, sest kui usaldate juursertifikaati, tähendab see kõiki, kellele see on väljastanud.

Topeltklõpsuga näete sertifikaadi sisu.

Toimingutest saate neid ainult eksportida, et saaksite need hiljem teise arvutisse uuesti installida.

Eksport toimub kõige tavalisematesse vormingutesse.

Huvitav on ka juba tühistatud või lekkinud sertifikaatide nimekiri.

tarkvara korrektse juurutamise võimatuse probleemiga, mis tuleneb asjaolust, et Windows OS-i kasutavates sihtarvutites ei värskendata usaldusväärsete juursertifitseerimisasutuste sertifikaadihoidlat (edaspidi nimetame seda poodi lühiduse mõttes TrustedRootCA-ks). Sel ajal lahendati probleem paketi kasutuselevõtuga rootsupd.exe saadaval artiklis KB931125 mis on seotud OS-iga Windows XP... Nüüd on see operatsioonisüsteem Microsofti toest täielikult eemaldatud ja tõenäoliselt pole see KB-artikkel Microsofti veebisaidil enam saadaval. Sellele kõigele võib lisada tõsiasja, et isegi tol hetkel ei olnud lahendus tollal juba aegunud sertifikaatide paketi juurutamisega kõige optimaalsem, sest siis olid kasutusel OS-iga süsteemid. Windows Vista ja Windows 7, millel oli juba uus mehhanism TrustedRootCA sertifikaadisalve automaatseks värskendamiseks. Siin on üks Windows Vista vanadest artiklitest, mis kirjeldab mõningaid sellise mehhanismi toimimise aspekte –Sertifikaatide tugi ja sellest tulenev Interneti-suhtlus Windows Vistas . Sattusin hiljuti kokku algse probleemiga, mis seisnes paljudes Windowsi klientarvutites ja serverites TrustedRootCA sertifikaadisalve uuesti värskendamisel. Kõigil neil arvutitel puudub otsene juurdepääs Internetile ja seetõttu ei täida automaatne sertifikaatide uuendamise mehhanism oma ülesannet nii, nagu me sooviksime. Võimalust avada otsene Interneti-juurdepääs kõigile arvutitele, isegi teatud aadressidele, peeti esialgu äärmuslikuks ja vastuvõetavama lahenduse otsimine viis mind artiklini.Usaldusväärsete juurte ja keelatud sertifikaatide konfigureerimine(RU ), mis vastas kohe kõigile mu küsimustele. Noh, üldiselt, selle artikli põhjal, teen selles artiklis lühidalt kokkuvõtte konkreetne näide kuidas saate keskselt ümber konfigureerida arvutites Windows Vista ja uuemates versioonides TrustedRootCA sertifikaadisalve automaatse värskendamise mehhanismi, nii et see kasutaks värskenduste allikana failijagamist või kohaliku ettevõtte võrgu veebisaiti.

Alustuseks peate tähelepanu pöörama sellele, et parameetrit, mis blokeerib automaatse värskenduse mehhanismi, ei tohiks arvutitele rakendatavates rühmapoliitikates lubatud olla. See parameeter Lülitage juursertifikaatide automaatne värskendamine välja Peatükis Arvuti konfiguratsioon > Haldusmallid > Süsteem > Interneti-kommunikatsiooni juhtimine > Interneti-side seaded... Meil on vaja, et see parameeter oleks Välja lülitatud või lihtsalt Pole konfigureeritud.

Vaadates allolevat TrustedRootCA sertifikaadipoodi Kohalik arvuti, siis süsteemides, millel pole otsest juurdepääsu Internetile, on sertifikaatide kogum nii väike:

Seda faili on mugav kasutada näiteks siis, kui peate valima ainult teatud komplekti kogu saadaolevate sertifikaatide alamhulgast ja laadima need üles eraldi SST-faili edasiseks laadimiseks, kasutades näiteks kohalikku sertifikaatide halduskonsooli või Grupipoliitika halduskonsool (importida mõnesse või domeenipoliitikasse parameetri kaudu Arvuti konfiguratsioon > Eeskirjad > Windowsi sätted > Turvaseaded > Avaliku võtme eeskirjad > Usaldusväärsed Juursertimiskeskused).

Juursertifikaatide levitamisest huvitatud viisi jaoks vajame lõppklientarvutite automaatse värskendamise mehhanismi tööd muutes tegelike juursertifikaatide komplekti veidi erinevat esitust. Saate selle hankida sama utiliidi abil. Certutil, kuid erineva võtmekomplektiga.

Meie näites kasutame kohaliku levitusallikana failiserveris jagatud võrgukausta. Ja siin on oluline pöörata tähelepanu asjaolule, et sellise kausta ettevalmistamisel tuleb kindlasti piirata kirjutusjuurdepääsu, et ei juhtuks nii, et keegi saaks muuta juursertifikaatide komplekti, mis seejärel "valgub" üle mitme arvutid.

Certutil-sünkroonimineWU-ga -f -f \\ FAILISEERVER \ JAGAMINE \ RootCAupd \ GPO-juurutus \

Võtmed -f -f kasutatakse kõigi sihtkataloogis olevate failide värskendamiseks.

Käsu täitmise tulemusena ilmub meie poolt näidatud võrgukausta failide komplekt kogumahuga umbes pool megabaiti:

Eelmainitu kohaselt artiklid , on failide eesmärk järgmine:

  • Fail authrootstl.cab Sisaldab kolmanda osapoole sertifikaatide usaldusnimekirju;
  • Fail disallowedcertstl.cab sisaldab ebausaldusväärsete sertifikaatidega sertifikaatide usaldusnimekirja;
  • Fail disallowedcert.sst Sisaldab jadasertifikaatide, sealhulgas ebausaldusväärsete sertifikaatide poodi;
  • Failid nimedega nagu pöidlajälg.crt sisaldama kolmanda osapoole juursertifikaate.

Niisiis on automaatse värskenduse mehhanismi töötamiseks vajalikud failid kätte saadud ja nüüd pöördume selle mehhanismi enda tööskeemi muutmise juurutamise poole. Nagu alati, tulevad meile appi domeenigrupipoliitikad. Active Directory (GPO), kuigi saate kasutada ka muid tsentraliseeritud haldustööriistu, peame kõigis arvutites vaid muutma või pigem lisama ainult ühe registriparameetri. RootDirURL filiaalis HKLM \ Tarkvara \ Microsoft \ Süsteemisertifikaadid \ AuthRoot \ AutoUpdate, mis määrab tee meie võrgukataloogi, kuhu varem paigutasime juursertifikaadi failide komplekti.

Rääkides GPO seadistamisest, saate käsiloleva ülesande täitmiseks kasutada erinevaid võimalusi. Näiteks on olemas "vana kooli" valik oma rühmapoliitika malli loomisega, nagu on kirjeldatud juba tuttavas artiklit ... Selleks looge fail GPO haldusmalli vormingus ( ADM), näiteks nimega RootCAUpdateLocalPath.adm ja sisu:

KLASS MASINA KATEGOORIA !! Süsteemisertifikaadid KEYNAME " Tarkvara \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate"POLICY !! RootDirURL EXPLAIN !! RootDirURL_help PART !! RootDirURL EDITTEXT VALUENAME" RootDirURL "END PART POLICY END CATEGORY RootDirURL =" URL-aadress tuleb sisestada vaikimisi ctldl.windowsupdate.com-i asemel, et kasutada RootDir-i allalaadimiskoha URL-i CTL-failid. "SystemCertificates = Windowsi automaatse värskenduse sätted"

Kopeerige see fail domeenikontrollerisse kataloogis% SystemRoot% \ inf (reeglina on see kataloog C: \ Windows \ inf). Pärast seda läheme domeenirühma poliitika redaktorisse ja loome eraldi uue poliitika, seejärel avame selle redigeerimiseks. Peatükis Arvuti konfiguratsioon > Haldusmallid ... avage kontekstimenüü ja valige uue poliitikamalli ühenduspunkt Lisa / eemalda malle

Avanevas aknas valige sirvimisnupu abil eelnevalt lisatud fail % SystemRoot% \ inf \ RootCAUpdateLocalPath.adm ja pärast malli ilmumist loendisse klõpsake Sulge.

Pärast tehtud toimingut jaotises Seadistamine > Haldusmallid > Klassikalised haldusmallid (ADM) ilmub rühm Windowsi automaatse värskenduse sätted, milles on saadaval ainus parameeter URL-aadress, mida kasutatakse vaikimisi ctldl.windowsupdate.com asemel

Avage see parameeter ja sisestage kohaliku ressursi tee, kus leidsime varem allalaaditud värskendusfailid, vormingus http: // server1 / kaust või fail: // \\ server1 \ kaust,
Näiteks fail: // \\ FILE-SERVER \ SHARE \ RootCAupd \ GPO-juurutus

Salvestame muudatused ja rakendame loodud poliitika domeeni konteinerile, milles sihtarvutid asuvad. Sellel GPO seadistamise meetodil on aga mitmeid puudusi, mistõttu nimetasin seda "vanakooliks".

Teine, kaasaegsem ja arenenum meetod kliendiregistri seadistamiseks on kasutada Grupipoliitika eelistused (GPP). Selle valikuga saame luua rühmapoliitika jaotises vastava GPP objekti Arvuti konfiguratsioon > Eelistused > register parameetri värskendusega ( Tegevus: Värskenda) register RootDirURL(väärtuse tüüp REG_SZ)

Vajadusel saame loodud GPP parameetri jaoks lubada paindliku sihtimismehhanismi (järjehoidja Levinud> Valik Üksuse tasemel sihtimine) konkreetses arvutis või arvutite rühmas, et eelnevalt testida, mida me pärast rühmapoliitika rakendamist lõpuks saame.

Loomulikult peate valima ühe võimaluse, kas siis enda ühendamisega ADM-muster või kasutamine GPP.

Pärast rühmapoliitika konfigureerimist mis tahes eksperimentaalses klientarvutis värskendame värskendust käsuga gpupdate / jõud koos järgneva taaskäivitusega. Pärast süsteemi käivitamist kontrollige loodud võtme registrist ja proovige kontrollida, kas juursertifikaadi salvestust on värskendatud. Kontrollimiseks kasutame märkuses kirjeldatud lihtsat, kuid tõhusat näidet.Usaldusväärsed juured ja keelatud sertifikaadid .

Näiteks vaatame, kas arvuti sertifikaadihoidlas on juursertifikaat, mida sertifikaadi väljastamiseks kasutati ja mis on installitud saidile nimega buypass.no (aga me ei lähe saidile endale :)).

Seda on kõige mugavam teha abiga PowerShell:

Get-ChildItem sertifikaat: \ localmachine \ root | Kus ($ _ .friendlyname - nagu "* Buypass *")

KOOS suur osakaal suure tõenäosusega meil sellist juursertifikaati ei ole. Kui jah, siis avage Internet Explorer ja vaadake URL-i https://buypass.no ... Ja kui meie konfigureeritud juursertifikaatide automaatse uuendamise mehhanism töötab edukalt, siis Windowsi sündmuste logis Rakendus siis sündmus koos allikaga ( Allikas) CAPI2, mis näitab uue juursertifikaadi edukat laadimist:

Logi nimi: Rakendus
Jaga sõpradega:
Sarnased väljaanded