Automatická aktualizácia úložiska certifikátov Trusted Root Certification Authority na počítačoch so systémom Windows, ktoré nemajú priamy prístup na internet. Nedá sa vytvoriť reťaz certifikátov pre dôveryhodnú koreňovú autoritu Inštalácia certifikátu do úložiska

  • "Ostatní používatelia" - úložisko certifikátov regulačných orgánov;
  • "Dôveryhodné koreňové certifikačné autority" a "Sprostredkujúce certifikačné autority" - úložiská certifikátov certifikačnej autority.

Inštalácia osobných certifikátov sa vykonáva iba pomocou programu Crypto Pro.

Ak chcete spustiť konzolu, musíte urobiť nasledovné

1. Vyberte ponuku „Štart“> „Spustiť“ (alebo súčasne stlačte klávesy „Win + R“ na klávesnici).

2. Zadajte príkaz mmc a kliknite na tlačidlo "OK".

3. Zvoľte Súbor > Pridať alebo odstrániť modul Snap-in.

4. Zo zoznamu vyberte modul „Certifikáty“ a kliknite na tlačidlo „Pridať“.

5. V okne, ktoré sa otvorí, nastavte prepínač „Moje účtu užívateľa "a kliknite na tlačidlo" Dokončiť ".

6. Vyberte pridaný modul snap-in zo zoznamu napravo a kliknite na tlačidlo „OK“.

Inštalácia certifikátov

1. Otvorte požadované úložisko (napríklad dôveryhodné koreňové certifikačné autority). Ak to chcete urobiť, otvorte vetvu "Certifikáty - aktuálny používateľ"> "Dôveryhodné koreňové certifikačné autority"> "Certifikáty".

2. Vyberte Akcia > Všetky úlohy > Importovať.

4. Ďalej kliknite na tlačidlo „Prehľadávať“ a špecifikujte súbor certifikátu na import (koreňové certifikáty Certifikačného centra si môžete stiahnuť z webovej stránky Certifikačného centra, certifikáty regulačných orgánov sa nachádzajú na webovej stránke Kontur. Vonkajší systém). Po výbere certifikátu musíte kliknúť na tlačidlo „Otvoriť“ a potom na tlačidlo „Ďalej“.

5. V nasledujúcom okne kliknite na tlačidlo „Ďalej“ (automaticky sa vyberie požadované úložisko).

6. Kliknutím na tlačidlo „Dokončiť“ dokončíte import.

Odstraňovanie certifikátov

Ak chcete odstrániť certifikáty pomocou konzoly mmc (napríklad z úložiska Other users), musíte urobiť nasledovné:

Rozbaľte vetvu "Certifikáty - aktuálny používateľ"> "Ostatní používatelia"> "Certifikáty". Všetky certifikáty nainštalované v obchode "Ostatní používatelia" sa zobrazia na pravej strane okna. Zlatý klinec požadovaný certifikát, kliknite naň pravým tlačidlom myši a vyberte možnosť Odstrániť.

Certifikáty, ktoré sa používajú pri prevádzke systému Kontur Extern, je možné pridávať alebo odoberať pomocou konzoly mmc z nasledujúcich úložísk:

  • Iní používatelia(úložisko certifikátov regulačných orgánov)
  • Dôveryhodné koreňové certifikačné autority a Sprostredkujúce certifikačné autority(obchody s certifikátmi Certifikačné centrum).

Inštalácia osobných certifikátov sa vykonáva iba pomocou programu Crypto Pro.

Ak chcete spustiť konzolu, musíte urobiť nasledovné:

1. Zvoľte menu Štart/ Vykonať(alebo na klávesnici súčasne stlačte klávesy Win + R).

2. Zadajte príkaz mmc a stlačte tlačidlo OK.

3. Zvoľte menu Súbor/ Pridajte alebo odstráňte modul snap-in(pozri obr. 1).

Ryža. 1. Okno konzoly

4. Vyberte modul zo zoznamu Certifikáty a kliknite na tlačidlo Pridať(pozri obr. 2).

Ryža. 2. Pridanie snapu

5. V okne, ktoré sa otvorí, nastavte prepínač Môj používateľský účet a stlačte tlačidlo Pripravený(pozri obr. 3).

Ryža. 3. Modul Správca certifikátov

6. Vyberte pridaný modul snap-in zo zoznamu napravo a kliknite na tlačidlo OK(pozri obr. 4).

Ryža. 4. Výber pridanej súpravy


Inštalácia certifikátov

1. Otvorte požadované úložisko (napríklad dôveryhodné koreňové certifikačné autority). Ak to chcete urobiť, otvorte pobočku Certifikáty - Aktuálny používateľ / Dôveryhodné koreňové certifikačné autority / Certifikáty(pozri obr. 5).

Ryža. 5. Okno konzoly

2. Zvoľte menu Akcia/ Všetky úlohy / Importovať(pozri obr. 6).

Ryža. 6. Menu "Všetky úlohy / Import"

3. V okne, ktoré sa otvorí, kliknite na tlačidlo Ďalej.

4. Ďalej kliknite na tlačidlo Prehľad a zadajte súbor certifikátu na import (koreňové certifikáty Certifikačné centrum možno stiahnuť zo stránky Certifikačné centrum, certifikáty regulačných orgánov sú na stránke systému Kontur-Extern). Po výbere certifikátu kliknite na tlačidlo Otvorené(pozri obr. 7) a potom tlačidlom Ďalej.

Ryža. 7. Výber certifikátu na import

5. V ďalšom okne kliknite na tlačidlo Ďalej(automaticky sa vyberie požadované úložisko). Pozri obr. osem.

Ryža. 8. Výber úložiska

6. Stlačte tlačidlo Pripravený na dokončenie importu (pozri obr. 9).

Ryža. 9. Dokončenie importu certifikátu


Odstraňovanie certifikátov

Ak chcete odstrániť certifikáty pomocou konzoly mmc(napríklad z úložiska Other users), musíte urobiť nasledovné:

Rozbaľte vetvu Certifikáty - Aktuálny používateľ / Iní používatelia / Certifikáty... Všetky certifikáty nainštalované v obchode sa zobrazia v pravej časti okna. Iní používatelia... Zvýraznite požadovaný certifikát, kliknite naň pravým tlačidlom myši a vyberte Odstrániť(pozri obr. 10).

Ryža. 10. Okno konzoly

Pri registrácii dokumentov alebo registrácii organizácie sa používatelia stretávajú s chybou - „Nie je možné vytvoriť reťazec certifikátov pre dôveryhodných koreňové centrum". Ak to skúsite znova, chyba sa zobrazí znova. Čo robiť v tejto situácii, prečítajte si ďalej v článku.

Príčiny chyby v reťazci certifikátov

Chyby môžu nastať z rôznych dôvodov – problémy s internetom na strane klienta, blokovanie softvér Windows Defender alebo iný antivírusový softvér. Ďalej neprítomnosť koreňový certifikát Certifikačná autorita, problémy v procese kryptografického podpisu a iné.

Vyriešte chybu pri vytváraní reťazca certifikátov pre dôveryhodnú koreňovú autoritu

V prvom rade sa uistite, že nemáte problémy s internetovým pripojením. Chyba sa môže objaviť, keď je prístup odmietnutý. Sieťový kábel musí byť pripojený k počítaču alebo smerovaču.

  1. Kliknite na tlačidlo "Štart" a vyhľadajte "Príkazový riadok".
  2. Vyberte ho pravým tlačidlom myši a kliknite na „Spustiť ako správca“.
  3. Do okna DOS zadajte nasledujúci príkaz „ping google.ru“.

Keď je pripojený internet, mali by ste zobraziť údaje o odoslaných paketoch, prenosovej rýchlosti a ďalšie informácie. Ak nie je internet, uvidíte, že pakety nedosiahli svoj cieľ.

Teraz skontrolujeme prítomnosť koreňového certifikátu CA. Pre to:


Ak certifikát neexistuje, musíte si ho stiahnuť. Vo väčšine prípadov sa nachádza v koreňových certifikátoch a používateľovi ho stačí nainštalovať. Je tiež potrebné pripomenúť, že je najlepšie použiť prehliadač Internet Explorer, aby sa v procese vyskytlo menej chýb a pádov. Pokúste sa nájsť CA v koreňových certifikátoch, potom budete musieť kliknúť na tlačidlo „Inštalovať“, reštartovať prehliadač a vyriešite problém s chybou – „Nedá sa vytvoriť reťazec certifikátov pre dôveryhodné koreňové centrum ."

Kontrola koreňového certifikátu CA v prehliadači

Kontrolu je možné vykonať v prehliadači.

  1. Z ponuky vyberte „Servis“.
  2. Ďalej kliknite na riadok „Možnosti internetu“.
  3. Kliknite na kartu „Obsah“.
  4. Tu musíte vybrať "Certifikáty".
  5. Ďalšia karta je „Dôveryhodné certifikačné autority“. Tu by mal byť certifikát koreňovej CA, zvyčajne je na konci zoznamu.

Teraz skúste znova kroky, ktoré spôsobili chybu. Pre získanie koreňového certifikátu je potrebné kontaktovať príslušné centrum, kde ste UPC ES získali.

Iné spôsoby, ako opraviť chybu reťazca certifikátov

Pozrime sa, ako správne stiahnuť, nainštalovať a používať CryptoPro. Aby ste sa uistili, že program nie je nainštalovaný na vašom počítači (ak existuje niekoľko používateľov počítača), musíte otvoriť ponuku "Štart". Potom vyberte "Programy" a vyhľadajte "CryptoPro" v zozname. Ak tam nie je, nainštalujeme ho. Program si môžete stiahnuť z odkazu https://www.cryptopro.ru/downloads. Tu potrebujete " CryptoPro CSP“- vyberte verziu.

V ďalšom okne by ste mali vidieť správu o predbežnej registrácii.

Inštalácia CryptoPro

Po stiahnutí inštalačného súboru ho musíte spustiť, aby ste ho nainštalovali do počítača. Systém zobrazí varovanie, že program požaduje povolenie na zmenu súborov na PC, povoľte mu to.

Pred inštaláciou programu do počítača musíte extrahovať všetky vaše tokeny. Prehliadač musí byť nakonfigurovaný tak, aby fungoval, s výnimkou prehliadača Opera, v ktorom sú už vykonané všetky predvolené nastavenia. Používateľovi zostáva iba aktivácia špeciálneho pluginu pre prácu. V tomto procese uvidíte zodpovedajúce okno, kde Opera ponúka aktiváciu tohto pluginu.

Po spustení programu budete musieť v okne zadať kľúč.

Program na spustenie nájdete na nasledujúcej ceste: „Štart“, „Všetky programy“, „CryptoPro“, „CryptoPro CSP“. V okne, ktoré sa otvorí, kliknite na tlačidlo „Zadať licenciu“ a do posledného stĺpca zadajte kľúč. Pripravený. Teraz je potrebné program správne nakonfigurovať pre vaše úlohy. V niektorých prípadoch pre elektronický podpis použiť ďalšie nástroje - CryptoPro Office Podpis a CryptoACM. Chybu môžete odstrániť - neexistuje spôsob, ako vytvoriť reťazec certifikátov pre dôveryhodné koreňové centrum - jednoduchou opätovnou inštaláciou CryptoPro. Skúste to, ak iné tipy nepomôžu.

Zobrazuje sa chyba stále? Odošlite požiadavku na podpornú službu, v ktorej musíte zverejniť snímky obrazovky svojich postupných akcií a podrobne vysvetliť svoju situáciu.

Dobré popoludnie, milí čitatelia blogovej stránky, v priebehu tohto mesiaca som dostal niekoľko otázok. e-mail, kde sú certifikáty uložené v systémoch Windows, nižšie vám o tejto problematike podrobne poviem, zvážte štruktúru úložiska, ako nájsť certifikáty a kde ich môžete použiť v praxi, bude to obzvlášť zaujímavé pre tých ľudí, ktorí často používajú EDS (elektronicky digitálne podpísané)

Prečo vedieť, kde sú certifikáty uložené v systéme Windows

Dovoľte mi uviesť hlavné dôvody, prečo chcete mať tieto znalosti:

  • Musíte zobraziť alebo nainštalovať koreňový certifikát
  • Musíte zobraziť alebo nainštalovať osobný certifikát
  • zvedavosť

Skôr som vám povedal, čo sú certifikáty a kde ich môžete získať a uplatniť, odporúčam vám prečítať si tento článok, pretože informácie v ňom obsiahnuté sú v tejto téme zásadné.

Vo všetkých operačných systémoch od Windows Vista po Windows 10 Redstone 2 sú certifikáty uložené na jednom mieste, v akomsi kontajneri, ktorý je rozdelený na dve časti, jednu pre používateľa a druhú pre počítač.

Vo väčšine prípadov v systéme Windows môžete zmeniť určité nastavenia prostredníctvom modulov snap-in mmc a úložisko certifikátov nie je výnimkou. A tak stlačíme kombináciu kláves WIN + R a v okne, ktoré sa otvorí, vykonáme, napíšeme mmc.

Môžete samozrejme zadať príkaz certmgr.msc, ale týmto spôsobom môžete iba otvoriť osobné certifikáty

Teraz v prázdnom module snap-in mmc kliknete na ponuku Súbor a vyberiete možnosť Pridať alebo odstrániť modul snap-in (klávesová skratka CTRL + M)

V okne Pridať a odstrániť moduly v poli Dostupné moduly vyhľadajte položku Certifikáty a kliknite na tlačidlo Pridať.

Tu v správcovi certifikátov môžete pridať moduly snap-in pre:

  • môj používateľský účet
  • servisný účet
  • počítačový účet

Zvyčajne pridávam pre používateľský účet

a počítač

Počítač má ďalšie nastavenia, je to buď lokálny počítač alebo vzdialený (na sieti), vyberte aktuálne a kliknite na hotovo.

V dôsledku toho som dostal tento obrázok.

Vytvorený modul snap-in si hneď uložíme, aby sme tieto kroky nabudúce neurobili. Prejdite do ponuky Súbor> Uložiť ako.

Nastavíme miesto uloženia a je to.

Ako môžete vidieť konzolu, úložisko certifikátov, v mojom príklade, ktorý vám ukážem na Windows 10 Redstone, uisťujem vás, že rozhranie okna je všade rovnaké. Ako som už písal, certifikáty sú dve oblasti – aktuálny používateľ a Certifikáty (lokálny počítač)

Certifikáty – aktuálny používateľ

Táto oblasť obsahuje nasledujúce priečinky:

  1. Osobné> osobné certifikáty (otvorené resp súkromné ​​kľúče), ktoré si nainštalujete z rôznych rootkenov alebo etokenov
  2. Dôveryhodné koreňové certifikačné autority> ide o certifikáty certifikačných autorít, ktorých dôverou automaticky dôverujete všetkým nimi vydaným certifikátom, potrebujete automaticky overiť väčšinu certifikátov na svete. Tento zoznam používané v reťazcoch budovania dôveryhodnosti CA, aktualizované na mieste s aktualizáciami systému Windows.
  3. Vzťah dôvery v podniku
  4. Sprostredkujúce certifikačné autority
  5. Objekt používateľa služby Active Directory
  6. Dôveryhodní vydavatelia
  7. Nedôveryhodné certifikáty
  8. Koreňové certifikačné autority tretích strán
  9. Dôveryhodné osoby
  10. Poskytovatelia overovacích certifikátov klienta
  11. Miestne nevymeniteľné certifikáty
  12. Dôveryhodné koreňové certifikáty Smart Card

V osobnom priečinku sa štandardne nenachádzajú žiadne certifikáty, pokiaľ ich nemáte nainštalované. Inštalácia môže byť buď z tokenu alebo vyžiadaním či importom certifikátu.

  • PKCS # 12 (.PFX, .P12)
  • Štandard syntaxe kryptografických správ – certifikáty PKCS # 7 (.p7b)
  • Serialized Certificate Store (.SST)

V záložke dôveryhodné centrá certifikáciu, uvidíte pôsobivý zoznam koreňových certifikátov najväčších vydavateľov, vďaka ktorým váš prehliadač dôveruje väčšine certifikátov na stránkach, pretože ak dôverujete rootu, znamená to každý, komu ho vydal.

Dvojitým kliknutím zobrazíte obsah certifikátu.

Z akcií ich môžete iba exportovať, aby ste ich neskôr mohli znova nainštalovať na iný počítač.

Export ide do najbežnejších formátov.

Zaujímavý je aj zoznam certifikátov, ktoré už boli zrušené alebo unikli.

s problémom nemožnosti správneho nasadenia softvéru z dôvodu neaktualizovania úložiska certifikátov dôveryhodných koreňových certifikačných autorít na cieľových počítačoch s OS Windows (ďalej pre stručnosť budeme tento obchod nazývať TrustedRootCA). V tom čase bol problém vyriešený nasadením balíka rootupd.exe dostupné v článku KB931125 ktoré sa týkali OS Windows XP... Teraz je tento operačný systém úplne odstránený z podpory spoločnosti Microsoft, a to je pravdepodobne dôvod, prečo tento článok KB už nie je k dispozícii na webovej lokalite spoločnosti Microsoft. K tomu všetkému možno pridať fakt, že ani v tom čase nebolo riešenie s nasadením balíka certifikátov, ktoré už bolo v tom čase zastarané, najoptimálnejšie, keďže sa vtedy používali systémy s OS Windows Vista a Windows 7, ktorá už mala nový mechanizmus na automatickú aktualizáciu úložiska certifikátov TrustedRootCA. Tu je jeden zo starých článkov o systéme Windows Vista, ktorý popisuje niektoré aspekty fungovania takéhoto mechanizmu –Podpora certifikátov a výsledná internetová komunikácia v systéme Windows Vista . Nedávno som narazil na pôvodný problém s opätovnou aktualizáciou úložiska certifikátov TrustedRootCA na viacerých klientskych počítačoch a serveroch Windows. Všetky tieto počítače nemajú priamy prístup na internet, a preto mechanizmus automatickej obnovy certifikátu neplní svoju úlohu tak, ako by sme chceli. Možnosť otvorenia priameho prístupu na internet pre všetky počítače aj na určité adresy bola spočiatku považovaná za extrém a hľadanie prijateľnejšieho riešenia ma priviedlo k článkuNakonfigurujte dôveryhodné korene a nepovolené certifikáty(RU ), ktorý okamžite odpovedal na všetky moje otázky. Vo všeobecnosti, na základe tohto článku, v tomto článku stručne zhrniem ďalej konkrétny príklad ako môžete centrálne prekonfigurovať na počítačoch so systémom Windows Vista a vyšším práve tento mechanizmus na automatickú aktualizáciu úložiska certifikátov TrustedRootCA tak, aby ako zdroj aktualizácií používal zdieľanie súborov alebo webovú lokalitu v lokálnej podnikovej sieti.

Najprv musíte venovať pozornosť tomu, že parameter, ktorý blokuje činnosť mechanizmu automatických aktualizácií, by nemal byť povolený v skupinových politikách aplikovaných na počítače. Tento parameter Vypnite automatickú aktualizáciu koreňových certifikátov V kapitole Konfigurácia počítača > Administratívne šablóny > systém > Správa internetovej komunikácie > Nastavenia internetovej komunikácie... Potrebujeme, aby tento parameter bol Vypnutý alebo len tak Nie je nakonfigurované.

Pri pohľade na úložisko certifikátov TrustedRootCA pod Lokálny počítač, potom na systémoch, ktoré nemajú priamy prístup na internet, bude sada certifikátov len taká malá:

Tento súbor je vhodné použiť napríklad vtedy, keď potrebujete vybrať iba určitú sadu z celej podmnožiny dostupných certifikátov a nahrať ich do samostatného súboru SST na ďalšie načítanie, napríklad pomocou lokálnej konzoly na správu certifikátov alebo pomocou Konzola na správu zásad skupiny (importovať do niektorých zásad alebo zásad domény prostredníctvom parametra Konfigurácia počítača > Postupy > Nastavenia systému Windows > Bezpečnostné nastavenia > Zásady verejného kľúča > Dôveryhodné koreňové certifikačné autority).

Avšak pre spôsob, akým nás zaujíma distribúcia koreňových certifikátov, úpravou fungovania mechanizmu automatických aktualizácií na koncových klientskych počítačoch, potrebujeme mierne odlišnú reprezentáciu sady skutočných koreňových certifikátov. Môžete ho získať pomocou rovnakého nástroja. Certutil, ale s inou sadou kľúčov.

V našom príklade použijeme zdieľaný sieťový priečinok na súborovom serveri ako lokálny distribučný zdroj. A tu je dôležité venovať pozornosť tomu, že pri príprave takéhoto priečinka je bezpodmienečne nutné obmedziť prístup k zápisu, aby sa nestalo, že ktokoľvek môže upravovať sadu koreňových certifikátov, ktoré sa potom „rozsypú“ cez viacero počítačov.

Certutil-syncWithWU -f -f \\ FILE-SERVER \ SHARE \ RootCAupd \ GPO-Deployment \

Keys -f -f sa používajú na vynútenie aktualizácie všetkých súborov v cieľovom adresári.

V dôsledku vykonania príkazu sa v nami označenom sieťovom priečinku objaví súbor súborov s celkovou veľkosťou asi pol megabajtu:

Podľa vyššie uvedenéhočlánky , účel súborov je nasledujúci:

  • Súbor authrootstl.cab Obsahuje dôveryhodné zoznamy certifikátov tretích strán;
  • Súbor nepovolená certstl.cab obsahuje dôveryhodný zoznam certifikátov s nedôveryhodnými certifikátmi;
  • Súbor nepovolený certifikát.sst Obsahuje sklad serializovaných certifikátov vrátane nedôveryhodných certifikátov;
  • Súbory s názvami ako odtlačok palca.crt obsahujú koreňové certifikáty tretích strán.

Takže boli prijaté súbory potrebné na fungovanie mechanizmu automatickej aktualizácie a teraz sa obraciame na implementáciu zmeny prevádzkovej schémy samotného tohto mechanizmu. V tomto, ako vždy, nám pomáhajú zásady skupiny domén. Aktívny adresár (GPO), hoci môžete použiť aj iné nástroje centralizovanej správy, všetko, čo musíme urobiť na všetkých počítačoch, je zmeniť, alebo skôr pridať, iba jeden parameter registra RootDirURL v pobočke HKLM \ Software \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate, ktorý určí cestu k nášmu sieťovému adresáru, do ktorého sme predtým umiestnili sadu súborov koreňového certifikátu.

Keď už hovoríme o nastavení GPO, opäť môžete použiť rôzne možnosti na splnenie danej úlohy. Napríklad existuje možnosť „starej školy“ s vytvorením vlastnej šablóny skupinovej politiky, ako je opísané v už známejčlánok ... Ak to chcete urobiť, vytvorte súbor vo formáte administratívnej šablóny GPO ( ADM), napríklad s názvom RootCAUpdateLocalPath.adm a obsah:

TRIEDA KATEGÓRIA STROJA !! SystemCertificates KEYNAME " Softvér \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate"POLICY !! RootDirURL EXPLAIN !! RootDirURL_help PART !! RootDirURL EDITTEXT VALUENAME" RootDirURL "END PART END POLICY END CATEGORY RootDirURL =" URL adresa, ktorá sa má zadať namiesto predvoleného ctldl.windowsupdate.com "RootDirURL pre umiestnenie sťahovania Súbory CTL. "SystemCertificates =" Nastavenia automatickej aktualizácie systému Windows "

Skopírujte tento súbor do radiča domény do adresára % SystemRoot% \ inf (spravidla je to adresár C: \ Windows \ inf). Potom prejdeme do editora zásad skupiny domén a vytvoríme samostatnú novú politiku a potom ju otvoríme na úpravu. V kapitole Konfigurácia počítača > Šablóny na správu... otvorte kontextovú ponuku a vyberte bod pripojenia pre novú šablónu politiky Pridať / odstrániť šablóny

V okne, ktoré sa otvorí, pomocou tlačidla Prehľadávať vyberte predtým pridaný súbor % SystemRoot% \ inf \ RootCAUpdateLocalPath.adm a po zobrazení šablóny v zozname kliknite na Zavrieť.

Po vykonanej akcii v sekcii Konfigurácia > Administratívne šablóny > Klasické administratívne šablóny (ADM) objaví sa skupina Nastavenia automatickej aktualizácie systému Windows, v ktorom bude dostupný jediný parameter Adresa URL, ktorá sa má použiť namiesto predvolenej adresy ctldl.windowsupdate.com

Otvorte tento parameter a zadajte cestu k lokálnemu zdroju, kde sme umiestnili predtým stiahnuté súbory aktualizácie, vo formáte http: // server1 / priečinok alebo súbor: // \\ server1 \ priečinok,
napríklad súbor: // \\ FILE-SERVER \ SHARE \ RootCAupd \ GPO-Deployment

Uložme zmeny a aplikujme vytvorenú politiku na doménový kontajner, v ktorom sa nachádzajú cieľové počítače. Tento spôsob nastavenia GPO má však množstvo nevýhod, a preto som ho nazval „stará škola“.

Ďalším, modernejším a pokročilejším spôsobom nastavenia registra klientov je použitie Predvoľby skupinovej politiky (GPP). Pomocou tejto možnosti môžeme vytvoriť zodpovedajúci objekt GPP v sekcii skupinovej politiky Konfigurácia počítača > Predvoľby > Registratúra s aktualizáciou parametrov ( Akcia: Aktualizovať) register RootDirURL(typ hodnoty REG_SZ)

V prípade potreby môžeme povoliť flexibilný mechanizmus zacielenia pre vytvorený parameter GPP (Záložka Spoločné> Možnosť Zacielenie na úrovni položky) na konkrétnom počítači alebo skupine počítačov na predbežné testovanie toho, čo nakoniec získame po uplatnení skupinových zásad.

Samozrejme si treba vybrať jednu možnosť, buď s pripojením vlastnej ADM-vzor, ​​alebo pomocou GPP.

Po nakonfigurovaní skupinových politík na akomkoľvek experimentálnom klientskom počítači aktualizujeme aktualizáciu pomocou príkazu gpupdate / sila s následným reštartom. Po spustení systému skontrolujte register pre vytvorený kľúč a skúste skontrolovať, či bol aktualizovaný sklad koreňových certifikátov. Na kontrolu použijeme jednoduchý, ale účinný príklad popísaný v poznámke.Dôveryhodné korene a nepovolené certifikáty .

Pozrime sa napríklad, či sa v úložisku certifikátov počítača, ktorý bol použitý na vydanie certifikátu, nachádza koreňový certifikát, ktorý je nainštalovaný na stránke s názvom buypass.no (ale na stránku samotnú nejdeme :)).

Najpohodlnejšie sa to robí pomocou PowerShell:

Certifikát Get-ChildItem: \ localmachine \ root | Kde ($ _ .friendlyname – ako „* Buypass *“)

S veľký podiel je pravdepodobné, že nebudeme mať takýto koreňový certifikát. Ak áno, otvorte internet Explorer a pozrite si adresu URL https://buypass.no ... A ak mechanizmus automatickej obnovy koreňových certifikátov, ktorý sme nakonfigurovali, úspešne funguje, potom v denníku udalostí systému Windows Aplikácia potom udalosť so zdrojom ( Zdroj) CAPI2, čo znamená úspešné načítanie nového koreňového certifikátu:

Názov denníka: Aplikácia
Ak chcete zdieľať s priateľmi:
Podobné publikácie