Ang pag-install ng mga self-signed certificate ay isang pangkaraniwang gawain para sa isang system administrator. Kadalasan ito ay ginagawa nang manu-mano, ngunit kung mayroong higit sa isang dosenang mga makina? At paano ang tungkol sa muling pag-install ng system o pagbili ng isang bagong PC, dahil maaaring mayroong higit sa isang sertipiko. Sumulat ng mga cheat sheet-paalala? Bakit, kapag mayroong isang mas simple at mas maginhawang paraan - mga patakaran ng pangkat ng ActiveDirectory. Kapag na-configure mo na ang patakaran, hindi mo na kailangang mag-alala kung mayroon ang mga user ng mga kinakailangang certificate.
Ngayon ay titingnan natin ang pamamahagi ng mga sertipiko gamit ang Zimbra root certificate bilang isang halimbawa, na aming na-export sa . Ang aming gawain ay ang mga sumusunod - awtomatikong ipamahagi ang sertipiko sa lahat ng mga computer na kasama sa unit (OU) - opisina. Papayagan ka nitong huwag i-install ang sertipiko kung saan hindi ito kinakailangan: sa hilaga, bodega at mga cash desk, atbp.
Buksan ang tool at lumikha bagong patakaran sa isang lalagyan mga GPO, para gawin ito, i-right-click ang container at piliin Lumikha. Binibigyang-daan ka ng patakarang mag-install ng pareho at ilang certificate nang sabay-sabay, nasa iyo ang gagawin, ngunit mas gusto naming lumikha ng sarili naming patakaran para sa bawat certificate, nagbibigay-daan ito sa iyong baguhin ang mga panuntunan para sa kanilang aplikasyon nang mas flexible. Dapat mo ring bigyan ang patakaran ng isang friendly na pangalan upang kapag binuksan mo ang console sa loob ng anim na buwan, hindi mo kailangang maalala kung para saan ito.
Pagkatapos ay i-drag ang patakaran sa container opisina, na magbibigay-daan sa iyong ilapat ito sa yunit na ito.
Ngayon mag-right click sa patakaran at piliin Baguhin. Sa editor ng patakaran ng grupo na bubukas, palawakin Pag-configure ng computer - Windows Configuration - Mga opsyon sa seguridad - Pampublikong mga pangunahing patakaran- . Sa kanang bahagi ng window, sa menu, i-right-click, piliin Angkat at i-import ang sertipiko.
Nagawa na ang patakaran, ngayon na ang oras upang suriin kung ito ay inilalapat nang tama. sa isang iglap Pamamahala ng Patakaran ng Grupo pumili Pagmomodelo ng Patakaran ng Grupo at tumakbo sa right click Simulation Wizard.
Karamihan sa mga setting ay maaaring iwanang default, ang tanging bagay na kailangang itakda ay ang user at computer kung saan mo gustong suriin ang patakaran.
Pagkatapos makumpleto ang simulation, maaari naming tiyakin na ang patakaran ay matagumpay na nailapat sa tinukoy na computer, kung hindi man ay buksan ang item Mga bagay na tinanggihan at tingnan ang dahilan kung bakit hindi naaangkop ang patakaran sa user o computer na ito.
Pagkatapos nito, susuriin namin ang pagpapatakbo ng patakaran sa PC ng kliyente, para dito ay manu-manong i-update namin ang mga patakaran gamit ang utos:
gpupdate
Ngayon buksan natin ang tindahan ng sertipiko. Ang pinakamadaling paraan upang gawin ito ay sa pamamagitan ng Internet Explorer: Mga Pagpipilian sa Internet -Nilalaman -Mga sertipiko. Ang aming sertipiko ay dapat na nasa lalagyan Pinagkakatiwalaang Root Certification Authority.
Tulad ng nakikita mo, gumagana ang lahat at ang administrator ay may isang mas kaunting sakit ng ulo, ang sertipiko ay awtomatikong ipapamahagi sa lahat ng mga computer na inilagay sa departamento opisina. Kung kinakailangan, maaari kang magtakda ng mas kumplikadong mga kundisyon para sa paglalapat ng patakaran, ngunit ito ay lampas na sa saklaw ng artikulong ito.
Magandang hapon, mahal na mga mambabasa ng blog site, ilang beses na akong tinanong sa loob ng buwang ito e-mail kung saan nakaimbak ang mga sertipiko mga sistema ng bintana, sa ibaba ay sasabihin ko sa iyo nang detalyado ang tungkol sa isyung ito, isaalang-alang ang istraktura ng imbakan, kung paano makahanap ng mga sertipiko at kung saan mo ito magagamit sa pagsasanay, lalo itong magiging kawili-wili para sa mga taong madalas na gumagamit ng EDS (electronic digital na lagda)
Bakit alam kung saan nakaimbak ang mga sertipiko sa mga bintana
Hayaan mong ibigay ko sa iyo ang mga pangunahing dahilan kung bakit mo gustong magkaroon ng kaalamang ito:
- Kailangan mong tingnan o i-install ang root certificate
- Kailangan mong tingnan o i-install ang isang personal na sertipiko
- Pagkausyoso
Mas maaga, sinabi ko sa iyo kung ano ang mga sertipiko at kung saan mo makukuha at mailapat ang mga ito, ipinapayo ko sa iyo na basahin ang artikulong ito, dahil ang impormasyong nakapaloob dito ay pangunahing sa paksang ito.
Sa lahat mga operating system Simula sa Windows Vista at hanggang sa Windows 10 Redstone 2, ang mga certificate ay iniimbak sa isang lugar, isang uri ng lalagyan na nahahati sa dalawang bahagi, isa para sa user at ang pangalawa para sa computer.
Sa karamihan ng mga kaso, maaari mong baguhin ang ilang partikular na setting sa Windows sa pamamagitan ng mmc snap-in, at ang certificate store ay walang exception. At kaya pinindot namin ang key na kumbinasyon WIN + R at sa window na bubukas, isagawa, isulat ang mmc.
Siyempre, maaari mong ipasok ang utos ng certmgr.msc, ngunit sa ganitong paraan maaari ka lamang magbukas ng mga personal na sertipiko
Ngayon sa isang walang laman na mmc snap-in, i-click mo ang File menu at piliin ang Add or Remove Snap-in (shortcut CTRL+M)
Sa window ng Add/Remove Snap-Ins, sa Available na Snap-ins na field, hanapin ang Mga Certificate at i-click ang Add button.
Dito sa tagapamahala ng sertipiko, maaari kang magdagdag ng mga snap-in para sa:
- aking user account
- account ng serbisyo
- account sa computer
Karaniwan akong nagdaragdag para sa account ng gumagamit
at kompyuter
Ang computer ay may higit pang mga karagdagang setting, ito ay alinman sa isang lokal na computer o isang remote (sa network), piliin ang kasalukuyang isa at i-click ang tapos na.
Sa wakas, nakuha ko ang larawang ito.
Agad nating i-save ang ginawang snap-in para sa susunod na pagkakataon ay hindi na natin kailangang gawin ang mga hakbang na ito. Pumunta sa menu na File > Save As.
Itakda ang lokasyon ng pag-save at iyon na.
Tulad ng nakikita mo sa console ng tindahan ng sertipiko, sa aking halimbawa na ipinapakita ko sa iyo sa Windows 10 Redstone, tinitiyak ko sa iyo na ang interface ng window ay pareho sa lahat ng dako. Tulad ng isinulat ko kanina, mayroong dalawang lugar na Mga Sertipiko - ang kasalukuyang gumagamit at Mga Sertipiko (lokal na computer)
Mga Certificate - kasalukuyang gumagamit
Ang lugar na ito ay naglalaman ng mga sumusunod na folder:
- Makukuha dito ang mga personal > personal na certificate (pampubliko o pribadong key) na na-install mo mula sa iba't ibang rutokens o etoken
- Trusted Root Certification Authority > ito ay mga certificate ng certificate authority, sa pamamagitan ng pagtitiwala sa kanila awtomatiko mong pinagkakatiwalaan ang lahat ng certificate na ibinigay nila, kailangan ang mga ito para awtomatikong ma-verify ang karamihan sa mga certificate sa mundo. Ginagamit ang listahang ito kapag bumubuo ng mga ugnayan ng tiwala sa pagitan ng mga CA, ito ay ina-update sa lugar na may mga update sa Windows.
- Pagkatiwalaan ang mga relasyon sa negosyo
- Mga intermediate na CA
- object ng gumagamit ng Active Directory
- Mga Pinagkakatiwalaang Publisher
- Mga sertipiko na hindi pinagkakatiwalaan
- Mga Third Party Root CA
- Mga kumpiyansa
- Mga provider ng sertipiko ng pagpapatunay ng kliyente
- Mga Lokal na Hindi Matatanggal na Sertipiko
- Mga Sertipiko ng Pinagkakatiwalaang Root ng Smart Card
Sa personal na folder, walang mga sertipiko bilang default, maliban kung na-install mo ang mga ito. Ang pag-install ay maaaring alinman sa isang token o sa pamamagitan ng paghiling o pag-import ng isang sertipiko.
- PKCS#12 (.PFX, .P12)
- Cryprograhic Message Syntax Standard - Mga Sertipiko ng PKCS #7 (.p7b).
- Serialized Certificate Store (.SST)
Sa tab mga pinagkakatiwalaang sentro sertipikasyon, makakakita ka ng isang kahanga-hangang listahan ng mga root certificate mula sa pinakamalaking mga publisher, salamat sa kanila pinagkakatiwalaan ng iyong browser ang karamihan sa mga certificate sa mga site, dahil kung pinagkakatiwalaan mo ang ugat, kung gayon ang lahat kung kanino ito nagbigay nito.
Sa pamamagitan ng pag-double click makikita mo ang nilalaman ng sertipiko.
Sa mga pagkilos, maaari mo lamang i-export ang mga ito, upang maaari mong muling i-install ang mga ito sa isa pang computer.
Ang pag-export ay napupunta sa mga pinakakaraniwang format.
Ang isa pang kawili-wiling listahan ay ang listahan ng mga sertipiko na binawi na o na-leak.
Kapag tumitingin sa isang Electronic Signature (EDS), hindi lang dapat tukuyin ng iyong computer ang validity period ng iyong EDS, ngunit maunawaan din kung sino ang nagbigay ng Electronic Signature. Ang bawat EDS certificate ay nagpapahiwatig kung aling Certification Authority (CA) ang nagbigay ng lagda. Matapos "basahin" ng system ang tagagawa ng digital signature, kailangan mong makakuha ng impormasyon tungkol sa tagagawa na ito. Upang gawin ito, naka-install ang isang root certificate sa computer ng user.
Kung ang root certificate ng Certification Authority ay naka-install sa computer ng user, ang lahat ng certificate na ibinigay ng CA na ito ay ituturing na wasto (sa kondisyon na ang kanilang validity period ay hindi pa nag-e-expire).
Isinasaalang-alang ang lahat ng nasa itaas, dumating kami sa konklusyon na para sa sertipiko Electronic Signature itinuturing ng system bilang "wasto", kailangan mong i-install ang mga root certificate ng Certification Authority na nagbigay ng EDS.
Simulan natin ang pag-install ng root certificate:
Bago i-install ang root certificate, i-download ito mula sa website ng certification center na nagbigay sa iyo ng EDS o mula sa aming website sa seksyong: .
1. I-double-click ang naka-save na sertipiko o i-right-click at piliin ang item, tulad ng ipinapakita sa figure.
2. Sa window na lilitaw, i-click ang "Next" button.
3. Sa susunod na window, piliin ang "Ilagay ang lahat ng mga sertipiko sa sumusunod na tindahan" at mag-click sa pindutang "Browse...".
4. Sa pop-up window, piliin ang "Trusted Root Certification Authority" at i-click ang "OK".
5. Ang pop-up window ay magsasara at ikaw ay dapat na tulad ng ipinapakita sa larawan. Kung hindi lumabas ang impormasyon sa field na "Tindahan ng sertipiko," bumalik sa hakbang 3, 4 at ulitin muli ang mga hakbang na ito. Kung ang lahat ay ipinapakita tulad ng ipinapakita sa figure, i-click ang "Next".
6. I-click ang "Tapos na" kapag tapos na.
7. Pagkatapos isara ang window ng "Certificate Import Wizard," maaaring maglabas ang system ng babala tungkol sa pag-install ng mga certificate sa iyong computer. Maaaring lumitaw ang mensaheng ito nang maraming beses. Pindutin ang "YES" na buton sa bawat oras.
8. Kung ang nakaraang mensahe ay hindi lilitaw, i-click ang "OK" sa susunod na window, tulad ng ipinapakita sa figure.
Binabati kita! Ngayon ang root certificate ng Certification Authority ay matagumpay na na-install!
Ang mga sertipiko na ginagamit sa pagpapatakbo ng sistema ng Kontur Extern ay maaaring idagdag o alisin gamit ang console mmc mula sa mga sumusunod na repositoryo:
- Iba pang mga gumagamit(imbakan ng mga sertipiko ng mga awtoridad sa regulasyon)
- Pinagkakatiwalaang Root Certification Authority At Mga intermediate na CA(mga tindahan ng sertipiko Awtoridad ng Sertipiko).
Pag-install mga personal na sertipiko Ito ay ginawa lamang sa tulong ng programang Crypto Pro.
Upang ilunsad ang console, gawin ang sumusunod:
1. Piliin ang menu Magsimula/ Takbo(o sa keyboard, sabay na pindutin ang mga key Win+R).
2. Tukuyin ang isang utos mmc at pindutin ang pindutan OK.
3. Piliin ang menu file/ Magdagdag o mag-alis ng snap(tingnan ang fig. 1).
kanin. 1. Console window
4. Pumili ng snap-in mula sa listahan Mga sertipiko at mag-click sa pindutan Idagdag(tingnan ang Fig. 2).
kanin. 2. Pagdaragdag ng Snap
5. Sa window na bubukas, itakda ang switch Aking user account at pindutin ang pindutan handa na(Tingnan ang Fig. 3).
kanin. 3. Snap-in na tagapamahala ng sertipiko
6. Piliin ang idinagdag na kagamitan mula sa listahan sa kanan at i-click ang button OK(tingnan ang Fig. 4).
kanin. 4. Pagpili ng idinagdag na tooling
Pag-install ng mga sertipiko
1. Buksan ang kinakailangang tindahan (halimbawa, Trusted Root Certification Authority). Upang gawin ito, buksan ang sangay Mga Sertipiko - Kasalukuyang Gumagamit / Pinagkakatiwalaang Awtoridad sa Sertipikasyon ng Root / Mga Sertipiko(Tingnan ang Fig. 5).
kanin. 5. Console window
2. Piliin ang menu Aksyon/ Lahat ng gawain / Angkat(Tingnan ang Fig. 6).
kanin. 6. Menu "Lahat ng mga gawain / Pag-import"
3. Sa window na bubukas, i-click ang button Dagdag pa.
4. Susunod, mag-click sa pindutan Pangkalahatang-ideya at tukuyin ang certificate file para sa pag-import (root certificates Awtoridad ng Sertipiko maaaring i-download mula sa site awtoridad sa sertipikasyon, ang mga sertipiko ng mga awtoridad sa regulasyon ay nasa website ng sistema ng Kontur-Extern). Pagkatapos piliin ang sertipiko, mag-click sa pindutan Bukas(tingnan ang Fig. 7), at pagkatapos ay sa pamamagitan ng pindutan Dagdag pa.
kanin. 7. Pagpili ng certificate na ii-import
5. Sa susunod na window, i-click ang button Dagdag pa(ang nais na imbakan ay awtomatikong pinili). Tingnan ang fig. 8.
kanin. 8. Piliin ang storage
6. Pindutin ang pindutan handa na upang makumpleto ang pag-import (tingnan ang Larawan 9).
kanin. 9. Pagkumpleto ng pag-import ng sertipiko
Pag-alis ng mga Sertipiko
Upang alisin ang mga certificate gamit ang console mmc(halimbawa, mula sa storage ng Iba pang mga user), kailangan mong gawin ang sumusunod:
Palawakin ang sangay Mga Sertipiko - kasalukuyang gumagamit / Iba pang mga gumagamit / Mga Sertipiko. Ang lahat ng mga sertipiko na naka-install sa tindahan ay ipapakita sa kanang bahagi ng window Iba pang mga gumagamit. I-highlight ang nais na sertipiko, i-right-click ito at piliin Tanggalin(tingnan ang fig. 10).
kanin. 10. Console window
Kung bubukas ang window ng seguridad ng browser kapag sinusubukang magtatag ng koneksyon sa Web-cabinet (Fig. 1), kailangan mong magdagdag root certificate ng Moscow Exchange moex.cer sa listahan mga pinagkakatiwalaang sertipiko.
Figure 1 - Window ng Seguridad ng Browser
Para dito kailangan mo:
- ipasok sa box para sa paghahanap Windows file name certmgr.msc(Larawan 2). Pagkatapos ay mag-left-click sa nahanap na file. Bilang resulta, magbubukas ang direktoryo ng system ng sertipiko (Larawan 3);
Figure 2 - maghanap para sa direktoryo ng system ng mga sertipiko Figure 3 - direktoryo ng system ng mga sertipiko - pumunta sa seksyon Mga sertipiko side menu (Larawan 4). Pagkatapos i-right click sa folder Mga sertipiko at sa menu ng konteksto na bubukas, piliin ang item Lahat ng gawain → Mag-import(Larawan 5).
Figure 4 - pinagkakatiwalaang mga direktoryo Figure 5 - pag-import ng sertipikoBilang isang resulta, ito ay magbubukas Certificate Import Wizard(Larawan 6), kung saan dapat mong pindutin ang pindutan Dagdag pa upang pumunta sa pagpili ng file ng sertipiko moex.cer(Larawan 7);
Figure 6 - Certificate Import Wizard Figure 7 - dialog box para sa pagpili ng na-import na file - pindutin ang pindutan Pangkalahatang-ideya(tingnan ang Fig. 7, 1) at piliin root certificate ng Moscow Exchange moex.cer. Bilang isang resulta, sa field Pangalan ng file ang landas patungo sa file na ito ay ipapakita (tingnan ang Fig. 7.2). Pagkatapos ay dapat mong pindutin ang pindutan Dagdag pa(tingnan ang Fig. 7.3);
- pindutin ang pindutan Dagdag pa sa dialog box Tindahan ng sertipiko, nang hindi binabago ang mga default na parameter (Larawan 8), pagkatapos ay ang pindutan handa na upang makumpleto ang pag-import ng sertipiko (Larawan 9).
Figure 8 - tindahan ng sertipiko Larawan 9 - pagkumpleto ng pag-import
Kapag kumpleto na ang pag-import, magbubukas ang isang window ng seguridad Windows (Larawan 10). Suriin ang key fingerprint. Ang numero nito ay dapat tumugma sa numerong ipinahiwatig sa figure (10.1). Kung tumugma ang data, i-click Oo(Larawan 10.2).
Figure 10 - window ng seguridad Windows
Bilang resulta, magbubukas ang isang abiso tungkol sa matagumpay na pag-import. sertipiko ng Moscow Exchange moex.cer sa listahan ng mga pinagkakatiwalaang sertipiko (Larawan 11), kung saan dapat mong i-click ang pindutan OK.
Figure 11 - pagkumpleto ng pag-import