Сертификаты, которые используются в работе системы Контур Экстерн, можно добавить или удалить c помощью консоли mmc из следующих хранилищ:
- Другие пользователи (хранилище сертификатов контролирующих органов)
- Доверенные корневые центры сертификации и Промежуточные центры сертификации (хранилища сертификатов Удостоверяющего Центра ).
Установка личных сертификатов производится только с помощью программы Крипто Про.
Для запуска консоли необходимо выполнить следующие действия:
1. Выбрать меню Пуск / Выполнить (или на клавиатуре одновременно нажать клавиши Win+R ).
2. Указать команду mmc и нажать на кнопку ОК .
3. Выбрать меню Файл / Добавить или удалить оснастку (см. рис. 1).
Рис. 1. Окно консоли
4. Выбрать из списка оснастку Сертификаты и кликнуть по кнопке Добавить (см. рис. 2).
Рис. 2. Добавление оснастки
5. В открывшемся окне установить переключатель Моей учетной записи пользователя и нажать на кнопкуГотово (см. рис. 3).
Рис. 3. Оснастка диспетчера сертификатов
6. Выбрать из списка справа добавленную оснастку и нажать на кнопку ОК (см. рис. 4).
Рис. 4. Выбор добавленной оснастки
Установка сертификатов
1. Открыть необходимое хранилище (например, доверенные корневые центры сертификации). Для этого раскрыть ветку Сертификаты — текущий пoльзователь / Доверенные корневые центры сертификации / Сертификаты (см. рис. 5).
Рис. 5. Окно консоли
2. Выбрать меню Действие / Все задачи / Импорт (см. рис. 6).
Рис. 6. Меню «Все задачи / Импорт»
3. В отрывшемся окне нажать на кнопку Далее .
4. Далее следует нажать на кнопку Обзор и указать файл сертификата для импорта (корневые сертификатыУдостоверяющего Центра можно скачать с сайта Удостоверяющего центра , сертификаты контролирующих органов находятся на сайте системы «Контур-Экстерн»). После выбора сертификата необходимо кликнуть по кнопке Открыть (см. рис. 7), а затем по кнопке Далее .
Рис. 7. Выбор сертификата для импорта
5. В следующем окне необходимо нажать на кнопку Далее (нужное хранилище выбрано автоматически). См. рис. 8.
Рис. 8. Выбор хранилища
6. Нажать на кнопку Готово для завершения импорта (см. рис. 9).
Рис. 9. Завершение импорта сертификата
Удаление сертификатов
Чтобы удалить сертификаты с помощью консоли mmc (например, из хранилища Другие пользователи), необходимо проделать следующие действия:
Раскрыть ветку Сертификаты — текущий пoльзователь / Другие пользователи / Сертификаты . В правой части окна отобразятся все сертификаты, установленные в хранилище Другие пользователи . Выделите необходимый сертификат, щелкните по нему правой кнопкой мыши и выберите Удалить (см. рис. 10).
Рис. 10. Окно консоли
- «Другие пользователи» — хранилище сертификатов контролирующих органов;
- «Доверенные корневые центры сертификации» и «Промежуточные центры сертификации» — хранилища сертификатов Удостоверяющего Центра.
Установка личных сертификатов производится только с помощью программы Крипто Про.
Для запуска консоли необходимо выполнить следующие действия
1. Выбрать меню «Пуск» > «Выполнить» (или на клавиатуре одновременно нажать клавиши «Win+R»).
2. Указать команду mmc и нажать на кнопку «ОК».
3. Выбрать меню «Файл» > «Добавить или удалить оснастку».
4. Выбрать из списка оснастку «Сертификаты» и кликнуть по кнопке «Добавить».
5. В открывшемся окне установить переключатель «Моей учетной записи пользователя» и нажать на кнопку «Готово».
6. Выбрать из списка справа добавленную оснастку и нажать на кнопку «ОК».
Установка сертификатов
1. Открыть необходимое хранилище (например, доверенные корневые центры сертификации). Для этого раскрыть ветку «Сертификаты — текущий пoльзователь» > «Доверенные корневые центры сертификации» > «Сертификаты».
2. Выбрать меню «Действие» > «Все задачи» > «Импорт».
4. Далее следует нажать на кнопку «Обзор» и указать файл сертификата для импорта (корневые сертификаты Удостоверяющего Центра можно скачать с сайта Удостоверяющего центра , сертификаты контролирующих органов находятся на сайте системы Контур.Экстерн). После выбора сертификата необходимо кликнуть по кнопке «Открыть», а затем по кнопке «Далее».
5. В следующем окне необходимо нажать на кнопку «Далее» (нужное хранилище выбрано автоматически).
6. Нажать на кнопку «Готово» для завершения импорта.
Удаление сертификатов
Чтобы удалить сертификаты с помощью консоли mmc (например, из хранилища Другие пользователи), необходимо проделать следующие действия:
Раскрыть ветку «Сертификаты — текущий пoльзователь» > «Другие пользователи» > «Сертификаты». В правой части окна отобразятся все сертификаты, установленные в хранилище «Другие пользователи». Выделите необходимый сертификат, щелкните по нему правой кнопкой мыши и выберите «Удалить».
Установка самоподписанных сертификатов весьма частая задача для системного администратора. Обычно это делается вручную, но если машин не один десяток? И как быть при переустановке системы или покупке нового ПК, ведь сертификат может быть и не один. Писать шпаргалки-напоминалки? Зачем, когда есть гораздо более простой и удобный способ - групповые политики ActiveDirectory. Один раз настроив политику можно больше не беспокоится о наличии у пользователей необходимых сертификатов.
Сегодня мы рассмотрим распространение сертификатов на примере корневого сертификата Zimbra, который мы экспортировали в . Наша задача будет стоять следующим образом - автоматически распространять сертификат на все компьютеры входящие в подразделение (OU) - Office . Это позволит не устанавливать сертификат туда, где он не нужен: на севера, складские и кассовые рабочие станции и т.д.
Откроем оснастку и создадим новую политику в контейнере Объекты групповой политики , для этого щелкните на контейнере правой кнопкой и выберите Создать . Политика позволяет устанавливать как один, так и несколько сертификатов одновременно, как поступить - решать вам, мы же предпочитаем создавать для каждого сертификата свою политику, это позволяет более гибко менять правила их применения. Также следует задать политике понятное имя, чтобы открыв консоль через полгода вам не пришлось мучительно вспоминать для чего она нужна.
После чего перетащите политику на контейнер Office , что позволит применить ее к данному подразделению.
Теперь щелкнем на политику правой кнопкой мыши и выберем Изменить . В открывшемся редакторе групповых политик последовательно разворачиваем Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политики открытого ключа - . В правой части окна в меню правой кнопкой мыши выбираем Импорт и импортируем сертификат.
Политика создана, теперь самое время проверить правильность ее применения. В оснастке Управление групповой политикой выберем Моделирование групповой политики и запустим по правому щелчку Мастер моделирования .
Большинство параметров можно оставить по умолчанию, единственное что следует задать - это пользователя и компьютер для которых вы хотите проверить политику.
Выполнив моделирование можем убедиться, что политика успешно применяется к указанному компьютеру, в противном случае раскрываем пункт Отклоненные объекты и смотрим причину по которой политика оказалась неприменима к данному пользователю или компьютеру.
После чего проверим работу политики на клиентском ПК, для этого обновим политики вручную командой:
Gpupdate
Теперь откроем хранилище сертификатов. Проще всего это сделать через Internet Explorer : Свойства обозревателя - Содержание - Сертификаты . Наш сертификат должен присутствовать в контейнере Доверенные корневые центры сертификации .
Как видим - все работает и одной головной болью у администратора стало меньше, сертификат будет автоматически распространяться на все компьютеры помещенные в подразделение Office . При необходимости можно задать более сложные условия применения политики, но это уже выходит за рамки данной статьи.
