У нас есть Win2k8 в качестве контроллера домена в домене с рабочими станциями под управлением Windows XP. Я хотел бы иметь возможность установить через GPO новый сертификат доверенного корневого центра сертификации, который я создал сам.
Я создал GPO, импортировал сертификат в папку Computer Configuration \ Windows Settings \ Security Settings \ Public Key Policies \ Trusted Root Certificate Authorities и назначил GPO группе пользователей. Когда я выполняю gpupdate / force на рабочей станции, я не вижу импортируемого сертификата ... даже если я перезагружаю станцию.
Затем подумал, что, возможно, я смогу добиться большего, если создам промежуточный корневой центр сертификации непосредственно на контроллере домена и разверну промежуточный корневой центр сертификации через объект групповой политики. Создал сертификат для промежуточного центра сертификации и импортировал его в тот же объект групповой политики в разделе Промежуточные центры сертификации.
Снова запустил gpupdate / force (и перезагрузился) и проверил рабочую станцию. Ничего не видно ни в разделе «Непосредственные», ни в разделе «Корневые органы».
После небольшого поиска в Google удалось найти этот пакет MSI Ссылка на сайт, установил его на двух рабочих станциях через GPO, запустил gpupdate / force на рабочих станциях и заметил, что промежуточный сертификат центра сертификации был установлен на рабочих станциях, а корневой ЦС - нет.
Есть ли у кого-нибудь идеи, что я могу попробовать дальше?
Спасибо.
LE. Забыл упомянуть, что корневой центр сертификации находится на автономном компьютере, а не в составе домена, и я планирую оставить его в автономном режиме.
Я создал GPO, импортировал сертификат в Computer Configuration \ Windows Settings \ Security Settings \ Public Key Policies \ Trusted Root Certificate Authorities и назначил GPO группе пользователей.
Если вы используете дерево политики «Конфигурация компьютера», его необходимо связать с подразделением, в котором учетные записи компьютеров хранятся.
Если вам необходимо установить сертификаты в хранилище сертификатов пользователя, тогда certutil
mioght помощь. Документация Microsoft по certutil. Использовать certutil -installcert <certfile>
(Я думаю, что можно запустить как пользователь) или certutil -addstore -user root <cert file>
в сценарии входа в систему. Обратите внимание, я не тестировал их, команды прямо из справки certutil -v -?
.
В таком случае, почему бы вам также не развернуть промежуточный центр сертификации для выдачи сертификатов? Если автономный ЦС может связываться с контроллерами домена, он публикует собственный сертификат в соответствующие контейнеры AD, что является поведением по умолчанию. Если срабатывает автоматическая регистрация, компьютеры могут запрашивать сертификаты. Лучший способ - использовать корпоративный корневой каталог и выдающий ЦС. Автономные центры сертификации имеют ограничения при регистрации и развертывании. Конфигурацию можно найти Вот. Удачи!
Некоторое время назад у нас была похожая проблема. Если я правильно помню, это нам помогло:
Конфигурация компьютера> Параметры Windows> Политики открытого ключа> Дважды щелкните Параметры проверки пути сертификата, а затем щелкните вкладку Хранилища.
Установите флажок Определить эти параметры политики.
В разделе Хранилища сертификатов для каждого пользователя снимите флажок Разрешить использование доверенных корневых центров сертификации пользователей для проверки сертификатов и Разрешить пользователям доверять сертификаты однорангового доверия в флажках Хранилища сертификатов для каждого пользователя.
Затем используйте gpupdate / force.
Надеюсь, это решит вашу проблему.
slm был близок, но вместо снятия отметки "Allow user trusted root CAs to be used to validate certificates
" и "Allow users to trust peer trust certificates option in the Per User Certificate Stores
"вы хотите ПРОВЕРИТЬ коробки.
Запустить gpupdate/force
на ПК, и сертификат будет развернут. Также не забудьте связать GPO с OU, к которому принадлежат ПК.