Назад | Перейти на главную страницу

Установите сертификат доверенного корневого центра сертификации через GPO

У нас есть Win2k8 в качестве контроллера домена в домене с рабочими станциями под управлением Windows XP. Я хотел бы иметь возможность установить через GPO новый сертификат доверенного корневого центра сертификации, который я создал сам.

Я создал GPO, импортировал сертификат в папку Computer Configuration \ Windows Settings \ Security Settings \ Public Key Policies \ Trusted Root Certificate Authorities и назначил GPO группе пользователей. Когда я выполняю gpupdate / force на рабочей станции, я не вижу импортируемого сертификата ... даже если я перезагружаю станцию.

Затем подумал, что, возможно, я смогу добиться большего, если создам промежуточный корневой центр сертификации непосредственно на контроллере домена и разверну промежуточный корневой центр сертификации через объект групповой политики. Создал сертификат для промежуточного центра сертификации и импортировал его в тот же объект групповой политики в разделе Промежуточные центры сертификации.

Снова запустил gpupdate / force (и перезагрузился) и проверил рабочую станцию. Ничего не видно ни в разделе «Непосредственные», ни в разделе «Корневые органы».

После небольшого поиска в Google удалось найти этот пакет MSI Ссылка на сайт, установил его на двух рабочих станциях через GPO, запустил gpupdate / force на рабочих станциях и заметил, что промежуточный сертификат центра сертификации был установлен на рабочих станциях, а корневой ЦС - нет.

Есть ли у кого-нибудь идеи, что я могу попробовать дальше?

Спасибо.

LE. Забыл упомянуть, что корневой центр сертификации находится на автономном компьютере, а не в составе домена, и я планирую оставить его в автономном режиме.

Я создал GPO, импортировал сертификат в Computer Configuration \ Windows Settings \ Security Settings \ Public Key Policies \ Trusted Root Certificate Authorities и назначил GPO группе пользователей.

Если вы используете дерево политики «Конфигурация компьютера», его необходимо связать с подразделением, в котором учетные записи компьютеров хранятся.

Если вам необходимо установить сертификаты в хранилище сертификатов пользователя, тогда certutil mioght помощь. Документация Microsoft по certutil. Использовать certutil -installcert <certfile> (Я думаю, что можно запустить как пользователь) или certutil -addstore -user root <cert file> в сценарии входа в систему. Обратите внимание, я не тестировал их, команды прямо из справки certutil -v -?.

В таком случае, почему бы вам также не развернуть промежуточный центр сертификации для выдачи сертификатов? Если автономный ЦС может связываться с контроллерами домена, он публикует собственный сертификат в соответствующие контейнеры AD, что является поведением по умолчанию. Если срабатывает автоматическая регистрация, компьютеры могут запрашивать сертификаты. Лучший способ - использовать корпоративный корневой каталог и выдающий ЦС. Автономные центры сертификации имеют ограничения при регистрации и развертывании. Конфигурацию можно найти Вот. Удачи!

Некоторое время назад у нас была похожая проблема. Если я правильно помню, это нам помогло:

  1. Конфигурация компьютера> Параметры Windows> Политики открытого ключа> Дважды щелкните Параметры проверки пути сертификата, а затем щелкните вкладку Хранилища.

  2. Установите флажок Определить эти параметры политики.

  3. В разделе Хранилища сертификатов для каждого пользователя снимите флажок Разрешить использование доверенных корневых центров сертификации пользователей для проверки сертификатов и Разрешить пользователям доверять сертификаты однорангового доверия в флажках Хранилища сертификатов для каждого пользователя.

  4. Затем используйте gpupdate / force.

Надеюсь, это решит вашу проблему.

slm был близок, но вместо снятия отметки "Allow user trusted root CAs to be used to validate certificates" и "Allow users to trust peer trust certificates option in the Per User Certificate Stores"вы хотите ПРОВЕРИТЬ коробки.

  1. Отредактируйте объект групповой политики, развернув сертификат
  2. В редакторе управления групповой политикой выберите Конфигурация компьютера> Параметры Windows> Политики открытого ключа> дважды щелкните Параметры проверки пути к сертификату на правой панели.
  3. На вкладке «Магазины» установите флажок «Определить эти параметры политики». В разделе Хранилища сертификатов для каждого пользователя ВЫБЕРИТЕ параметр Разрешить использование доверенных корневых ЦС пользователей для проверки сертификатов и ВЫБЕРИТЕ параметр Разрешить пользователям доверять сертификаты однорангового доверия в флажках Хранилища сертификатов для каждого пользователя.

Запустить gpupdate/force на ПК, и сертификат будет развернут. Также не забудьте связать GPO с OU, к которому принадлежат ПК.