главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Windows 10 Insider Preview: вышла сборка 14986
  • Windows 10 Creators Update сделают безопаснее для организаций
  • В Windows 10 будет поддержка шрифта Брайля
  • Выпуск тестовых сборок Windows 10 приостановлен
  • Как-то раз, болтая на Twitter'е, я заявил, что Active Directory — лучшее изобретение Microsoft. Отчасти я сказал так, чтобы подразнить гусей, и действительно, тут же нашелся человек, заявивший мне в ответ, что Active Directory — это «просто LDAP». Простим ему это заблуждение — он линуксоид.

    Между тем, Active Directory действительно вызывает у меня восхищение в одном аспекте — своими возможностями групповой политики, которые избавляют от необходимости самостоятельно обходить все серверы и рабочие станции для развертывания сертификатов.

    Зачем развертывают сертификаты

    Развертывание сертификатов бывает необходимо в разных ситуациях, чаще всего — для обеспечения шифрования данных по SSL для внутренних веб-служб или приложений. Сертификат может быть самоподписан (что не рекомендуется) или выдан доверенным центром сертификации типа VeriSign, Thawte, Entrust и других подобных организаций.

    Помимо индивидуальных сертификатов (то есть, платных), могут потребоваться промежуточные или кросс-сертификаты для доступа к базовым сертификатам. VeriSign определяет промежуточные сертификаты следующим образом:

    SSL-сертификаты подписываются промежуточным сертификационным центром в рамках двухуровневой иерархической модели (цепочки доверия), что повышает уровень безопасности сертификата. Если на сервере не установлен промежуточный сертификационный центр, при посещении веб-сайта пользователи могут столкнуться с сообщениями об ошибках, которые отпугнут их от дальнейшего просмотра.


    Короче говоря, без промежуточного сертификата от SSL-сертификата не будет никакой пользы. Проблема заключается в том, чтобы установить этот промежуточный сертификат на все компьютеры. На мой взгляд, самое эффективное решение в таком случае — прибегнуть к возможностям групповой политики. При использовании объекта групповой политики для развертывания промежуточный сертификат будет автоматически зарегистрирован в локальной системе. В Windows Server 2008 для этого нужно импортировать сертификат в разделе «Параметры безопасности | Политики публичных ключей» (Security Settings | Public Key Policies) (рис. A).

    Развертывание промежуточных сертификатов с помощью групповой политики
    Рисунок A. Нажмите на изображении для увеличения.


    Мастер импорта поможет импортировать промежуточный сертификат, после чего объект групповой политики может быть сохранен и применен к организационной единице, включающей несколько компьютеров. При следующей перезагрузке или обновлении групповой политики промежуточные сертификаты будут загружены на локальные компьютеры безо всякого вмешательства со стороны пользователей. На рис. B показано, куда будет установлен промежуточный сертификат.

    Развертывание промежуточных сертификатов с помощью групповой политики
    Рисунок B. Нажмите на изображении для увеличения.


    На мой взгляд, групповая политика — лучшее решение для массового развертывания промежуточных сертификатов. Если вы предпочитаете другой подход, поделитесь своим опытом в комментариях!

    Автор: Rick Vanover
    Перевод SVET


    Оцените статью:
    Голосов 2

    Материалы по теме:
  • Настройка выполнения сценариев PowerShell с помощью групповой политики
  • Фильтрация объектов групповой политики по группам безопасности
  • Загрузка файлов на локальные компьютеры с помощью групповой политики
  • Настройка собственных значков сетей для доменов Active Directory с помощью групповой политики
  • Отключение съемных носителей с помощью групповой политики Windows Server 2008


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет семь плюс пять?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+