главная    •     Новости      •     софт      •     RSS-ленты     •     реклама      •     PDA-Версия      •    Контакты
Windows XP    •      Windows 7     •    Windows 8    •    Windows 9-10-11     •    Windows Server     •    Железо
Советы      •     Администрирование      •     Сеть      •     Безопасность      •     Статьи      •     Материалы
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Приветствуем Gnome Mobile!
  • Европа недолюбливает браузер от Microsoft
  • Всё о передовых технологиях
  • Телекоммуникационные патч-панели: описание, категории, типы
  • Эксперты определили самые быстро заряжающиеся Android-смартфоны
  • Российский ИИ показал, как сделать заголовки новостей правдивыми
  • Как-то раз, болтая на Twitter'е, я заявил, что Active Directory — лучшее изобретение Microsoft. Отчасти я сказал так, чтобы подразнить гусей, и действительно, тут же нашелся человек, заявивший мне в ответ, что Active Directory — это «просто LDAP». Простим ему это заблуждение — он линуксоид.

    Между тем, Active Directory действительно вызывает у меня восхищение в одном аспекте — своими возможностями групповой политики, которые избавляют от необходимости самостоятельно обходить все серверы и рабочие станции для развертывания сертификатов.

    Зачем развертывают сертификаты

    Развертывание сертификатов бывает необходимо в разных ситуациях, чаще всего — для обеспечения шифрования данных по SSL для внутренних веб-служб или приложений. Сертификат может быть самоподписан (что не рекомендуется) или выдан доверенным центром сертификации типа VeriSign, Thawte, Entrust и других подобных организаций.

    Помимо индивидуальных сертификатов (то есть, платных), могут потребоваться промежуточные или кросс-сертификаты для доступа к базовым сертификатам. VeriSign определяет промежуточные сертификаты следующим образом:

    SSL-сертификаты подписываются промежуточным сертификационным центром в рамках двухуровневой иерархической модели (цепочки доверия), что повышает уровень безопасности сертификата. Если на сервере не установлен промежуточный сертификационный центр, при посещении веб-сайта пользователи могут столкнуться с сообщениями об ошибках, которые отпугнут их от дальнейшего просмотра.


    Короче говоря, без промежуточного сертификата от SSL-сертификата не будет никакой пользы. Проблема заключается в том, чтобы установить этот промежуточный сертификат на все компьютеры. На мой взгляд, самое эффективное решение в таком случае — прибегнуть к возможностям групповой политики. При использовании объекта групповой политики для развертывания промежуточный сертификат будет автоматически зарегистрирован в локальной системе. В Windows Server 2008 для этого нужно импортировать сертификат в разделе «Параметры безопасности | Политики публичных ключей» (Security Settings | Public Key Policies) (рис. A).

    Развертывание промежуточных сертификатов с помощью групповой политики
    Рисунок A. Нажмите на изображении для увеличения.


    Мастер импорта поможет импортировать промежуточный сертификат, после чего объект групповой политики может быть сохранен и применен к организационной единице, включающей несколько компьютеров. При следующей перезагрузке или обновлении групповой политики промежуточные сертификаты будут загружены на локальные компьютеры безо всякого вмешательства со стороны пользователей. На рис. B показано, куда будет установлен промежуточный сертификат.

    Развертывание промежуточных сертификатов с помощью групповой политики
    Рисунок B. Нажмите на изображении для увеличения.


    На мой взгляд, групповая политика — лучшее решение для массового развертывания промежуточных сертификатов. Если вы предпочитаете другой подход, поделитесь своим опытом в комментариях!

    Автор: Rick Vanover
    Перевод SVET


    Оцените статью: Голосов

    Материалы по теме:
  • Определение ID сайта с помощью IIS в Windows Server 2008
  • Использование групповой политики и средств управления системой для подготовки серверов
  • Перезапуск Active Directory в качестве службы в Windows Server 2008
  • Отключение съемных носителей с помощью групповой политики Windows Server 2008
  • Как указать сервер точного времени для контроллеров домена Active Directory



  • Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет двадцать минус три?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    МАТЕРИАЛЫ    ОТ ПАРТНЁРОВ

    Copyright © 2006-2022 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+