Jak distribuovat kořenové certifikáty CAcert z aktivního adresáře na všechny počítače
[Aktivní adresář (Active Directory) je databáze domény Microsoft. Obsahuje údaje o všech počítačích, tiskárnách, uživatelích, skupinách počítačů a uživatelů, právech atd. Kromě toho lze objekty domény členit do tzv. organizačních jednotek (Organization Units, OU). Těmto OU, celé doméně a jejím serverům-řadičům lze přidělit tzv. objekty skupinové politiky (Group Policy Objects, GPO, čili objekty zásad skupin) s různým nastavením, které se šíří po síti do cílových objektů. Jedním z mnoha nastavení jsou i kořenové certifikáty různých CA.]
- Následující kroky je třeba provést v objektech skupinových zásad (Group Policy Objects) Windows serveru 2008:
Otevřete GPO organizační jednotky (OU) klientských počítačů, které mají být konfigurovány (nebo celé domény MS): Administrative Tools -> Group Policy -> rozbalte doménu nebo OU, objeví se objekty zásad -> klik pravým tlačítkem myši na zvoleném objektu zásad -> Edit...
česká lokalizace: Nástroje pro správu -> Správa zásad skupiny -> rozbalte doménu nebo OU, objeví se objekty zásad -> klik pravým tlačítkem myši na zvoleném objektu zásad -> Upravit... - otevře se editor správy zásad skupiny (Group Policy Editor)
Zvolte Computer Configuration --> Policies -> Windows Settings --> Security Settings --> Public Key Policies --> Trusted Root Certification Authorities
česká lokalizace: Konfigurace počítače -> Zásady -> Nastavení systému Windows -> Nastavení zabezpečení -> Zásady veřejného klíče -> Důvěryhodné kořenové certifikační úřady
Klikněte pravým tlačítkem myši na 'Trusted Root Certification Authorities' (Důvěryhodné kořenové certifikační úřady) --> Importovat...
- Zadejte soubor kořenového certifikátu důvěryhodné kořenové CA.
- Zavřete editor správy zásad skupiny (Group Policy Editor).
Co nejdříve replikujte změny Aktivního adresáře (ActiveDirectory) do všech doménových kontrolérů (DC) (-> požádejte správce domény)
- Aktualizujte objekty zásad skupiny (Group Policy Objects) na klientských počítačích (pracovních stanicích) (WinXP, Win 7, Win 8: 'gpupdate /force' z okna příkazového řádku)
Zdroj: http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=7599485&forum_id=75362
Výsledek
