Savarankiškai pasirašytų sertifikatų diegimas yra labai dažna sistemos administratoriaus užduotis. Paprastai tai daroma rankiniu būdu, bet jei mašinų yra daugiau nei keliolika? O ką daryti iš naujo diegiant sistemą ar perkant naują kompiuterį, nes sertifikatų gali būti ne vienas. Rašyti primimo cinta? Kodėl, kai yra daug paprastesnis ir patogesnis būdas - "Active Directory" grupės strategija. Kai sukonfigūravote politiką, nebereikia jaudintis, kad vartotojai turės reikiamus sertifikatus.
iandien pažvelgsime sertifikatų platinimą naudodami Zimbra akninio sertifikato, kurį eksportavome, pavyzdį. Ms užduotis bus tokia - automatiškai išplatinti sertifikatą visiems kompiuteriams, trauktiems skyrių (OU) - Biuras... Tai leis jums neįdiegti sertifikato ten, kur jo nereikia: iaurėje, sandėlio ir kasos darbo vietose ir kt.
Atidarykime papildinį ir sudarykime naują politiką sudėtiniame rodinyje politikos objektai grup, norėdami tai padaryti, dešiniuoju pelės mygtuku spustelėkite konteinerį ir pasirinkite Sukurti... Politika leidžia vienu metu diegti ir vieną, ir kelis sertifikatus, ką daryti, priklauso nuo jūsų, tačiau mes norime kiekvienam sertifikatui sukurti savo politiką, tai leidžia lanksčiau keisti jųais Taip pat turėtumėte pavadanti politiką draugišku pavadinimu, kad atidarius konsolę po ešių mėnesių nereikėtų skausmingai prisiminti, kam ji skirta.
Tada vilkite politiką sudėtinį rodinį Biuras, kuris jį pritaikys iam padaliniui.
Dabar dešiniuoju pelės mygtuku spustelėkite politiką ir pasirinkite keisti... Atidarytame grup politiks politikos redaktoriuje mes nuosekliai plečiamės Kompiuterio konfigūracija - "Windows" konfigūracija - Saugo parinktys - Viešojo rakto politika-. Meniu dešinėje lango pusėje dešiniuoju pelės mygtuku spustelėkite impor ir importuokite sertifikatą.
Politika sukurta, atėjo laika patikrinti, ar ji taikoma teisingai. Akimirksniu Grupės politikos valdymas pasirinkti Grupės politikos modeliavimas ir paleiskite dešiniuoju pelės klavišu Modeliavimo vedlys.
Daugumą parametrų galima palikti numatytuosius, reikia nustatyti tik naudotoją ir kompiuterį, kurio politiką norite patikrinti.
Baigę modeliavimą galime sitikinti, kad politika sėkmingai pritaikyta nurodytam kompiuteriui, kitaip išplėsime elementą Atmesti objektai ir peržiūrėkite priežastį, kodėl i politika nebuvo taikoma iam naudotojui ar kompiuteriui.
Tada mes patikrinsime politikos veikimą kliento kompiuteryje, todėl mes rankiniu būdu atnaujinsime politiką naudodami komandą:
gpupdate
Dabar atidarykime sertifikatų parduotuvę. Lengviausias būdas tai padaryti yra Internet Explorer: Interneto nustatymai -Turinys -Sertifikatai... Sertifikatas turi būti konteineryje Sertifikavimo institucijos dari Patikimos pagrindin.
Kaip matote, viskas veikia ir administratoriui mažiau skauda galvą, pažymėjimas bus automatiškai išplatintas visuose skyriuje esančiuose kompiuteriuose Biuras... Jei reikia, galite nustatyti sudėtingesnes politikos taikymo sąlygas, tačiau tai nepatenka io straipsnio taikymo sritį.
Jei bandant užmegzti ryšį su iniatinklio kabinetu atidaromas naršyklės saugos langas (1 pav.), Turite pridėti Maskvos biržos moex.cer“ akninis sertifikatas patikimų sertifikatų sąrašą.
1 pav. Naršyklės saugos langas
Tam reikia:
- veskite paieškos laukelį "Windows" failo pavadinimas certmgr.msc(2 halaman). Tada kairiuoju pelės mygtuku spustelėkite rast failą. Dl ke atsidarys sertifikato sistemos katalogas (3 pav.);
2 pav. Paieškos sistemos katalogų paieška 3 pav. Sertifikatų sistemos katalog - eikite skyri Sertifikatai onini meniu (4 pav.). Tada dešiniuoju pelės mygtuku spustelėkite aplank Sertifikatai ir atidarytame kontekstinime meniu pasirinkite elementą Fitur utama → Impor(5 halaman).
4 paveikslas - patikimi katalogai 5 paveikslas - sertifikato importasDėl ke jis bus atidarytas Sertifikat importavimo vedlys(6 pav.), Kuriame reikia paspausti mygtuką Toliau pereiti prie sertifikato failo pasirinkimo moex.cer(7 halaman);
6 pav. Sertifikato importavimo vedlys 7 paveikslas. Importuoto failo pasirinkimo dialogo langas - paspauskite mygtuką Apžvalga(žr. 7, 1 pav.) ir pasirinkite Maskvos biržos moex.cer“ akninis sertifikatas. Dl ke lauke Failo pavadinimas bus parodytas kelias failą (žr. 7.2 pav.). Tada paspauskite mygtuką Toliau(žr. 7.3 pav.);
- paspauskite mygtuką Toliau bahasa dialog Sertifikatų parduotuvė nekeičiant numatytųjų parametrų (8 pav.), tada - mygtukas Paruošta baigti importuoti sertifikatą (9 pav.).
8 paveikslas - sertifikatų saugykla 9 paveikslas - importo užbaigimas
Kai importavimas bus baigtas, atsidarys saugos langas "Jendela" (10 halaman). Patikrinkite rakto piršto atspaudą. Jo numeris turi sutapti su paveiksle (10.1) nurodytu skaičiumi. Jei duomenys sutampa, spustelėkite Taipo(10.2 pav.).
10 pav. Saugos langas"jendela"
Dl to bus atidarytas pranešimas apie skmingą importavimą Maskvos biržos sertifikatas moex.cer patikimų sertifikatų sąrašą (11 pav.), kuriame turėtumėte spustelėti Gerai.
11 pav. Importavimo užbaigimas
- "Kiti vartotojai" - reguliavimo institucijų sertifikatų saugykla;
- "Patikimos pagrindins sertifikavimo institucijos" ir "Tarpinės sertifikavimo institucijos" - sertifikavimo institucijos sertifikatų saugyklos.
Asmeninių sertifikatų digimas atliekamas tik naudojant programą "Crypto Pro".
Norėdami paleisti konsolę, turite atlikti iuos veiksmus
1. Pasirinkite meniu "Pradėti"> "Vykdyti" (arba vienu metu paspauskite klaviatūros klavišus "Menang + R").
2. Nurodykite komandą mmc ir spustelėkite mygtuką "Gerai".
3. Pasirinkite Failas> Pridėti arba pašalinti papildinį.
4. Iš sąrašo pasirinkite papildinį "Sertifikatai" ir spustelėkite mygtuką "Pridėti".
5. Atsidariusiame lange nustatykite jungiklį "Mano vartotojo abonementas" ir spustelėkite mygtuką "Baigti".
6. Dešinėje esančiame sąraše pasirinkite pridėtą papildinį ir spustelėkite mygtuką Gerai“.
Sertifikatų diegimas
1. Atidarykite reikiamą saugyklą (pavyzdžiui, patikimos akninio sertifikavimo institucijos). Norėdami tai padaryti, atidarykite skyrių "Sertifikatai - dabartinis vartotojas"> "Patikimos pagrindinės sertifikavimo institucijos"> "Sertifikatai".
2. Pasirinkite Veiksmas> Visos užduotys> Importuoti.
4. Tada spustelėkite mygtuką Naršyti“ ir nurodykite importuojamo sertifikato failą (sertifikavimo centro akninius sertifikatus galima atsisiųsti iš sertifikavimo centro svetainės, reguliavimo institucijs. Pasirinkę sertifikatą, turite spustelėti mygtuką Atidaryti“, tada - mygtuką Kitas“.
5. Kitame lange spustelėkite mygtuką "Kitas" (reikiama saugykla pasirenkama automatiškai).
6. Norėdami užbaigti importavimą, spustelėkite mygtuką Baigti“.
Sertifikatų pašalinimas
Norėdami ištrinti sertifikatus naudodami konsolę mmc (pvz., Iš parduotuvės Kiti vartotojai), turite atlikti iuos veiksmus:
Išplėskite aką "Sertifikatai - dabartinis vartotojas"> "Kiti vartotojai"> "Sertifikatai". Visi parduotuvėje Kiti vartotojai“ diegti sertifikatai bus rodomi dešinėje lango dalyje. Pažymėkite reikiamą sertifikatą, dešiniuoju pelės mygtuku spustelėkite jį ir pasirinkite "Ištrinti".
Norėdami diegti sertifikatus, turite prijungti USB atmintinę su elektroniniu parašu, atidaryti ją ir diegti sertifikatus
1. patikimus aknų centrus diekite pagrindinės sertifikavimo institucijos sertifikatą, nes jums reikia:
1.1. Dukart spustelėkite vadovo sertifikat CA - failą Head sertifikavimo tarnyba.cer“.
1.2. Atsidariusioje formoje turite spustelėti mygtuką diegti sertifikatą ...“. 
1.3. Pasirinkite dėti visus sertifikatus kitą parduotuvę“ (pažymėkite varnelę prieš etiketę) ir spustelėkite mygtuką Naršyti“. 
1.4. Atsidariusiame sąraše pasirinkite "Patikimos pagrindinės sertifikavimo institucijos" dan spustelėkite "Gerai". 
2.Įdiekite asmeninį sertifikatą
Asmeninio sertifikato digimas atliekamas naudojant program "CryptoPro CSP"ą
2.1. Btina paleisti "CryptoPro CSP" programą (mygtukas "Pradėti" -> "CryptoPro CSP" arba mygtukas "Pradti" -> "Visos programos" -> CRYPTO -PRO -> "CryptoPro CSP"). 
2.2. Atsidariusiame lange pasirinkite skirtuką "Paslauga" ir spustelėkite mygtuką "Įdiegti asmeninį sertifikatą ...". 
2.3. Atsidariusiame lange spustelėkite mygtuką “Naršyti”, USB atmintinėje pasirinkite organizacijos sertifikatą - antrąjį failą su plėtiniu “certifikato failą (pavyzdyje -“ adicom.cer ”)) ir“ Kit spustelk. 
2.4. Atsidariusioje formoje spustelėkite "Kitas" 
2.5. Atsidariusioje formoje turite pažymėti ymimąjį laukelį Rasti konteinerį automatiškai“. Dl ke bus užpildytas "Raktinio konteinerio pavadinimas" ir spustelėkite "Kitas" 
2.6. Atsidariusioje formoje spustelėkite "Kitas" 
2.7. Atsidariusioje formoje turite spustelėti "Baigti" 
Vietiniame vartotojo kompiuteryje yra diegta viskas, kas reikalinga elektroniniam programinės rangos parašui generuoti - galite pasirašyti spausdintas formas.
3. Naršyklėje diekite "Ekstensi CryptoPro untuk Browser Cades" papildinį
Norėdami diegti naršyklės plėtinį (priedą) Ekstensi CryptoPro untuk Cades“ naršyklės papildinį, naršyklėje atidarykite plėtinių parduotuvę ir ieškokite plėtinių Yandex pagal odį Naršyklės nuoroda -
Registruodami dokumentus ar registruodami organizaciją, vartotojai susiduria su klaida - “Nepavyko sukurti patikimos pagrindinės institucijos sertifikatų grandinės”. Jei bandysite dar kart, klaida pasirodys dar kart. Ką daryti ioje situacijoje, skaitykite toliau straipsnyje.
Klaid priežastys sertifikatų grandinėje
Klaidos gali atsirasti dėl vairių priežasčių - problemų su internetu kliento pusėje, programinės rangos blokavimo naudojant "Windows Defender" dan kitas program antivirus. Be to, sertifikavimo institucijos pagrindinio sertifikato nebuvimas, kriptografinio parašo proceso problemos ir kt.
Išspręskite klaidą kurdami patikimos aknies institucijos sertifikatų grandinę
Pirmiausia sitikinkite, kad neturite jokių problemų dėl interneto ryšio. Klaida gali atsirasti atmetus prieigą. Tinklo kabelis turi būti prijungtas prie kompiuterio ar maršrutizatoriaus.
- Spustelėkite mygtuką Pradėti“ ir ieškokite Komandinė eilutė“.
- Pasirinkite jį dešiniuoju pelės mygtuku ir spustelėkite "Vykdyti kaip administratorius".
- Bahasa DOS veskite ią komandą ping google.ru“.
Kai internetas prijungtas, turėtumėte rodyti duomenis apie išsiųstus paketus, perdavimo greitį ir kitą informaciją. Jei nėra interneto, pamatysite, kad paketai nepasiekė paskirties vietos.
Dabar patikrinkime, ar yra sertifikavimo institucijos pagrindinis sertifikatas. Tam:
Sertifikato Jei nėra, turite jį atsisiųsti. Daugeliu atvejų jis randamas akniniuose sertifikatuose ir vartotojui tereikia jį diegti. Taip pat verta prisiminti, kad geriausia naudoti "Internet Explorer" naršyklę, kad proceso metu atsirastų mažiau klaidų ir gedimų. Pabandykite rasti CA pagrindiniuose sertifikatuose, po to jums tereikia spustelėti mygtuką diegti“, iš naujo paleisti naršyklę ir išspręsite klaidos problemą - Nepavyko sukurti pati centatųimo tifsakn. "
CA pagrindinio sertifikato tikrinimas naršyklėje
Patikrinimą galima atlikti naršyklėje.
- Meniu pasirinkite "Paslauga".
- Tada spustelėkite eilutę "Interneto parinktys".
- Spustelėkite rokuką "Turinys".
- ia reikia pasirinkti "Sertifikatai".
- Kitas skirtukas yra "Patikimos sertifikavimo institucijos". ia turėtų būti pagrindinis CA sertifikatas, paprastai jis yra sąrašo apačioje.
Dabar bandykite dar kart klaidą sukėlusius veiksmus. Norėdami gauti pagrindinį sertifikatą, turite susisiekti su atitinkamu centru, kuriame gavote UPC ES.
Kiti būdai, kaip ištaisyti sertifikatų grandinės klaidą
Apsvarstykime, kaip teisingai atsisiųsti, diegti ir naudoti "CryptoPro". Norėdami sitikinti, kad programa nėra diegta jūsų kompiuteryje (jei yra keli kompiuterio vartotojai), turite atidaryti meniu "Pradėti". Tada pasirinkite "Programos" ir sąraše ieškokite "CryptoPro". Jei jo nėra, mes jį diegsime. Programą galite atsisiųsti iš nuorodos https://www.cryptopro.ru/downloads. ia jums reikia "CryptoPro CSP" - pasirinkite versiją.
Kitame lange turėtumėte pamatyti išankstinės registracijos pranešimą.
Digimas "CryptoPro"
Atsisiuntę diegimo failą, turite jį paleisti, kad diegtumėte savo kompiuteryje. Sistema parodi spėjimą, program kad prašo leidimo keisti kompiuterio failus, leiskite tai padaryti.
Prieš diegdami programą savo kompiuteryje, turite išgauti visus savo etonus. Naršyklė turi būti sukonfigūruota veikti, išskyrus “Opera” naršyklę, kurioje visi numatytieji nustatymai jau atlikti. Vartotojui lieka tik aktyvuoti specialų papildinį darbui. Proses metu pamatysite atitinkamą langą, kuriame "Opera" siūlo suaktyvinti papildinį.
Paleidę programą, lange turėsite vesti rakt.
Programą galite paleisti tokiu keliu: “Pradėti”, “Visos programos”, “CryptoPro”, “CryptoPro CSP”. Atsidariusiame lange spustelėkite mygtuką vesti licenciją“ ir veskite raktą paskutiniame stulpelyje. Paruošta. Dabar programa turi būti tinkamai sukonfigūruota jūsų užduotims atlikti. Kai kuriais atvejais elektroniniam parašui naudojamos papildomos paslaugos - "CryptoPro Office Signature" ir "CryptoACM". Galite pašalinti klaidą - nėra jokio būdo sukurti patikimo aknų centro sertifikatų grandinę - tiesiog iš naujo diegus "CryptoPro". Išbandykite tai, jei kiti patarimai nepadeda.
Ar klaida vis tiek pasirodo? Nusiųskite palaikymo užklausą, kurioje turite paskelbti nuoseklių veiksmų ekrano kopijas ir išsamiai paaiškinti savo situaciją.
