Список доверительных сертификатов для домена AD


Для создания списка доверительных сертификатов (CTL — Certificate Trust List) необходимо настроить каждый домен с помощью списка центров сертификации (CA — Certificate Authority), которым домен доверяет, что позволит пользователям домена получать сертификаты. Для начала необходимо установить центр сертификации для всего предприятия.

Кроме того, следует создать сертификат администратора или явный сертификат доверия (Trust Signing). Следующая последовательность действий описывает запрос на получение административного сертификата.

  1.  Откройте консоль MMC.

  2.  В меню Консоль (Console) выберите команду Добавить/Удалить оснастку (Add/Remove snap-in).

  3.  Кликните на кнопке Добавить (Add).

  4.  Выберите команду Сертификаты (Certificates) и кликните на кнопке Добавить (Add).

  5.  Выберите тип Моей учетной записи пользователя (My user account) и кликните на кнопке Готово (Finish).

  6.  Кликните на кнопке Закрыть (Close).

  7.  Кликните на кнопке OK для возврата в основное диалоговое окно.

  8.  Раскройте корневой раздел Сертификаты (Certificates) и кликните правой кнопкой мыши на опции Личные (Personal).

  9.  В меню Все задачи (All Tasks) выберите команду Запросить новый сертификат (Request New Certificate).

  10.  Кликните на кнопке Далее (Next) в окне Certificate Request Wizard.

  11.  Выберите раздел Administrator Template и кликните на кнопке Далее (Next).

  12.  Введите понятное имя/описание и кликните на кнопке Далее (Next).

  13.  В следующем окне кликните на кнопке Готово (Finish).

  14.  Когда появится диалоговое окно с подтверждением относительно создания сертификата, кликните на кнопке Install Certificate.

  15.  Наконец, кликните на кнопке OK в последнем диалоговом окне.

Оснастку Сертификаты (Certificates) можно использовать для просмотра сертификатов. Оснастка позволяет убедится, что сертификат выдан центром сертификации предприятия, а не локальным администратором.

Для создания списка доверия сертификатов сделайте следующее.

  1.  Откройте оснастку Active Directory — Пользователи и компьютеры (Active Directory — Users and Computers). Для этого в меню Пуск (Start) выберите команду Программы > Администрирование > Active Directory — Пользователи и компьютеры (Programs > Administrative Tools > Active Directory — Users and Computers).

  2.  Кликните правой кнопкой мыши на имени домене и выберите команду Свойства (Properties).

  3.  Перескочите на вкладку Групповая политика (Group Policy).

  4.  Выберите политику Default Domain Policy (или другую) и кликните на кнопке Edit.

  5.  Выберите раздел Конфигурация пользователя > Конфигурация Windows > Параметры безопасности > Public Key Policies > Enterprise Trust (User Configuration > Windows Settings > Security Settings > Public Key Policies > Enterprise Trust).

  6.  Кликните правой кнопкой мыши на разделе Enterprise Trust и выберите команду Создать > Список доверия сертификатов (New > Certificate Trust List).

  7.  После запуска мастера Certificate Trust List Wizard кликните на кнопке Далее (Next).

  8.  Для списка доверия сертификатов можно ввести префикс и назначение (например, Encrypted File System).

  9.  Кликните на кнопке Далее (Next).

  10.  Выберите сертификат, кликните на кнопке Add from Store, выберите сертификат домена и кликните на кнопке OK. Снова кликните на кнопке Далее (Next).

  11.  Выберите сигнатуру (то есть, созданный объект администратора), кликните на кнопке Select from Store, выберите отображаемый сертификат и кликните на кнопке OK, после чего на кнопке Далее (Next).

  12.  В случае необходимости можно добавить штамп времени. Кликните на кнопке Далее (Next).

  13.  Кликните на кнопке Готово (Finish), когда появится экран с итоговой информацией.

  14.  Кликните на кнопке OK в последнем диалоговом окне.

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *