Установка сертификата CA Root.
Компьютеры в нашей сети смогут подключаться к Exchange по протоколу HTTPS, но остальные компьютеры – не смогут. Причина в том, что мы установили на наш IIS сертификат который был подписан “само подписанным” сертификатом нашего CA.
Сертификат был подписан нашим центром сертификации предприятия (CA). Компьютеры не в нашей сети не знают про этот CA, и не “доверяют” ему. Для того, чтобы они стали “доверять” необходимо добавить сертификат нашего CA в список “доверенных корневых центров сертификации”.
Для начала скачаем сертификат.
Скачать можно зайдя на сервер сертификации по WEB интерфейсу https://server.myfirma.local/certsrv/certcarc.asp
Введите имя пользователя myfirma\Administrator и пароль (следует зайти под администратором домена).
Сохраните сертификат в надежном месте. Он нам еще пригодится не раз.
Если вы купили сертификат, то CA выдавший вам сертификат уже находится в списке доверенных CA. Теоретически все компьютеры автоматически будут “доверять” этому сертификату.
Про наш CA остальным компьютерам придется “сообщить”.
CA Root MyFirma можно установить двумя путями:
1. Каждому пользователю вручную
2. Через групповые политики на все компьютеры домена
Для того, чтобы его «авторизовать» у вас, необходимо CA Root MyFirma добавить к вам в ваш раздел Trusted Root Certification Authority.
Добавление вручную:
1. Наберите «Пуск» после чего «Выполнить», в строке введите mmc и нажмите Enter.
2. В появившейся консоли добавьте оснастку Certificates
3. На вопрос добавления выберите Current User
4. Разверните оснастку
5. Выберите пункт Trusted Root Certification Authority -> Certification
6. Щелкните по нему правой кнопкой мыши и выберите требуемое действие – Import
7. Выберите сохраненный вами сертификат CA и нажмите Import
8. Обратите внимание, что импорт сертификата необходимо осуществить только в раздел Trusted Root Certification Authority. Именно этот раздел определяет, что ваш компьютер теперь станет «доверять» центру сертификации MyFirma.
9. В конце процедуры импорта появится информационное окно с отпечатком сертификате (нажать Yes )
Обратите внимание, что такой импорт «вручную» следует осуществлять только в крайних случаях (тесты, или единственный удаленный компьютер в магазине, не в домене).
Есть также другие пути установки сертификата (например, через Internet Explorer, в пункте «Сервис» – > «Опции» -> «Сертификаты»).
Для всех других случаев проще добавлять CA Root через групповые политики.
Добавление через групповые политики:
1. Откройте оснастку управления «Active Directory Users and Computers» на любом контроллере домена
2. Создайте новую политику управления
3. Зайдите в созданной политике в следующий пункт и выполните «Import» вашего сохраненного сертификата CA Root.
Дальнейшая процедура импорта не отличается от импорта сертификата вручную.
Однако, вы должны обратить внимание на следующее:
1. Применяется политика только на учетные записи компьютеров
2. Политика “сработает” только после перезагрузки компьютера
3. Политика будет действительна на всех пользователей компьютера.
На данном этапе настройка больше не нужна. Все сертификаты, выписанные вашим CA Root MyFirma, автоматически будут доверяться вашими компьютерами.