Из-за растущего разнообразия используемых сертификатов и в виду увеличения количества выпускаемых сертификатов некоторые организации могут захотеть управлять доверительными отношениями сертификатов и пожелают запретить пользователям в домене конфигурирование своих собственных наборов доверенных корневых сертификатов. Кроме того, в некоторых организациях могут пожелать определять и распределять конкретные доверенные корневые сертификаты для поддержки бизнес-сценариев, для которых необходимы дополнительные доверительные отношения.

В этом разделе описаны процедуры для следующих задач.

Управление доверенными корневыми сертификатами для локального компьютера

Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы.

Чтобы управлять доверенными корневыми сертификатами локального компьютера, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите Начать поиск, введите mmc, а затем нажмите клавишу ВВОД.

  2. В меню Файл выберите команду Добавить или удалить оснастку.

  3. В группе Доступные оснастки щелкните Редактор объектов локальной групповой политики, , нажмите кнопку Добавить, выберите компьютер, на котором располагается изменяемый объект групповой политики (GPO), а затем нажмите кнопку Готово.

  4. Если на консоль не нужно добавлять другие оснастки, нажмите кнопку ОК.

  5. В дереве консоли щелкните Политика локального компьютера, Конфигурация компьютера, Параметры Windows, Настройка безопасности, а затем щелкните Политики открытого ключа.

  6. Дважды щелкните Параметры подтверждения пути сертификата, , а затем щелкните вкладкуХранилища.

  7. Установите флажок Определить следующие параметры политики .

  8. В группе Хранилища сертификатов отдельных пользователей снимите флажки Разрешить использование корневых ЦС, которым доверяет пользователь, для проверки сертификатов и Разрешить пользователям доверять сертификатам одноранговой групп.

  9. В группе Хранилища корневых сертификатов выберите корневые центры сертификации, которым могут доверять клиентские компьютеры, а затем нажмите кнопку ОК, чтобы применить новые параметры.

Управление доверенными корневыми сертификатами для домена

Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы домена.

Чтобы управлять доверенными корневыми сертификатами домена, выполните следующие действия.
  1. Откройте Диспетчер сервера и в группе Сводка функций нажмите кнопку Добавить функции. Установите флажок Управление групповой политикой, нажмите кнопку Далее, а затем нажмите кнопку Установить.

  2. После того как на странице Результаты установки появится сообщение об успешной установке консоли управления групповыми политиками, нажмите кнопку Закрыть.

  3. Нажмите кнопку Пуск, наведите указатель мыши на пункт Администрирование, а затем щелкните элемент Управление групповой политикой.

  4. В дереве консоли дважды щелкните узел Объекты групповой политики в лесу и домене, содержащем изменяемый объект групповой политики (GPO) Политика домена по умолчанию.

  5. Щелкните правой кнопкой мыши объект групповой политики Политика домена по умолчанию и выберите командуИзменить.

  6. В консоли GPMC перейдите к Конфигурация компьютера, Параметры Windows, Настройка безопасности, а затем щелкните Политики открытого ключа.

  7. Дважды щелкните Параметры подтверждения пути сертификата, а затем щелкните вкладку Хранилища.

  8. Установите флажок Определить параметры политики.

  9. В группе Хранилища сертификатов отдельных пользователей снимите флажки Разрешить использование корневых ЦС, которым доверяет пользователь, для проверки сертификатов и Разрешить пользователям доверять сертификатам одноранговой групп в группе флажков Хранилища сертификатов отдельных пользователей.

  10. В группе Хранилища корневых сертификатов выберите корневые центры сертификации, которым могут доверять клиентские компьютеры, а затем нажмите кнопку ОК, чтобы применить новые параметры.

Добавление сертификатов в хранилище доверенных корневых центров сертификации для локального компьютера

Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы.

Чтобы добавить сертификаты в хранилище доверенных корневых центров сертификации локального компьютера, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите Начать поиск, введите mmc, а затем нажмите клавишу ВВОД.

  2. В меню Файл выберите пункт Добавить или удалить оснастку.

  3. В группе Доступные оснастки щелкните Сертификаты, а затем нажмите кнопку Добавить.

  4. В группе Эта оснастка всегда будет управлять сертификатами для щелкните Учетная запись компьютера, а затем нажмите кнопку Далее

  5. Щелкните Локальный компьютер, а затем нажмите кнопку Готово.

  6. Если на консоль не нужно добавлять другие оснастки, нажмите кнопку ОК.

  7. В дереве консоли дважды щелкните Сертификаты.

  8. Щелкните правой кнопкой мыши хранилище Доверенные корневые центры сертификации.

  9. Нажмите кнопку Импорт, чтобы импортировать сертификаты и выполнить инструкции мастера импорта сертификатов.

Добавление сертификатов в хранилище доверенных корневых центров сертификации для домена

Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы домена.

Чтобы добавить сертификаты в хранилище доверенных корневых центров сертификации домена, выполните следующие действия.
  1. Откройте Диспетчер сервера и в группе Сводка компонентов нажмите кнопку Добавить компоненты. Установите флажок Управление групповой политикой, нажмите кнопку Далее, а затем кнопку Установить.

  2. После того как на странице Результаты установки появится сообщение об успешной установке консоли управления групповой политикой (GPMC), нажмите кнопку Закрыть.

  3. Нажмите кнопку Пуск, наведите указатель мыши на пункт Администрирование и выберите пункт Управление групповой политикой.

  4. В дереве консоли дважды щелкните узел Объекты групповой политики в лесу и домене, содержащем изменяемый объект групповой политики Политика домена по умолчанию.

  5. Щелкните правой кнопкой мыши объект групповой политики Политика домена по умолчанию и выберите команду Изменить.

  6. В консоли управления групповой политикой перейдите в раздел Конфигурация компьютера, Параметры Windows, Настройка безопасности и щелкните Политики открытого ключа.

  7. Щелкните правой кнопкой мыши хранилище Доверенные корневые центры сертификации.

  8. Нажмите кнопку Импорт и выполните инструкции мастера импорта сертификатов, чтобы импортировать сертификаты.

Дополнительные источники информации


Содержание