Minule jsme vytvořili SSL certifikát, díky kterému můžeme mít spojení k našemu serveru šifrované. Jelikož se ale jedná o self signed certifikát, tak většina klientů, která se k našemu serveru připojí, bude mrčet, že certifikát je od nedůvěryhodné autority a nebo se dokonce odmítne s naším serverem bavit. Takže dneska si vyexportujeme ten certifikát, pak ho pomocí group policy nastavíme počítačům v doméně do důvěryhodných certifikačních autorit.

Spustíme MMC konzoli. Start -> Najít mmc

Přidáme snapin pro certifikáty. File -> Add/Remove Snap-in

Vybereme Certificates a klikneme na Add.

Budeme nastavovat certifikáty pro Computer account.

A budeme spravovat Local Computer.

Můžeme kliknout na OK.

Ve stromu otevřeme Certificates -> Personal -> Certificates

V pravém okně je vidět náš certifikát. Klikneme na něj pravým tlačítkem myši, v menu vybereme All Tasks a Export

Otevře se průvodce. Během exportu jsou důležité dvě obrazovky. První z nich je ta následující, kdy vybereme, že nechceme exportovat privátní klíč.

Certifikát vyexportujeme ve formátu, jak je zobrazeno na dalším obrázku.

Vybereme místo, kam chceme certifikát uložit.

A dokončíme export

Pokud je všechno v pořádku, dostaneme hlášku, že se export povedl.

Teď vytvoříme politiku, která přidá tento certifikát mezi důvěryhodne certifikační autority pro všechny počítače v doméně. Na to budeme potřebovat Group Policy Management. Na doménových řadičích je gpmc.msc automaticky. Na exchange serveru musíme GP management přidat. Spustíme příkaz:

Pak klikneme na Start najít a najdeme Group policy management, který spustíme.

Rozbalíme strom až k naší doméně. Klikneme pravým tlačítkem na doménu a v menu vybereme Create a GPO in this domain, and Link it here ...

Pojmenujeme novou politiku

Klikneme pravým tlačítkem na naši novou politiku a vybereme z menu Edit.

Rozbalíme cestu: Computer configuration -> Policies -> Windows settings -> Public Key Policies -> Trusted Root Certification Authorities. Můžeme kliknout pravým na Trusted Root Certification Authorities nebo v pravém okně do prázdna. Vybereme Import.

Najdeme cestu k našemu certifikátu

Zkontrolujeme, že se certifikát uloží do správného místa, teda Trusted Root Certification Authorities

A dokončíme import.

Jestli to dobře dopadlo. Objeví se hláška

Politika se naaplikuje na všechny počítače přihlášené do domény po jejich příštím startu. Aktualizace se dá spustit i příkazem, případně vynutit příkazem, který se ale liší podle OS: