Minule jsme vytvořili SSL certifikát, díky kterému můžeme mít spojení k našemu serveru šifrované. Jelikož se ale jedná o self signed certifikát, tak většina klientů, která se k našemu
serveru připojí, bude mrčet, že certifikát je od nedůvěryhodné autority a nebo se dokonce odmítne s naším serverem bavit. Takže dneska si vyexportujeme ten certifikát, pak ho pomocí
group policy nastavíme počítačům v doméně do důvěryhodných certifikačních autorit.
Spustíme MMC konzoli. Start -> Najít mmc
Přidáme snapin pro certifikáty. File -> Add/Remove Snap-in
Vybereme Certificates a klikneme na Add.
Budeme nastavovat certifikáty pro Computer account.
A budeme spravovat Local Computer.
Můžeme kliknout na OK.
Ve stromu otevřeme Certificates -> Personal -> Certificates
V pravém okně je vidět náš certifikát. Klikneme na něj pravým tlačítkem myši, v menu vybereme All Tasks a Export
Otevře se průvodce. Během exportu jsou důležité dvě obrazovky. První z nich je ta následující, kdy vybereme, že nechceme exportovat privátní klíč.
Certifikát vyexportujeme ve formátu, jak je zobrazeno na dalším obrázku.
Vybereme místo, kam chceme certifikát uložit.
A dokončíme export
Pokud je všechno v pořádku, dostaneme hlášku, že se export povedl.
Teď vytvoříme politiku, která přidá tento certifikát mezi důvěryhodne certifikační autority pro všechny počítače v doméně. Na to budeme potřebovat Group Policy Management. Na doménových
řadičích je gpmc.msc automaticky. Na exchange serveru musíme GP management přidat. Spustíme příkaz:
ServerManagerCmd -install gpmc
Pak klikneme na Start najít a najdeme Group policy management, který spustíme.
Rozbalíme strom až k naší doméně. Klikneme pravým tlačítkem na doménu a v menu vybereme Create a GPO in this domain, and Link it here ...
Pojmenujeme novou politiku
Klikneme pravým tlačítkem na naši novou politiku a vybereme z menu Edit.
Rozbalíme cestu: Computer configuration -> Policies -> Windows settings -> Public Key Policies -> Trusted Root Certification Authorities. Můžeme kliknout pravým na Trusted Root Certification
Authorities nebo v pravém okně do prázdna. Vybereme Import.
Najdeme cestu k našemu certifikátu
Zkontrolujeme, že se certifikát uloží do správného místa, teda Trusted Root Certification Authorities
A dokončíme import.
Jestli to dobře dopadlo. Objeví se hláška
Politika se naaplikuje na všechny počítače přihlášené do domény po jejich příštím startu. Aktualizace se dá spustit i příkazem, případně vynutit příkazem, který se ale liší podle OS:
gpupdate
gpupdate -force
gpupdate /force
|