Напоминалка как раскатать сертификат на компьютеры или сервера домена с помощью групповых политик GPO.
Классическая задача для системного администратора, распространить SSL сертификат в список доверенных корневых сертификатов по рабочим станциям домена.
Имеется сертификат, рабочая станция, естественно, ему не доверяет.
Открываем консоль управления доменными групповыми политиками Group Policy Management (GPO).
gpmc.mscСоздаём новую политику. Указываем какое-то название.
Редактируем созданную групповую политику.
В редакторе GPO переходим в раздел Computer Configuration → Policies → Windows Settings → Security Settings → Public Key Policies → Trusted Root Certification Authorities (Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политики открытого ключа → Доверенные корневые центры сертификации). Правой кнопкой, Import.
Открывается мастер по импорту сертификатов. Next.
Выбираем сертификат, который требуется распространить через новую политику. Next.
Помещаем сертификат в хранилище Trusted Root Certification Authorities (Доверенные корневые центры сертификации). Next.
Finish.
Сертификат импортирован. OK.
Сертификат добавлен в групповую политику. При необходимости можно загрузить несколько сертификатов.
Применяем созданную групповую политику к необходимой группе объектов. Протестирую для начала на себе, применяю политику к своему компьютеру. На компьютере обновляю групповые политики:
gpupdate /forceКомпьютер автоматически скачивает сертификат и добавляет его в доверенные корневые центры сертификации.
Проверяю сертификат. Компьютер ему доверяет. Теперь можно применить политику уже к целевой аудитории.
