Fontolja meg a tanúsítvány központi telepítését a tartományi számítógépekre, és a megbízható gyökér tanúsítványok listájához való hozzáadását a csoportházirend segítségével. A tanúsítvány terjesztése után az összes ügyféleszköz megbízni fogja a szolgáltatásokat, amelyeket a tanúsítvány aláírt. Esetünkben az önaláírt SSL Exchange tanúsítványt (az Active Directory tanúsítványszolgáltatások szerepkörét a tartományban nem telepítettük) terjesztjük az Active Directory felhasználói számítógépére.
Ha önaláírt SSL-tanúsítványt használ az Exchange szerveréhez, akkor az ügyfeleknél az Outlook első indításakor egy üzenet jelenik meg, hogy a tanúsítvány nem megbízható, és nem biztonságos a használata.
A figyelmeztetés eltávolításához hozzá kell adnia az Exchange tanúsítványt a felhasználó megbízható rendszerének megbízható tanúsítványainak listájához. Ez manuálisan is elvégezhető (vagy a tanúsítvány integrálásával a vállalati operációs rendszer képébe), de sokkal egyszerűbb és hatékonyabb a tanúsítvány automatikus elosztása a csoportházirend-objektumokkal (GPO). Ilyen tanúsítvány-terjesztési séma használatakor az összes szükséges tanúsítványt automatikusan telepíti az összes régi és új tartományi számítógépre.
Mindenekelőtt ki kell exportálnunk egy önaláírt tanúsítványt az Exchange szerverünkről. Ehhez nyissa meg a konzolt a szerveren mmc.exe és adjunk hozzá egy pillanatot rá tanúsítványok (helyi számítógéphez).
Menjen a szakaszba Tanúsítványok (helyi számítógép) -> Megbízható gyökértanúsító hatóságok -> Tanúsítványok.
A jobb oldalon keresse meg Exchange tanúsítványát, és válassza a lehetőséget minden feladatok ->export.
Az exportáló varázslóban válassza ki a formátumot DER kódolt bináris X.509 (.CER) és adja meg a tanúsítványfájl elérési útját.
Azt is beszerezheti a HTTPS webhely SSL tanúsítványát, és elmentheti azt egy CER fájlba a PowerShell-ből a WebRequest módszer használatával:
$ webRequest = [Net.WebRequest] :: Létrehozás ("https: // your-excha-cas-url")
próbáld ki a $ webRequest.GetResponse () fogást
$ cert = $ webRequest.ServicePoint.Certificate
$ bytes = $ cert.Export ([Security.Cryptography.X509Certificates.X509ContentType] :: Cert)
set-content -value $ bytes -encoding byte -path "c: \ ps \ get_site_cert.cer"
Tehát exportálta az Exchange SSL tanúsítványt egy CER fájlba. Helyeznie kell a tanúsítványt egy hálózati könyvtárba, ahol minden felhasználónak olvasási hozzáféréssel kell rendelkeznie (NTFS engedélyekkel korlátozhatja a könyvtárhoz való hozzáférést, vagy el is rejtheti az ABE használatával). Például engedje, hogy a tanúsítványfájl elérési útja a következő legyen: \\ msk-fs01 \ GroupPolicy $ \ tanúsítványok. 
Folytassuk a tanúsítvány-terjesztési politika létrehozásával. Ehhez nyissa meg a domain házirend-kezelő konzolt csoport politika vezetés (Gpmc.msc). Új házirend létrehozásához válassza ki azt az OU-t, amelyen fog működni (a példánkban ez a számítógépes OU, mert nem akarjuk, hogy a tanúsítványt telepítsük a szerverekre és a technológiai rendszerekre), és válassza ki a helyi menüben teremt egy GPO -ban ezt domain és link azt itt...
Adja meg a házirend nevét (felszerel-csere-cert) és lépjen szerkesztési módba.
A GPO-szerkesztőben ugorjon a C szakaszraomputer Configuration -> Irányelvek -> Windows Beállítások -> Biztonság Beállítások -> Nyilvános kulcs házirendje -> Megbízható gyökér tanúsítvány hatóság (Számítógépes konfiguráció -> Windows konfiguráció -> Biztonsági beállítások -> Nyilvános kulcsokra vonatkozó házirendek -> Megbízható root tanúsító hatóságok).
A GPO-szerkesztő ablak bal oldalán kattintson az RMB elemre, és válassza a menüpontot import.
Adja meg az importált tanúsítványfájl elérési útját, amelyet a hálózati könyvtárba helyezünk.
A varázsló megfelelő lépésében (Helyezze el az összes tanúsítványt a következő tárolóba) feltétlenül jelölje meg, hogy a tanúsítványt a szakaszba kell helyezni Megbízható gyökér tanúsítvány hatóság (Megbízható gyökértanúsító hatóságok).
Készült a tanúsítvány-terjesztési irányelv. A biztonsági szűrés (lásd alább) vagy a WMI GPO szűrés segítségével pontosabban megcélozhatja (célzhatja) az irányelveket az ügyfelekkel..
Tesztelje a házirendet, ha végrehajtja a házirend-frissítést az ügyfélen a következő paranccsal (gpupdate / force). Ellenőrizze, hogy a tanúsítvány megjelenik-e a megbízható tanúsítványok listájában. Ezt megteheti a Tanúsítványkezelés beépülő modulban (Megbízható gyökér tanúsító hatóságok -> Tanúsítványok szakasz) vagy az Internet Explorer beállításaiban (Internetbeállítások -> Tartalom -> Tanúsítványok-> Megbízható gyökértanúsító hatóságok vagy Internetbeállítások -> Tartalom -> Tanúsítványok -> Megbízható gyökérzet) tanúsító hatóságok).
Ellenőrizheti, hogy a böngészőben, amikor megnyitja a HTTPS webhelyét (példánkban ez az Exchange OWA), a nem megbízható SSL tanúsítványra vonatkozó figyelmeztetés már nem jelenik meg. Most, amikor az Outlookot az Exchnage e-mail kiszolgálón konfigurálja (az Outlook 2016 programban a kézi e-mail kiszolgáló konfigurálása csak a nyilvántartáson keresztül lehetséges), a nem megbízható tanúsítványra figyelmeztető ablak nem jelenik meg a programban.
Ha azt akarja, hogy a tanúsítvány-terjesztési házirend csak egy adott biztonsági csoport számítógépére (felhasználóra) vonatkozzon, válassza ki az Install-Exchange-Cert házirendet a csoportházirend-kezelő konzolon. lap terület szakaszban biztonság szűrő csoport törlése Hitelesített felhasználók és adja hozzá a biztonsági csoportot (például az AllowAutoDeployExchCert). Ha ezt a házirendet összekapcsolja a domain gyökerével, akkor a tanúsítványt automatikusan elosztják a biztonsági csoporthoz hozzáadott összes számítógép számára.
Egy házirenddel több kliens SSL-tanúsítványt terjeszthet egyszerre. A házirend által terjesztett tanúsítványokkal kapcsolatos további információkért lásd a lap GPMC konzolját Beállítások. Mint láthatja, megjelennek a Kiadott, Kiadva, Lejárati dátum és a Kihívott tanúsítvány mezők..
Ha a számítógépeknek nincs internet-hozzáférése, így a megbízható gyökér tanúsítványokat eloszthatja a tartomány összes eszközére. Van azonban könnyebb és helyesebb módszer a root és visszavont tanúsítványok megújítására izolált tartományokban.
Tehát beállította a tanúsítvány automatikus terjesztésének házirendjét a tartomány összes számítógépére (egy adott szervezeti egységre vagy domain biztonsági csoportra). A tanúsítvány automatikusan telepítésre kerül minden új számítógépre anélkül, hogy a műszaki támogató szolgálattól kézi műveleteket kellene elvégeznie (biztonsági okokból ajánlatos rendszeresen ellenőrizni az ügyfelek megbízható tanúsítványainak listáját hamis és visszavont dokumentumok esetén).
