Развертывание промежуточных сертификатов с помощью групповой политики
Как-то раз, болтая на Twitter'е, я заявил, что Active Directory — лучшее изобретение Microsoft. Отчасти я сказал так, чтобы подразнить гусей, и действительно, тут же нашелся человек, заявивший мне в ответ, что Active Directory — это «просто LDAP». Простим ему это заблуждение — он линуксоид.
Между тем, Active Directory действительно вызывает у меня восхищение в одном аспекте — своими возможностями групповой политики, которые избавляют от необходимости самостоятельно обходить все серверы и рабочие станции для развертывания сертификатов.
Зачем развертывают сертификаты
Развертывание сертификатов бывает необходимо в разных ситуациях, чаще всего — для обеспечения шифрования данных по SSL для внутренних веб-служб или приложений. Сертификат может быть самоподписан (что не рекомендуется) или выдан доверенным центром сертификации типа VeriSign, Thawte, Entrust и других подобных организаций.
Помимо индивидуальных сертификатов (то есть, платных), могут потребоваться промежуточные или кросс-сертификаты для доступа к базовым сертификатам. VeriSign определяет промежуточные сертификаты следующим образом:
SSL-сертификаты подписываются промежуточным сертификационным центром в рамках двухуровневой иерархической модели (цепочки доверия), что повышает уровень безопасности сертификата. Если на сервере не установлен промежуточный сертификационный центр, при посещении веб-сайта пользователи могут столкнуться с сообщениями об ошибках, которые отпугнут их от дальнейшего просмотра.
Короче говоря, без промежуточного сертификата от SSL-сертификата не будет никакой пользы. Проблема заключается в том, чтобы установить этот промежуточный сертификат на все компьютеры. На мой взгляд, самое эффективное решение в таком случае — прибегнуть к возможностям групповой политики. При использовании объекта групповой политики для развертывания промежуточный сертификат будет автоматически зарегистрирован в локальной системе. В Windows Server 2008 для этого нужно импортировать сертификат в разделе «Параметры безопасности | Политики публичных ключей» (Security Settings | Public Key Policies) (рис. A).
Рисунок A. Нажмите на изображении для увеличения.
Мастер импорта поможет импортировать промежуточный сертификат, после чего объект групповой политики может быть сохранен и применен к организационной единице, включающей несколько компьютеров. При следующей перезагрузке или обновлении групповой политики промежуточные сертификаты будут загружены на локальные компьютеры безо всякого вмешательства со стороны пользователей. На рис. B показано, куда будет установлен промежуточный сертификат.
Рисунок B. Нажмите на изображении для увеличения.
На мой взгляд, групповая политика — лучшее решение для массового развертывания промежуточных сертификатов. Если вы предпочитаете другой подход, поделитесь своим опытом в комментариях!
