Extinderea utilizării serviciilor intracorporate, de facto, fiind aplicații Web, crește zilnic. Acestea sunt portalurile serverului Sharepoint și Project și Exchange OWA. Să nu mai vorbim de zeci de soluții auto-scrise.
Și fiecare astfel de serviciu devine mai devreme sau mai târziu până la acel punct de dezvoltare, când valoarea datelor începe să presupună acces protejat complet, chiar și din perimetrul rețelei. Aceasta este utilizarea SSL.
Și totul ar fi bine dacă fiecare companie ar fi un centru de certificare recunoscut. Dar, desigur, nu este așa.
Și aceasta înseamnă că fiecare browser al fiecărui utilizator al fiecărei stații de lucru va afișa o notificare că certificatul site-ului la care accesează utilizatorul nu este emis de editorul de încredere.
Da, desigur, ar fi ciudat să se presupună că o rețea mare de clienți nu este domeniu de politică comună, indicând calea corectă spre un viitor mai luminos 😉 Dar, din păcate, browsere Internet Explorer, sunt complet lipsiți de putere și prin referire la resursele interne de încredere de eroare nou emise la certificatul prezentat de server.
Deci, sarcina noastră este de a automatiza importul unui certificat rădăcină de încredere în magazinul local de certificate FireFox. Pentru ao rezolva avem nevoie de câteva componente suplimentare:
Din ambele distribuții, copiem conținutul folderelor lib într-un director gol separat, de exemplu, c: \ cadd. Apoi găsiți fișierul certutil.exe în interiorul directorului bin din pachetul NSS și copiați-l și în directorul pe care l-am selectat.
Acum trebuie să exportim certificatul de certificat rădăcină necesar pentru adăugare (în funcție de arhitectura rețelei poate fi și certificatul centrului de sucursale care a emis direct toate certificatele din organizație). Puteți face acest lucru pe orice stație de lucru de rețea, prin rularea modulului snap-in Certificate. Salvați certificatul exportat în același director c: \ cadd
Cele mai interesante rămășițe 😉 Cu ajutorul pachetului de biblioteci pe care l-am creat, modificăm baza de date a certificatelor FireFox. Adevărat, mai întâi trebuie să înțelegem unde se află această bază:
- Pentru sistemele bazate pe Windows XP, profilul de utilizator care conține baza de date a certificatelor, printre altele, este localizat pe calea% APPDATA% \ Mozilla \ Firefox \ Profiles \ [nume necunoscut] .default \
- Pentru sistemele bazate pe Windows Vista, calea, strict vorbind, este exact aceeași, întreaga diferență apare în stadiul de conversie al tokenului% APPDATA% la valoarea absolută:
- Pentru XP, calea absolută arăta în felul următor: C: \ Documents and Settings \ username \ Data aplicației \
- Pentru Vista, de obicei: C: \ Users \ username \ AppData \ Roaming \
Deci, după cum vedem, în calea completă către profilul FireFox avem două variabile în calea: folderul de nume de utilizator și [un nume necunoscut necunoscut] .default
Cu toate acestea, putem simplifica sarcina noastră, considerând că lansăm un script pentru a modifica baza de date cu chei de la acel utilizator, pentru care trebuie să implementăm această modificare. În acest caz, variabila necunoscută din cale rămâne doar una și putem scrie, de exemplu, următorul script de comandă (c: \ cadd \ cadd.cmd):
pentru / D / R «% APPDATA% \ Mozilla \ Firefox \ Profiles» %% f in (* .default) do certutil.exe -A-n LibertineCA -t «TCu, Cu, TUW» -d «%% f» -ic: \ CADD \ LibertineCA.cer
Da, da. Acesta este cu adevărat totul. Va rămâne doar să reporniți FireFox și să vă asigurați că certificatul de cenți rădăcină a fost adăugat cu succes la cele de încredere.
În principiu, acest lucru poate fi oprit. La urma urmei, nu există nici cea mai mică problemă cu sccm pentru a crea pachetul corespunzător cu lansarea în numele utilizatorului curent conectat la stația de lucru.
Și puteți merge mai departe 😉
Să modificăm scriptul de comandă după cum urmează:
pentru / D %% f in ("C: \ Documente și setări \ *") face pentru / D %% z în ("%% f \ Application Data \ Mozilla \ Firefox \ Profiles \ exe -A -n LibertineCA -t "TCu, Cu, Tuw" -d "%% z" -ic: \ cadd \ LibertineCA.cer
pentru / D %% f in ("C: \ Users \ *") face pentru / D %% z în ("%% f \ AppData \ Roaming \ Mozilla \ Firefox \ Profiles \ -A -n LibertineCA -t "TCu, Cu, Tuw" -d "%% z" -ic: \ cadd \ LibertineCA.cer
Oarecum inestetic, dar destul de fiabil. Acum creați pachetul de instalare în sccm și planificați să îl rulați în numele administratorului local pe toate stațiile de lucru din domeniu.