на главнуюВсе эхи RU.CRYPT
войти ?

Re: Ограничить X.509 сертификат

От Serguei E. Leontiev (2:5020/400) к Victor Sudakov

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)

From: "Serguei E. Leontiev" <leo@sai.msu.ru>

Привет Victor,

От пт, 04 май 2012 14:35:16 в fido7.ru.crypt ты писал:
VS> Serguei E. Leontiev wrote:
 VS> Я совершенно согласен, но не нашел другого способа, как и куда его
 VS> централизованно установить, чтобы у пользователей браузеры не ругались
 VS> на https://tmsk.gks.ru/sso/login.aspx. Ключевое слово _централизованно_.
Советы относительно настрой МЭ, это не обязательно во всяких там
Dr.Web и Касперских, это тоже может быть централизованно.
Имелось ввиду, возможности некоторых МЭ обеспечивать работу
систем защиты от разглашения (DLP) и антивирусного контроля, для
МЭ от MS:

И HTTPS inspection в TMG
http://www.isaserver.org/tutorials/Outbound-SSL-Inspection-TMG-Firewalls-Pa rt1.html

http://www.isaserver.org/tutorials/Understanding_SSL_bridging_and_tunneling_within_ISA.html

>> 2. У MS есть локальная политика, которая позволяет
 >> устанавливать сертификат сервера в "Trusted People"
 >> (естественно без доверия к УЦ выпустившего этот
 >> сертификат), а так же есть CTL (Certificate Trust List);
 >> 3. У FireFox есть "исключения", как аналог локальной политики;
 VS> Да, механизм исключений как в FireFox тут очень хорошо подходит,
 VS> потому что исключение запоминается для сертификата сайта, а не
 VS> сертификата CA. Hо проблема в том, что я не нашёл, как с помощью
 VS> доменных политик можно централизованно установить сертификат в Trusted
 VS> People. Есть только возможность установить в хранилище root CA.
 VS> Редактор GPO не дает выбрать другое хранилище:
 VS>

Для Windows 7 и возможно, Vista, на отдельном компьютере это
настраивается в локальной политике, соответственно в политике
домена Windows 2008R2 (2008) это должно быть там же.

Кроме того, политика домена позволяет настраивать файлы, ключи
реестра и прочая, прочая, вплоть до запуска программ, наверное,
если простых путей не будет, то можно будет извратиться.

Помнится, на базе знаний Майкрософт была статьи на тему: "Как
настраивать локальные политики посредством доменных политик"

--
Успехов, Сергей Леонтьев. E-mail: lse@CryptoPro.ru <http://www.cryptopro.ru>
--- ifmail v.2.15dev5.4
 * Origin: ГАИШ МГУ (2:5020/400)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

FGHI-url этого письма: area://RU.CRYPT?msgid=<1187448936@ddt.demos.su>+17c1f2ce