Re: Ограничить X.509 сертификат

От Victor Sudakov (2:5020/400) к "Serguei E. Leontiev"

From: Victor Sudakov <vas@mpeks.tomsk.su>

Serguei E. Leontiev wrote:

> VS> Я совершенно согласен, но не нашел другого способа, как и куда его

> VS> централизованно установить, чтобы у пользователей браузеры не ругались

> VS> на https://tmsk.gks.ru/sso/login.aspx. Ключевое слово _централизованно_.

> Советы относительно настрой МЭ, это не обязательно во всяких там

> Dr.Web и Касперских, это тоже может быть централизованно.

> Имелось ввиду, возможности некоторых МЭ обеспечивать работу

> систем защиты от разглашения (DLP) и антивирусного контроля, для

> МЭ от MS:

Связываться с перехватом HTTPS не хотелось бы.

> VS> Hо проблема в том, что я не нашёл, как с помощью

> VS> доменных политик можно централизованно установить сертификат в Trusted

> VS> People. Есть только возможность установить в хранилище root CA.

> VS> Редактор GPO не дает выбрать другое хранилище:

> VS>

> Для Windows 7 и возможно, Vista, на отдельном компьютере это

> настраивается в локальной политике, соответственно в политике

> домена Windows 2008R2 (2008) это должно быть там же.

Там где это нужно сделать, домен на w2k. Возможно поэтому и такое

ограничение.

> Кроме того, политика домена позволяет настраивать файлы, ключи

> реестра и прочая, прочая, вплоть до запуска программ, наверное,

> если простых путей не будет, то можно будет извратиться.

Hаверное можно и скриптик с certutil.exe прикрутить. Попробую покопать

в этом направлении, спасибо за подсказку насчет "Trusted People".

--

Victor Sudakov,  VAS4-RIPE, VAS47-RIPN

2:5005/49@fidonet http://vas.tomsk.ru/

--- ifmail v.2.15dev5.4

 * Origin: AO "Svyaztransneft", SibPTUS (2:5020/400)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким