使用群組原則部署憑證
情境描述
當嘗試在防火牆啟用HTTPS Inspection功能來監看HTTPS流量內容時,可能需要由防火牆產生憑證並且部署到用戶端,才能讓用戶端使用HTTPS協定連接網站時不會出現憑證有問題的警告(如下圖)。
本文將帶您了解該如何使用群組原則來派送憑證,已免去必須逐台電腦安裝憑證所耗費的時間。
實作步驟
請在網域控制站開啟群族原則管理工具,在用戶端需要安裝憑證的群組原則物件上按滑鼠右鍵選擇編輯。
於群組原則管理編輯器視窗左側,找到【電腦設定>原則>Windows設定>安全性設定>公開金鑰原則】節點,在【受信任的發行者】節點上按滑鼠右建選擇匯入。
您會看到如下圖的憑證匯入精靈,直接按下一步繼續。
匯入憑證的步驟相當簡單,只要選擇您所要匯入的檔案(例如防火牆產生的憑證),然後按下一步。
由於您是在受信任的發行者節點上進行匯入憑證,所以憑證存放區會直接固定在受信任的發行者,您無法也不需要修改,請直接按下一步。
最後的步驟中確認相關資訊無誤就可以按完成。
憑證匯入成功後就可以在下圖右側看到結果。
重複前面的步驟,將相同的憑證匯入至受信任的根憑證授權單位。
匯入成功後一樣可以在下圖右側看到您所匯入的憑證。
若您想要立即看到憑證是否已經透過群組原則發佈到網域成員,可以使用GPUPDATE /FORCE指令強制網域成員立即更新群組原則。完成後就可以在MMC中看到本機電腦及目前的使用者節點中,有關受信任的發行者及受信任的根憑證授權單位已經出現前一節所匯入的憑證。
