Распространение сертификатов на устройствах Windows с помощью групповой политики

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Вы можете распространять сертификаты, цепочки в доверенный корневой каталог в домене Active Directory на устройствах Windows с помощью групповой политики.

Необходимые компоненты

Для этого потребуются следующие компоненты.

• Сертификат с закрытым ключом. Если необходимо экспортировать сертификат, см. статью "Экспорт сертификата с закрытым ключом".

• Контроллер домена Active Directory с установленной оснасткой управления групповыми политиками или устройство с установленными средствами удаленного сервера Администратор istration Tools (RSAT), которое может подключаться к контроллеру домена.

• Домен Active Directory с учетной записью, являющейся членом группы безопасности домена Администратор домена или корпоративной Администратор. Дополнительные сведения об использовании соответствующих учетных записей и членства в группах см. в разделе "Локальные и доменные группы по умолчанию".

Импорт сертификатов в групповую политику

1. На контроллере домена или устройстве с установленным RSAT запустите оснастку управления групповыми политиками .

2. Найдите существующий объект групповой политики (GPO) или создайте новый объект групповой политики для параметров сертификата. Убедитесь, что объект групповой политики связан с доменом, сайтом или подразделением (подразделением), где находятся соответствующие учетные записи пользователя и компьютера.

3. Щелкните правой кнопкой мыши объект групповой политики, а затем нажмите кнопку "Изменить".

4. В дереве консоли откройте политики конфигурации > компьютера Windows Параметры Безопасность Параметры > > политики открытого ключа, щелкните правой кнопкой мыши хранилище, в которое нужно импортировать сертификат, например доверенные корневые центры сертификации, а затем выберите "Импорт".>

5. На экране добро пожаловать в мастер импорта сертификатов нажмите кнопку "Далее".

6. Для импорта файла введите или перейдите к пути к соответствующим файлам сертификатов, например \\fs1\c$\fs1.cerнажмите кнопку "Далее".

7. Для защиты закрытых ключей введите пароль для закрытого ключа и нажмите кнопку "Включить все расширенные свойства", а затем нажмите кнопку "Далее".

8. Для хранилища сертификатов выберите "Поместить все сертификаты" в следующем хранилище и перейдите к хранилищу сертификатов, которое вы хотите сохранить, а затем нажмите кнопку "Далее".

9. Просмотрите сводку, а затем нажмите кнопку "Готово".

10. После импорта сертификата примените политику к устройствам, а затем перезапустите их, чтобы параметры вступили в силу.