Disassembler

Artificial intelligence is no match for natural stupidity.
20říjen2013

Windows - Import certifikátu pro celý systém


Je všeobecně známo, že se Windows a produkty Microsoftu obecně se self-signed certifikáty v oblibě dvakrát nemají a že v kombinaci s výchozí bezpečnostní politikou občas dokážou uživatelům pěkně znepříjemnit život. Například v případě použití SSL/TLS při přístupu na firemní mailový server se self-signed certifikátem bude Outlook při každém spuštění chtít schválit bezpečnostní výjimku a i když certifikát jednoduše přidáte mezi důvěryhodné, nebude mu to stačit. Spokojí se až tehdy, když najde certifikát i mezi důvěryhodnými certifikačními autoritami, aby měl zajištěno, že celý chain of trust bude skutečně důvěryhodný.

Před použitím protřepat


Občas se ale Windows nespokojí ani s tímhle. Problém v tomhle případě bývá v tom, že uživatel importuje certifikáty do svého osobního úložiště, ale úkon, který dělá, vyžaduje přítomnost certifikátu v úložišti systémovém. Typickým případem takové akce je připojení skrze SSTP tunel, kdy do uživatelského úložiště dostupného přes

certmgr.msc

můžete cpát certifikáty horem dolem, ale Windows si budou tvrdošíjně trvat na svém a stále vám budou tvrdit, že se certifikát nepodařilo ověřit. K tomu abyste certifikát naimportovali system-wide je postup velmi podobný jako při importu certifikátu osobního, ale liší se v jednom zásadním detailu. Je třeba použít management konzoli, která vám již dovolí vybrat, zda budete spravovat certifikáty pro svůj uživatelský účet nebo pro celý počítač (tj. systémového uživatele).

MMC to zařídí


Vaším oblíbeným způsobem tedy spusťte příkaz

mmc

Objeví se vám prázdné okno Microsoft Management Console.

Microsoft Management Console

V horním menu vyberte Soubor -> Přidat nebo odebrat modul snap-in... nebo stiskněte Ctrl+M. V okně, které se vám pak objeví, můžete přidávat a odebírat rozličné moduly a vytvořit si tak třeba i panel podobný výchozí správě počítače. V současnou chvíli nás ale zajímá jen jeden snap-in modul. Certifikáty. Označte jej tedy a klikněte na Přidat >.

MMC - Moduly snap-in

Právě zde se odehraje veškerá magie. Obyčejný certmgr.msc totiž tento krok přeskakuje a vybírá rovnou uživatelské úložiště. Cestou přes mmc si však právě v tomto okně můžete vybrat i jiné. Zvolte tedy Účet počítače a klikněte na tlačítko Další >.

Certifikáty - výběr účtu

Dále si můžete vybrat kterýže to vlastně počítač chcete spravovat. Zpravidla budete chtít spravovat místní počítač, protože pokud pravidelně spravujete i jiné počítače, není pro vás trik s management konzolí tajemstvím a nebudete potřebovat číst tento článek.

Certifikáty - výběr počítače

Klepnutím na Dokončit se nakonfigurovaný snap-in modul přidá k vybraným. Protože už žádné další moduly vybírat nepotřebujete, výběr modulů potvrďte tlačítkem OK. V konzoli pak donavigujte do adresáře s důvěryhodnými kořenovými certifikačními autoritami a přes menu vyvolané pravým kliknutím naimportujte váš self-signed certifikát.

MMC - Import certifikátu

Stačí, když jej naimportujete pouze jako certifikační autoritu, protože pak bude systém automaticky důvěřovat všem dalším certifikátům podepsaným tímto CA certifikátem, tedy v případě self-signed bude hierarchicky důvěřovat sám sobě, což je přesně ten stav, kterého chcete dosáhnout.