《分享》透過AD群組原則部署憑證 - Shunze 學園

若整個環境中有數百台電腦，且有導入AD網域，那能否透過群組原則來派送XG的憑證到每個使用者嗎？ 透過原則部署來派送憑證當然是可以的，以下就讓順子 ... Shunze學園>資訊設備專區>SophosXG>《分享》透過AD群組原則部署憑證 哈囉，還沒有註冊或者登入。

請你[註冊|登入] «上一篇主題下一篇主題» 顯示成列印模式|增加到我的最愛 作者 主題 shunze 工友伯伯 註冊日期:200204 來自:潮汐終止之地 文章:2342 《分享》透過AD群組原則部署憑證 在XG上啟用HTTPS掃描時，由於憑證加密後的tunnel無法被掃描， 所以XG是透過中間人(middle-man)的技術，將使用者對HTTPS站台的連結先導向XG本身， 然後再透過XG的憑證建立tunnel連到外部HTTPS實體站台。

因此在實際部署上，若要啟用HTTPS掃描， 就必需把XG的憑證匯入使用者的電腦中，這樣才能順利進行HTTPS掃描。

環境中只有一台電腦也就罷了， 若整個環境中有數百台電腦，且有導入AD網域，那能否透過群組原則來派送XG的憑證到每個使用者嗎？ 透過原則部署來派送憑證當然是可以的，以下就讓順子做個簡單操作示範。

確認XG進行HTTPS掃描所用的憑證 首先到Protection>WebProtection>WebContentFilter中確認HTTPS掃描所用的CA憑證。

然後到Objects>Identity>CertificateAuthority中把這個憑證下載下來備用。

於AD主機中的群組原則匯入憑證 接著到AD主機中，打開群組原則管理工具，點開目前使用的Policy進行編輯。

點開群組原則管理編輯器後，在電腦設定>原則>Windows設定>安全性設定>公開金鑰原則的受信任發行者中匯入剛才下載的憑證。

憑證檔案類型要選所有檔案才能看到XG的pem憑證檔喔！ 憑證存放區無法變更，使用預設的受信任發行者即可。

完成後，會看到右側出現對應的憑證。

同樣方式，再於受信任根憑證授權單位這匯入相同的憑證。

憑證存放區無法變更，一樣使用預設的受信任根憑證授權單位即可。

完成後，會看到右側出現對應的憑證。

強制更新群組原則 AD主機上的設定完成後，預設會在20~90分鐘進行用戶端的套用。

若想在用戶端立即生效，測試憑證是否會自動派送，可在用戶端電腦下達以下指令來強制更新。

gpupdate/force 完成後，我們就可以在愛信任發行者與受信任根憑證授權單位中看到憑證已經匯入。

　 啟用HTTPS掃描&測試 接著我們可以在XG的Policy中啟用HTTPS掃描。

在沒有匯入XG憑證下啟用HTTPS掃描， 當瀏覽SSL站台時，瀏覽器會出現憑證並非由信任的憑證授權單位所發行的訊息，而無法順利開啟網頁。

在匯入憑證後瀏覽SSL站台，理論上會順利開啟網頁內容， 我們檢視站台憑證，也會發現憑證會變成剛剛匯入的XG憑證而不是原始站台的憑證。

若連到惡意站台，或下載病毒檔案，也會被XG的防毒引擎偵測到，拒絕執行。

其它 一般來說在匯入憑證，透過middle-man中間人憑證再連到SSL加密站台時， 應該可以順利開啟目的端HTTPS頁面； 不過這並不是絕對的喔！ 順子遇過有些站台在設計上有些不同，會反向檢查使用者的憑證，而造成站台無法開啟。

另外在Chrome上也會因Google的特有技術QUIC，而讓網頁過濾失效！ 這些都會造成設定上的困難... 真的遇到時，也只能逐一測試可能原因來進行問題排除了... 參考資料 使用群組原則部署憑證 擋不掉使用QUIC的Chrome？ ♥順子老婆的網拍，請多關照～ Ifyoudon'tlikesomething,changeit. Ifyoucan'tchangeit,changeyourattitude. Don'tcomplain! 2016-10-05,21:33 shunze 工友伯伯 註冊日期:200204 來自:潮汐終止之地 文章:2342 《分享》網域電腦無法透過GPO部署憑證？ 前幾天去客戶端時，客戶反映了一個問題， 為什麼照著順子的文章來施作，憑證就是無法透過AD的GPO來進行部署？ 實際登入客戶AD後，發現該做的其實客戶都做了， 但在網域電腦中，憑證就是下不來... 跟同事研究了好久，發現到一個現象， 透過GPO部署憑證對AD主機是有效的，但對其它網域電腦則全部無效？ 最後總算發現問題所在， 原來AD的DefaultDomainPolicy只對“組織單位”這類資料夾有效，對一般資料夾(容區)無效！ AD主機是在DomainControllers這個組織單位資料夾中，因此能透過GPO來派送憑證； 但網域電腦預設是在Computers這個一般資料夾(容區)下，吃不到DefaultDomainPolicy這個GPO裏的設定， 所以派送不了憑證... (但在順子的LAB中，容區下的網域電腦還是可以吃到GPO，派送憑證！順子也不明白其間的差異？) ↑順子LAB的示意圖，非客戶實際環境擷圖。

在明白了這個狀況後，有兩種解決方法， 要嘛，就是將Computers這個資料夾改成“組織單位”這種資料夾； 要不然就是另建一個“組織單位”資料夾，然後把網域電腦都移此組織單位下。

但網域根目錄下預設的Computers資料夾(容區)無法刪除，也沒有辦法變更其類型， 所以只好另建一專門用來收容網域電腦的“組織單位”資料夾，再把網域電腦移過去。

調整後，果然網域電腦都可以透過GPO來進行憑證的部署了！ *小叮嚀 憑證是作用在電腦的瀏覽器上，不是使用者帳號上， 可以瞭解在群組原則進行設定時，是在“電腦設定”上進行，而不是“使用者設定”。

所以在GPO的部分，也要檢查其網域、組織單位等有沒有包含到目標電腦。

若在Computers容區下的電腦無法吃到GPO，派送憑證， 那麼就只有另建組織單位來收容網域的電腦了。

♥順子老婆的網拍，請多關照～ Ifyoudon'tlikesomething,changeit. Ifyoucan'tchangeit,changeyourattitude. Don'tcomplain! 2017-02-09,22:41   «上一篇主題下一篇主題» 跳到: 請選擇: ------------------ 搜尋 首頁 ------------------ 電腦資訊學系--吃軟不吃硬--硬底子--電腦密技--病毒追追追--OpenNMS--OpenStack--資料庫管理--Exchange2010資訊設備專區--Extreme&Enterasys--Array--Cyberoam--SophosXG應用生活學系--生活哲學--網路文學--輕鬆一下--暗黑追緝令--美食記事本--生活新鮮事--醫，二三事啊哩不達--新手測試區--意見與問題反應--牢騷與吐槽--其它主題同班同學--海市蜃樓--佑邦通訊--Chiardy飛翔記事 Poweredby:BurningBoard1.1.12001WoltLabGbR