Group-Policy-Object

Bildiğiniz gibi Https ile çalışan web sayfalarını görüntüleyebilmek için ilgili sayfanın SSL sertifikasını sağlayan SSL sertifika firmasının Root sertifikasının Windows,Linux, MacOS işletim sistemlerinde yüklü olması gerekmektedir. İşletim sistemleri ilk kurulduklarında sertifika üreticilerinin root sertifikaları hali hazırda yüklü gelir. SSL sertifika üretici firmanın root sertifikası işletim sistemlerinin kurulum medyaları üretildikten sonra oluşturuldu ise İşletim sistemi update i ile bu güncel root sertifika otomatik yüklenir. Bu nedenle bizler Banka siteleri, sosyal medya siteleri gibi https ile çalışan web sitelerini sorunsuz ziyaret edebiliriz.

Öte yandan kurumlar kullanıcılarının internet erişimlerini 5651 Sayılı kanun gereği ve Bant genişliği optimizasyonu gereği proxy sistemleri üzerinden geçirerek kontrol eder ve yönetirler. Bu yönetimde http ile çalışan siteler için sorun yoktur ancak https ile çalışan siteler için bir bloklama yada loglama v.b. yapılacaksa ilgili proxy ürününün self sign imzalanmış sertifikasının tüm istemcilere manuel olarak yüklenmesi gerekmektedir. Böylelikle proxy ürünü https li siteleri de yönetebilecektir.

Active Directory ortamınız var ise Windows İstemciler için  bu işlemi Group Policy Object (GPO) ile kolayca halledebilirsiniz.

Group Policy (GPO) İle Self Sign Üretilmiş Sertifika Nasil Dağıtılır?

Bunun için önce Yeni bir GPO oluşturalım ve Computer Configuration/Policies/Windows Settings/Security Settings/Public Key Policies/Trusted Root Certification Authorities alanına gelelim.

Group-Policy-Self-Sign-Sertifika-Dagitimi-1

Sağ taraftaki boşluğa sağ tıklayıp “Import” seçeneğini seçelim.

Group Policy Self Sign Sertifika Dagitimi 2 SSL Sertifikasının Group Policy (GPO) İle Bilgisayarlara Dağıtılması

Gelen pencerede Sertifikanın Bilgisayarın Sertifika deposuna ekleneceğini görüyoruz ve bunu değiştiremiyoruz. Zaten gerek de yok.

Group Policy Self Sign Sertifika Dagitimi 3 SSL Sertifikasının Group Policy (GPO) İle Bilgisayarlara Dağıtılması

Gelen ekranda yüklemek istediğimiz sertifika dosyasını seçmemiz gerekiyor. Sunucuda hangi klasördeyse Browse seçeneği ile seçiyoruz.

Group Policy Self Sign Sertifika Dagitimi 4 SSL Sertifikasının Group Policy (GPO) İle Bilgisayarlara Dağıtılması

Bu noktada yüklediğimiz sertifikanın sunucu üzerinde hep o klasörde kalması gerektiğini düşünmeyin. Sertifika dosyası GPO nun içine import edildikten sonra sunucudaki sertifika dosyasını silebilirsiniz.

Next ile devam edelim.

Group Policy Self Sign Sertifika Dagitimi 5 SSL Sertifikasının Group Policy (GPO) İle Bilgisayarlara Dağıtılması

Bu ekranda sertifikanın bilgisayarın Sertifika deposunda “Trusted Root Certification Authorities” altına yükleneceğini gösteriyor ve bunu değiştiremiyoruz. Zaten gerek de yok, amacımız bu zaten.

Next ile devam edelim.

Group Policy Self Sign Sertifika Dagitimi 6 SSL Sertifikasının Group Policy (GPO) İle Bilgisayarlara Dağıtılması

Özet sayfamız. Finish diyerek tamamlıyoruz.

Group Policy Self Sign Sertifika Dagitimi 7 SSL Sertifikasının Group Policy (GPO) İle Bilgisayarlara Dağıtılması

İşlem başarılı.

Aşağıda gördüğünüz gibi sertifikamız GPO içine eklendi.

Group Policy Self Sign Sertifika Dagitimi 8 SSL Sertifikasının Group Policy (GPO) İle Bilgisayarlara Dağıtılması

Tekrar hatırlatayım sunucuda klasör içinde duran sertifika dosyamızı silebiliriz.

 

Bu yazıda proxy ürünü senaryosunu ele aldık ancak her türlü ihtiyaç için yöntem aynıdır.

 

Leave a Reply

2 replies on “SSL Sertifikasının Group Policy (GPO) İle Bilgisayarlara Dağıtılması”

  • Zafer Balkan
    Şubat 28, 2018 at 1:00 am

    Firefox bildiğiniz üzere kendi sertifika deposunu kendisi tutuyor. Halen Java applet ile hizmet veren ve bu nedenle Java gösteren en son Firefox sürümünü kullandırmayı zorunlu kılan devlet kurumları yüzünden ikinci bir tarayıcı olarak kurmak zorunda kalmıştık ve sertifika yönetimi baş ağrısı olmuştu. Halen Firefox ile sertifika yönetimi ek iş yükü gerektiriyor. İleride GPO ile Firefox tarayıcılar sertifika yükleme konusunda da bir yazı yazar mısınız?

    • Şubat 28, 2018 at 9:01 am

      Evet onla ilgili de yöntemi biliyorum. Bugün o konuda yazı yazmayı düşünüyorum.

Instagram

[instagram-feed num=6 cols=6 showfollow=false showheader=false showbutton=false showfollow=false]