- Генерация нового сертификата
- Добавление доверенного ssl сертификата в зимбру | мои заметки
- Импорт сертификата zimbra с помощью групповых политик (gpo)
- Обновление и установка let’s encrypt сертификата на zimbra 8.7 и выше
- Проверка сертификатов
- Установка ssl сертификата на сервер zimbra —
- Установка сертификатов
- Шаг 2. остановите службу прокси zimbra
- Шаг 3: получим ssl-сертификат lets encrypt
- Экспорт и установка сертификата zimbra.
Генерация нового сертификата
Генерируем сертификат, можно добавить домен с www, если он не настроен, то его можно не генерировать:
Добавление доверенного ssl сертификата в зимбру | мои заметки
Началось всё с того, что некоторые браузеры начали жаловаться на зимбравский SSL-сертификат, выдавая вот такие ошибки (пара примеров).
Вот Firefox:

или вот андроидная opera:

Т.е. им больше не нравится ключ Диффи-Хелемана и они отказываются заходить на вэб-интерфейс Зимбры.
Конкретно эта проблема решается вот таким образом:
su zimbra
zmprov mcf zimbraSSLExcludeCipherSuites TLS_DHE_RSA_WITH_AES_128_CBC_SHA
zmprov mcf zimbraSSLExcludeCipherSuites TLS_DHE_RSA_WITH_AES_256_CBC_SHA
zmprov mcf zimbraSSLExcludeCipherSuites SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
zmmailboxdctl restart
exit
Проблемные шифры отключаются.
Но раз уж я взялся за Зимбру, то за одним решил и доверенный SSL сертификат к ней прикрутить. Для этого в Зимбре есть штатные средства.
Для начала, надо где-то заполучить этот самый доверенный сертификат. Сделать это несложно. И этот процесс я описывал недавно в это статье:
https://my-sertif.ru/obshaya/freebsd/adding-free-trusted-ssl-certificate-on-your-site
Значит, получаю аналогично сертификат от WoSign, скачиваю его и копирую на сервер с Зимброй.
В архиве я вижу ещё несколько вложенных архивов, в которых содержатся готовые сертификаты для разных вэб-серверов. Меня интересует «for Other Server.zip». Именно он, несмотря на то, что там есть и конкретно для апача сертификат.
Надо импортировать доверенный сертификат в Зимбру. Делаю вот поэтому мануалу:
http://my-sertif.ru/wiki/Fix_depth_lookup:unable_to_get_issuer_certificate
Описываю этот процесс пошагово. Значит, распаковываю содержимое архива «for Other Server.zip» в какой-нибудь отдельный каталог. И, находясь в этом каталоге, выполняю команды. Выполняю под рутом! Собираю все сертификаты корневого центра в один файл:
cat root.crt 1_cross_Intermediate.crt 2_issuer_Intermediate.crt > ca_bundle.crt
копирую его в специальный зимбровский каталог:
cp ca_bundle.crt /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt
Проверяю, не нарушена ли цепочка сертификатов:
/opt/zimbra/bin/zmcertmgr verifycrt comm 4_user_yourdomain.ru.key 3_user_yourdomain.ru.crt
Если всё в порядке, то вывод должен быть такой:
** Verifying 3_user_yourdomain.ru.crt against 4_user_yourdomain.ru.key
Certificate (3_user_yourdomain.ru.crt) and private key (4_user_yourdomain.ru.key) match.
Valid Certificate: 3_user_yourdomain.ru.crt: OK
Копирую ключ в специальный зимбровский каталог:
cp 4_user_yourdomain.ru.key /opt/zimbra/ssl/zimbra/commercial/commercial.key
И размещаю сертификаты в зимбре:
/opt/zimbra/bin/zmcertmgr deploycrt comm 3_user_yourdomain.ru.crt ca_bundle.crt
Вывод команды должен быть таким:
** Verifying 3_user_yourdomain.ru.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (3_user_yourdomain.ru.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
Valid Certificate: 3_user_yourdomain.ru.crt: OK
** Copying 3_user_yourdomain.ru.crt to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
** Appending ca chain ca_bundle.crt to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
** Importing certificate /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt to CACERTS as zcs-user-commercial_ca...done.
** NOTE: mailboxd must be restarted in order to use the imported certificate.
** Saving server config key zimbraSSLCertificate...done.
** Saving server config key zimbraSSLPrivateKey...done.
** Installing mta certificate and key...done.
** Installing slapd certificate and key...done.
** Installing proxy certificate and key...done.
** Creating pkcs12 file /opt/zimbra/ssl/zimbra/jetty.pkcs12...done.
** Creating keystore file /opt/zimbra/mailboxd/etc/keystore...done.
** Installing CA to /opt/zimbra/conf/ca...done.
Как видно из этого вывода, Зимбра будет использовать этот сертификат для всех своих сервисов, таких как pop, imap и другие, а не только для вэб-интерфейса. Проверяю размещённый сертификат:
# /opt/zimbra/bin/zmcertmgr viewdeployedcrt
::service mta::
notBefore=Aug 23 13:24:24 2021 GMT
notAfter=Aug 23 13:24:24 2021 GMT
subject= /CN=yourdomain.ru
issuer= /C=CN/O=WoSign CA Limited/CN=WoSign CA Free SSL Certificate G2
SubjectAltName= yourdomain.ru, yourdomain1.ru, yourdomain2.ru, yourdomain3.ru
::service proxy::
notBefore=Aug 23 13:24:24 2021 GMT
notAfter=Aug 23 13:24:24 2021 GMT
subject= /CN=yourdomain.ru
issuer= /C=CN/O=WoSign CA Limited/CN=WoSign CA Free SSL Certificate G2
SubjectAltName= yyourdomain.ru, yourdomain1.ru, yourdomain2.ru, yourdomain3.ru
::service mailboxd::
notBefore=Aug 23 13:24:24 2021 GMT
notAfter=Aug 23 13:24:24 2021 GMT
subject= /CN=yourdomain.ru
issuer= /C=CN/O=WoSign CA Limited/CN=WoSign CA Free SSL Certificate G2
SubjectAltName= yourdomain.ru, yourdomain1.ru, yourdomain2.ru, yourdomain3.ru
::service ldap::
notBefore=Aug 23 13:24:24 2021 GMT
notAfter=Aug 23 13:24:24 2021 GMT
subject= /CN=yourdomain.ru
issuer= /C=CN/O=WoSign CA Limited/CN=WoSign CA Free SSL Certificate G2
SubjectAltName= yourdomain.ru, yourdomain1.ru, yourdomain2.ru, yourdomain3.ru
Всё, сертификат в порядке. Теперь надо перезапустить Зимбру и можно наблюдать, что HTTPS-соединение устанавливается уже с новым сертификатом, и браузер на него не жалуется:

Импорт сертификата zimbra с помощью групповых политик (gpo)
Выше мы рассмотрели как установить сертификат на единичную машину, а если машин не один десяток, то удобней и логичней будет импортировать сертификаты на клиентские машины посредством групповых политик (GPO). Один раз настроив политику можно больше не беспокоится о наличии у пользователей необходимых сертификатов. Создавать групповую политику мы будем на примере Windows Server 2021 R2.
Открываем оснастку Group Policy Management (Управление групповой политикой), создаем новую политику ZimbraCertificate.
Теперь щелкнем на политику правой кнопкой мыши и выберем Edit… (Изменить).
В открывшемся редакторе групповых политик последовательно разворачиваем Computer Configuration (Конфигурация компьютера) — Policies (Политики) — Windows Settings (Конфигурация Windows) — Security Settings (Параметры безопасности)
— Public Key Policies (Политики открытого ключа) — Trusted Root Certification Authorities (Доверенные корневые центры сертификации). В правой части окна в меню правой кнопкой мыши выбираем Import… (Импорт) и импортируем сертификат.
Нажимаем Browse… (Обзор) и выбираем сертификат который будем импортировать. Нажимаем Next.
Оставляем выбор без изменений, нажимаем Next.
Жмем Finish для завершения добавления сертификата.
Видим что сертификат успешно добавлен в политику, теперь он будет автоматически импортироваться всем пользователям на которых распространяется данная политика.
Проверим, сделаем LogOff/LogOn машины на которую применяется данная политика и посмотрим импортировался ли сертификат. Как видим сертификат успешно импортировался.
На это все, мы разобрали как экспортировать и импортировать сертификат Zimbra.
Обновление и установка let’s encrypt сертификата на zimbra 8.7 и выше
Сначала нужно отключить вэб-сервисы zimbra для того, что б можно было получить сертификаты. Это делается от имени пользователя zimbra.
zmproxyctl stop zmmailboxdctl stop
Далее выходим из пользователя zimbra и загружаем letsencrypt
git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt
Создаем, собственно, сертификаты следующей командой:
./letsencrypt-auto certonly --standalone
Программа запросит у Вас названия доменов для которых нужно создать сертификаты (их нужно вводить через пробел или запятую).
Если Вы создаете сертификаты, а не обновляете – программа может еще запросить email адрес для контакта, в случае чего.
При обновлении сертификатов – процесс занимает несколько секунд, при создании с нуля – чуть дольше.
Теперь нам нужно зайти в папку где находятся наши, только-что созданные, сертификаты. Они хранятся по следующему пути: /etc/letsencrypt/live/домен
Переходим в эту папку, там должны быть следующие файлы:
- cert.pem
- chain.pem
- fullchain.pem
- privkey.pem
Теперь нам нужно немного изменить файл chain.pem: в конец файла с новой строки нужно добавить корневой сертификат.
-----BEGIN CERTIFICATE----- MIIDSjCCAjKgAwIBAgIQRK wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/ MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDExNVow PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYDVQQD Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB AN v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi DoM3ZJKuM/IUmTrE4O rz5Iy2Xu/NMhD2XSKtkyj4zl93ewEnu1lcCJo6m67XMuegwGMoOifooUMM0RoOEq OLl5CjH9UL2AZd 3UWODyOKIYepLYYHsUmu5ouJLGiifSKOeDNoJjj4XLh7dIN9b xiqKqy69cK3FCxolkHRyxXtqqzTWMIn/5WgTe1QLyNau7Fqckh49ZLOMxt /yUFw 7BZy1SbsOFU5Q9D8/RhcQPGX69Wam40dutolucbY38EVAjqr2m7xPi71XAicPNaD aeQQmxkqtilX4 U9m5/wAl0CAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNV HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFMSnsaR7LHH62 FLkHX/xBVghYkQMA0GCSqG SIb3DQEBBQUAA4IBAQCjGiybFwBcqR7uKGY3Or Dxz9LwwmglSBd49lZRNI DT69 ikugdB/OEIKcdBodfpga3csTS7MgROSR6cz8faXbauX 5v3gTt23ADq1cEmv8uXr AvHRAosZy5Q6XkjEGB5YGV8eAlrwDPGxrancWYaLbumR9YbK rlmM6pZW87ipxZz R8srzJmwN0jP41ZL9c8PDHIyh8bwRLtTcm1D9SZImlJnt1ir/md2cXjbDaJWFBM5 JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL T0yjWW06XyxV3bqxbYo Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ -----END CERTIFICATE-----
В конечном итоге Ваш файл должен выглядеть следующим образом:
-----BEGIN CERTIFICATE----- ВАШ СЕРТИФИКАТ -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIDSjCCAjKgAwIBAgIQRK wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/ MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDExNVow PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYDVQQD Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB AN v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi DoM3ZJKuM/IUmTrE4O rz5Iy2Xu/NMhD2XSKtkyj4zl93ewEnu1lcCJo6m67XMuegwGMoOifooUMM0RoOEq OLl5CjH9UL2AZd 3UWODyOKIYepLYYHsUmu5ouJLGiifSKOeDNoJjj4XLh7dIN9b xiqKqy69cK3FCxolkHRyxXtqqzTWMIn/5WgTe1QLyNau7Fqckh49ZLOMxt /yUFw 7BZy1SbsOFU5Q9D8/RhcQPGX69Wam40dutolucbY38EVAjqr2m7xPi71XAicPNaD aeQQmxkqtilX4 U9m5/wAl0CAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNV HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFMSnsaR7LHH62 FLkHX/xBVghYkQMA0GCSqG SIb3DQEBBQUAA4IBAQCjGiybFwBcqR7uKGY3Or Dxz9LwwmglSBd49lZRNI DT69 ikugdB/OEIKcdBodfpga3csTS7MgROSR6cz8faXbauX 5v3gTt23ADq1cEmv8uXr AvHRAosZy5Q6XkjEGB5YGV8eAlrwDPGxrancWYaLbumR9YbK rlmM6pZW87ipxZz R8srzJmwN0jP41ZL9c8PDHIyh8bwRLtTcm1D9SZImlJnt1ir/md2cXjbDaJWFBM5 JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL T0yjWW06XyxV3bqxbYo Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ -----END CERTIFICATE-----
Далее нужно создать папку letsencrypt, куда мы скопируем измененные файлы сертификатов:
mkdir /opt/zimbra/ssl/letsencrypt cp /etc/letsencrypt/live/ваш домен/* /opt/zimbra/ssl/letsencrypt/ chown zimbra:zimbra /opt/zimbra/ssl/letsencrypt/* ls -la /opt/zimbra/ssl/letsencrypt/
Теперь нам нужно проверить созданные нами сертификаты, для этого вводим следующие команды от пользователя zimbra:
cd /opt/zimbra/ssl/letsencrypt/ /opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
Если же нет никаких ошибок – устанавливаем сертификат в Zimbra.
Сначала сохраним старый, на всякий случай:
cp -a /opt/zimbra/ssl/zimbra /opt/zimbra/ssl/zimbra.$(date " %Y%m%d")
Теперь скопируем новый:
cp /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key
И, собственно, пропишем его в Zimbra:
/opt/zimbra/bin/zmcertmgr deploycrt comm cert.pem chain.pem
Теперь перезагружаем все сервисы zimbra:
zmcontrol restart
И всё, наслаждаемся новым или обновлённым сертификатом)))
Проверка сертификатов
После того как мы получили сертификаты, необходимо их проверить с помощью сервера Zimbra.Для этого создадим папку letsencrypt и скопируем туда полученные сертификаты:mkdir /opt/zimbra/ssl/letsencryptcp /etc/letsencrypt/live/test.my.domain/* /opt/zimbra/ssl/letsencrypt/
Назначим права на эти файлы для пользователя zimbra и проведем верификацию:chown -Rfv zimbra:zimbra /opt/zimbra/ssl/letsencrypt/sudo su – zimbra -c “zmcertmgr verifycrt comm /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/letsencrypt/cert.pem /opt/zimbra/ssl/letsencrypt/zimbra_chain.pem”** Verifying ‘/opt/zimbra/ssl/letsencrypt/cert.pem’ against ‘/opt/zimbra/ssl/letsencrypt/privkey.
pem’Certificate ‘/opt/zimbra/ssl/letsencrypt/cert.pem’ and private key ‘/opt/zimbra/ssl/letsencrypt/privkey.pem’ match.** Verifying ‘/opt/zimbra/ssl/letsencrypt/cert.pem’ against ‘/opt/zimbra/ssl/letsencrypt/zimbra_chain.pem’Valid certificate chain: /opt/zimbra/ssl/letsencrypt/cert.pem: OK
Если проверка завершилась неудачно, то проверяйте как собрался IdenTrust, скорей всего ошибка в нём:** Verifying ‘/opt/zimbra/ssl/letsencrypt/cert.pem’ against ‘/opt/zimbra/ssl/letsencrypt/privkey.pem’Certificate ‘/opt/zimbra/ssl/letsencrypt/cert.pem’ and private key ‘/opt/zimbra/ssl/letsencrypt/privkey.pem’ match.
** Verifying ‘/opt/zimbra/ssl/letsencrypt/cert.pem’ against ‘/opt/zimbra/ssl/letsencrypt/zimbra_chain.pem’ERROR: Unable to validate certificate chain: /opt/zimbra/ssl/letsencrypt/cert.pem: C = US, O = Let’s Encrypt, CN = Let’s Encrypt Authority X3error 2 at 1 depth lookup:unable to get issuer certificate
Установка ssl сертификата на сервер zimbra —
Небольшая заметка о том, как установить имеющийся сертификат на сервер Zimbra
Перед установкой проверяю, что есть все необходимые сертификаты и ключи, а именно:
- Цепочка сертификатов удостоверяющего центра, например commercial_ca.crt
- Выданный на домен или wildcard сертификат, например commercial.crt
- Выданный на домен или wildcard приватный ключ, например commercial.key
Важно, что приватный ключ должен находится в директории /opt/zimbra/ssl/zimbra/commercial/commercial.key
Сертификаты можно положить в любое место, например в /tmp.
Что бы проверить, что ключ соответствует сертификату выполняю от имени root:/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /tmp/commercial.crt /tmp/commercial_ca.crt
Если все хорошо, в ответ получаю:
** Verifying /tmp/commercial.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (/tmp/commercial.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
Valid Certificate: /tmp/commercial.crt: OK
После этогоустанавливаю сертифкат на сервер и перезапускаю сервис zimbra (от имени root):/opt/zimbra/bin/zmcertmgr deploycrt comm /tmp/commercial.crt /tmp/commercial_ca.crt && su - zimbra -c 'zmcontrol restart'
Обращаю внимание, что в случае мультисерверной установки достаточно установить сертификат на zimbra-proxy.
Установка сертификатов
Для установки сертификатов имеет смысл сделать бэкап текущихКопируется файл rivkey.pem в /opt/zimbra/ssl/zimbra/commercial/commercial.key
cp/opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.keychown zimbra:zimbra /opt/zimbra/ssl/zimbra/commercial/commercial.keytar -czf /opt/zimbra/ssl/zimbra-$(date “%d.%m.%y_%H.%M”).tar.gz /opt/zimbra/ssl/zimbra
Останавливаем сервисы Zimbra, и загружаем новые сертификаты и после этого запускаем службы снова:sudo su – zimbra -c “zmproxyctl stop”sudo su – zimbra -c “zmmailboxdctl stop”sudo su – zimbra -c “zmcertmgr deploycrt comm /opt/zimbra/ssl/letsencrypt/cert.pem /opt/zimbra/ssl/letsencrypt/zimbra_chain.pem”sudo su – zimbra -c “zmcontrol restart”
Шаг 2. остановите службу прокси zimbra
Нам нужно остановить сервисы службы jetty или nginx, прежде чем мы сможем настроить сервер на использование SSL-сертификата Let Encrypt.
$ sudo su - zimbra -c "zmproxyctl stop"
Stopping proxy...done.
$ sudo su - zimbra -c "zmmailboxdctl stop"
Stopping mailboxd...done.Шаг 3: получим ssl-сертификат lets encrypt
Когда службы Zimbra proxy и mailboxd будут остановлены, мы можем перейти к запросу Let Encrypt в автоматическом режиме.
Убедитесь, что вы передаете все имена хостов, используемые вашим почтовым сервером.
Экспорт и установка сертификата zimbra.
При работе с сервером корпоративных коммуникаций Zimbra часто возникает проблема с самоподписанным сертификатом, почтовые клиенты и браузеры каждый раз выдают сообщение об ошибке проверки сертификата и угрозе безопасности. Как минимум это неудобно, да и не стоит приучать пользователей игнорировать непроверенные сертификаты. К счастью, данная проблема решается очень просто, о чем мы расскажем в этой статье.
Если мы попробуем подключиться к почтовому серверу с самоподписанным сертификатом, то получим следующее сообщение об ошибке сертификата безопасности.
Можно, конечно, данное предупреждение игнорировать, но, кроме неудобства, это приучает пользователей легкомысленно относится к подобным предупреждениям, что таит потенциальную угрозу безопасности.
Попробуем разобраться, что именно не нравится браузеру. Прочитав подробности ошибки становится понятно, что система не может доверять этому сертификату, так как нет доверия к выпустившему его центру сертификации.
Но мы, в отличие от системы, знаем, кто выпустил данный сертификат и доверяем этому центру. Чтобы система также начала доверять сертификатам данного центра сертификации нам нужно экспортировать корневой сертификат Zimbra и установить его в систему.
Перейдем на почтовый сервер и повысим права до суперпользователя:
sudo -sЗатем перейдем в папку центра сертификации и экспортируем корневой сертификат:
cd /opt/zimbra/ssl/zimbra/ca
openssl x509 -in ca.pem -outform DER -out ~/zimbra.cerПосле чего корневой сертификат Zimbra будет находиться в домашней папке вашего пользователя. Чтобы скачать его можно воспользоваться любым клиентом, позволяющим передавать файлы через ssh. Например популярным FTP-клиентом Filezilla. В параметрах подключения укажите адрес сервера, учетные данные вашего пользователя и порт подключения 22. После подключения вы сразу окажетесь в своей домашней папке и сможете без проблем скачать сертификат.
Теперь установим его на целевой системе, для этого нужно открыть сертификат двойным щелчком и выбрать Установить сертификат. Откроется мастер импорта сертификатов, работа с которым не представляет сложности. На этапе выбора хранилища ставим переключатель в положение Поместить все сертификаты в выбранное хранилище, где выбираем Доверенные коренные центры сертификации.
Соглашаемся с предупреждением и завершаем установку сертификата. Теперь при подключении к почтовому серверу ошибка сертификата появляться не будет и пользователи будут видеть, что работают по защищенному соединению с доверенным ресурсом.
Аналогичным образом сертификат следует установить на все работающие с почтовым сервером клиентские ПК. Если в вашей сети развернута ActiveDirectory то вы можете автоматически распространять сертификат с помощью групповых политик.
