Проблема:
Требуется добавление SSL сертификата почтового сервера в список доверенных до момента подключения пользователя к серверу для всех пользователей.
Решение
1. Создание шаблона профиля
Архив с готовым шаблоном профиля доступен по ссылке: https://nct.r7-office.ru/doc.html?uid=698848b4-d849-44f9-b090-28ecce26782d_0 ↗
На чистой установке запустите Р7-Органайзер для создания базового профиля, который будет впоследствии использоваться в качестве шаблона. Настройку подключения к почтовому серверу производить при создании шаблона профиля не надо!
Закройте Р7-Органайзер.
Базовый профиль создается в домашней директории пользователя. Пример расположения профиля:/home/user/.r7organizer
В указанном каталоге будут содержаться 3 вложенных каталога и 2 файла конфигурации.
Файл installs.ini: содержит информацию об установках приложения в системе. Он связывает конкретные установки Р7-Органайзер с профилями, чтобы обеспечить корректную работу, если у вас установлено несколько версий программы.
Файл profiles.ini: содержит информацию о доступных профилях пользователей для Р7‑Органайзер. Он необходим для управления профилями, их местоположением и активностью.
Каталог demo: предназначен для хранения демонстрационного лицензионного ключа для Р7-Органайзер сроком на 30 дней с момента установки.
Каталог 9r01ym1.default: Служебный каталог Р7-Органайзер, наименование которого сгенерировано случайным образом, создается при первом открытии почтового клиента и используется для хранения временных меток, связанных с профилем пользователя.
Каталог d1gyec5d.default-default: Основной каталог профиля пользователя, наименование которого сгенерировано случайным образом, создается при первом открытии почтового клиента и предназначен для хранения информации о профиле пользователя (сообщения, календари, настройки и т.д).
2. Настройка эталонного образа профиля
Удалите служебный каталог 9r01ym1.default.
Переименуйте каталог профиля пользователя d1gyec5d.default-default в “template-profile”
Наименование каталога может быть любым.
При первом запуске Р7-Органайзер будет сгенерирован демо ключ. Если вы имеете постоянный ключ удалите каталог /demo. Для сокращения времени первого запуска приложения на других рабочих местах, данный каталог можно не удалять, в этом случае первоначально сгенерированная лицензия будет применяться к остальным рабочим местам впоследствии.
Если у вас есть постоянный ключ для использования Р7-Органайзер, создайте вложенный каталог /license_pro в которую необходимо скопировать лицензионный ключ.
Откройте файл installs.ini на редактирование и приведите к виду:
Где:
- [6AB2D991489682D1] — номер инсталляции сгенерированный при первом открытии почтового клиента, оставьте неизменным.
- Default=template-profile — путь к профилю, который будет использоваться для этой и последующих установок.
- Locked=1 — указание закрепления профиля по умолчанию.
Откройте файл profiles.ini на редактирование и приведите к виду:
, Где:
- [install6AB2D991489682D1] — номер инсталляции сгенерированный при первом открытии почтового клиента, оставьте неизменным.
- Default=template-profile — путь к профилю, который используется для этой установки.
- Locked=1 — указание закрепления профиля по умолчанию.
- [Profile0] — номер профиля.
- Name=default — наименование профиля
- IsRelative=1 — если 1, путь к профилю указывается относительно каталога конфигурации.
- Path=template-profile путь к профилю, который используется для этой установки.
Каталог для хранения профиля пользователя можно установить произвольным, в этом случае в параметр IsRelative установите значение 0, а в параметре Path укажите полный путь к каталогу от корня.
- [General] — блок содержит общие настройки для управления профилями.
- StartWithLastProfile=1 — Указывает, должен ли Р7-Органайзер автоматически запускаться с последним использованным профилем.
- Version=2 — обозначает версию формата файла profiles.ini
3. Добавление SSL сертификата почтового сервера в хранилище сертификатов.
Для добавления сертификата нам потребуется утилита certutil
Если утилита не установлена можете установить командой
apt install libnss3-tools
Перейдите в каталог профиля и выполните команду:
bash certutil -A -n "Название сертификата" -t "C,C,C" -i /путь/к/сертификату.crt -d sql:.
, Где:
- -A — добавить сертификат
- -n — указывает имя сертификата (в кавычках)
- -t — настройка доверия (для веб-сайтов, почты и программ)
- -i — указывает путь к сертификату
- -d sql:. — указывает базу NSS в текущей директории.
Проверьте, что сертификат добавлен:
bash certutil -L -d sql:.
Пример вывода:
Результат:
- Исправленный файл ini
- Исправленный файл ini
- Каталог эталонного профиля template-profile
- Сертификат почтового сервера загружен в NSS хранилище эталонного профиля
Далее требуется распространить средствами централизованного управления файлы profiles.ini, installs.ini и каталог профиля template-profile на все целевые ПК пользователей.
4. Обновление хранилища сертификатов.
В случае необходимости обновления сертификата почтового сервера в хранилище, найдите его и запомните его наименование, для этого выполните команду:
bash certutil -L -d sql:/home/user/.r7organizer/template-profile/
Чтобы удалить сертификат, используйте флаг -D:
bash certutil -D -n "Название сертификата" -d sql:/путь/к/базе
, Где:
- -D — удаляет сертификат
- -n — указывает имя сертификата (в кавычках)
- -d sql:/путь/к/базе — указывает путь к базе данных NSS
Для добавления нового сертификата воспользуйтесь командой:
bash certutil -A -n "Название сертификата" -t "C,C,C" -i /путь/к/сертификату.crt -d sql:.
После успешного добавления распространите файл cert9.db из каталога пользователя средствами централизованного управления.