Инструкция по добавлению и обновлению сертификатов во внутреннем хранилище сертификатов Р7 Органайзер

Проблема: Требуется добавление SSL сертификата почтового сервера в список доверенных до момента подключения пользователя к серверу для всех пользователей. Решение

1. Создание пустого профиля
2. Настройка эталонного образа профиля
3. Добавление SSL сертификата почтового сервера в хранилище сертификатов
4. Обновление хранилища сертификатов

1. Создание шаблона профиля

Архив с готовым шаблоном профиля доступен по ссылке: https://nct.r7-office.ru/doc.html?uid=698848b4-d849-44f9-b090-28ecce26782d_0 На чистой установке запустите Р7-Органайзер для создания базового профиля, который будет впоследствии использоваться в качестве шаблона. Настройку подключения к почтовому серверу производить при создании шаблона профиля не надо! Закройте Р7-Органайзер. Базовый профиль создается в домашней директории пользователя. Пример расположения профиля:/home/user/.r7organizer В указанном каталоге будут содержаться 3 вложенных каталога и 2 файла конфигурации. Файл installs.ini: содержит информацию об установках приложения в системе. Он связывает конкретные установки Р7-Органайзер с профилями, чтобы обеспечить корректную работу, если у вас установлено несколько версий программы. Файл profiles.ini: содержит информацию о доступных профилях пользователей для Р7‑Органайзер. Он необходим для управления профилями, их местоположением и активностью. Каталог demo: предназначен для хранения демонстрационного лицензионного ключа для Р7-Органайзер сроком на 30 дней с момента установки. Каталог 9r01ym1.default: Служебный каталог Р7-Органайзер, наименование которого сгенерировано случайным образом, создается при первом открытии почтового клиента и используется для хранения временных меток, связанных с профилем пользователя. Каталог d1gyec5d.default-default: Основной каталог профиля пользователя, наименование которого сгенерировано случайным образом, создается при первом открытии почтового клиента и предназначен для хранения информации о профиле пользователя (сообщения, календари, настройки и т.д).

2. Настройка эталонного образа профиля

Удалите служебный каталог 9r01ym1.default. Переименуйте каталог профиля пользователя d1gyec5d.default-default в “template-profile” При первом запуске Р7-Органайзер будет сгенерирован демо ключ. Если вы имеете постоянный ключ удалите каталог /demo. Для сокращения времени первого запуска приложения на других рабочих местах, данный каталог можно не удалять, в этом случае первоначально сгенерированная лицензия будет применяться к остальным рабочим местам впоследствии. Если у вас есть постоянный ключ для использования Р7-Органайзер, создайте вложенный каталог /license_pro в которую необходимо скопировать лицензионный ключ. Откройте файл installs.ini на редактирование и приведите к виду: , Где:

• [6AB2D991489682D1] — номер инсталляции сгенерированный при первом открытии почтового клиента, оставьте неизменным.
• Default=template-profile — путь к профилю, который будет использоваться для этой и последующих установок.
• Locked=1 — указание закрепления профиля по умолчанию.

Откройте файл profiles.ini на редактирование и приведите к виду: , Где:

• [install6AB2D991489682D1] — номер инсталляции сгенерированный при первом открытии почтового клиента, оставьте неизменным.
• Default=template-profile — путь к профилю, который используется для этой установки.
• Locked=1 — указание закрепления профиля по умолчанию.
• [Profile0] — номер профиля.
• Name=default — наименование профиля
• IsRelative=1 — если 1, путь к профилю указывается относительно каталога конфигурации.
• Path=template-profile путь к профилю, который используется для этой установки.

• [General] — блок содержит общие настройки для управления профилями.
• StartWithLastProfile=1 — Указывает, должен ли Р7-Органайзер автоматически запускаться с последним использованным профилем.
• Version=2 — обозначает версию формата файла profiles.ini

3. Добавление SSL сертификата почтового сервера в хранилище сертификатов.

Для добавления сертификата нам потребуется утилита certutil Если утилита не установлена можете установить командой

apt install libnss3-tools

Перейдите в каталог профиля и выполните команду:

bash
certutil -A -n "Название сертификата" -t "C,C,C" -i /путь/к/сертификату.crt -d sql:.

, Где:

• -A — добавить сертификат
• -n — указывает имя сертификата (в кавычках)
• -t — настройка доверия (для веб-сайтов, почты и программ)
• -i — указывает путь к сертификату
• -d sql:. — указывает базу NSS в текущей директории.

Проверьте, что сертификат добавлен:

bash
certutil -L -d sql:.

Пример вывода: Результат:

1. Исправленный файл ini
2. Исправленный файл ini
3. Каталог эталонного профиля template-profile
4. Сертификат почтового сервера загружен в NSS хранилище эталонного профиля

Далее требуется распространить средствами централизованного управления файлы profiles.ini, installs.ini  и каталог профиля template-profile на все целевые ПК пользователей.

4. Обновление хранилища сертификатов.

В случае необходимости обновления сертификата почтового сервера в хранилище, найдите его и запомните его наименование, для этого выполните команду:

bash
certutil -L -d sql:/home/user/.r7organizer/template-profile/

Чтобы удалить сертификат, используйте флаг -D:

bash
certutil -D -n "Название сертификата" -d sql:/путь/к/базе

, Где:

• -D — удаляет сертификат
• -n — указывает имя сертификата (в кавычках)
• -d sql:/путь/к/базе — указывает путь к базе данных NSS

Для добавления нового сертификата воспользуйтесь командой:

bash
certutil -A -n "Название сертификата" -t "C,C,C" -i /путь/к/сертификату.crt -d sql:.

После успешного добавления распространите файл cert9.db из каталога пользователя средствами централизованного управления.