Установка и настройка Java с помощью групповых политик
Подробно описывать процесс развертывание софта с помощью групповых политик не буду, т.к. в интернете полно инструкций на эту тему. Расскажу только про проблемы, с которыми мне пришлось столкнуться и как я их решил.
Для развертывания программ с помощью групповых политик нужно иметь дистрибутив с расширением MSI этого софта. С официального сайта Oracle можно скачать только EXEшник Java. Но как добыть MSI из этого EXEшника я уже рассказывал — Где скачать MSI установщик JAVA.
На этом этапе будем считать, что Вы настроили групповую политику для установке Java на парке компьютеров и она работает.
На данный момент последняя версия Java 7 update 25, но я буду развертывать Java 6 с последним update 45. Мне стало интересно, что будет, если на ПК уже установлена Java, например, с update 11, или Java 7. После экспериментов выяснил, что 6-я версия Java с последним апдейтом заменяет собой все предыдущие апдейты, т.е. Java обновляется. С 7-й версией хуже, в этом случаем Java 6 ставится параллельно, а через иконку Java в панели управления можно управлять только 7-й версией и IE работает с ней. В этом случае нужно продумывать механизм удаления Java 7, чтобы полноценно пользоваться 6-ой.
Установка сертификатов в хранилище Java
У меня была задача добавить несколько корпоративных сертификатов (corp.cer, corp1.cer) в хранилище Java Signer CA в разделе System.
Импорт можно сделать только с помощью программы keytool.exe. Для этого открываем cmd.exe от имени администратора и вводим следующую команду (но предварительно нужно изменить параметры -alias и -keystore под себя):
«C:\Program Files\Java\jre6\bin\keytool.exe» -importcert -alias CorpIntCA01 -file «D:\install\CorpIntCA01.cer» -trustcacerts -keystore «C:\Program Files\Java\jre6\lib\security\cacerts» -storepass changeit –noprompt
И так для каждого сертификата.
Понятно, что данный способ развертывания сертификатов Java использовать очень неудобно, поэтому пойдем другим путем. На одном ПК добавим все сертификаты, а потом файл, в котором они хранятся, перепишем на все ПК с помощью групповой политики (GPO), а точнее с помощью предпочтений групповой политики (GPP).
Файл с сертификатами называется cacerts и находится в каталоге — C:\Program Files\Java\jre6\lib\security\.
Я использовал ту же групповую политику, что и для развертывания Java. Далее делаем так, как показано на скриншоте.
В поле Source указываем имя сервера, где будет лежать файл cacerts (\\fileserver\java_settings\cacerts), в поле Destination File указываем путь к конечному файлу — %ProgramFilesDir%\Java\jre6\lib\security\cacerts.
Единственная проблема возникает при установке Java, т.к. файл скопируется быстрее, чем установится Java. А при установке Java сотрет уже имеющийся файл с нашими сертификатами, и на его место запишет свой файл с сертификатами по умолчанию. GPP отработает снова через некоторое время, файл заменится снова, но не сразу. К этому нужно быть готовым.
Если нужно развернуть сертификаты из раздела пользователя, то действуем по такому же принципу.
Файл с сертификатами Trusted Certificates из раздела User называется trusted.certs и находится в профайле пользователя в каталоге — C:\Documents and Settings\%User%\Application Data\Sun\Java\Deployment\security.
Подробное описание типов сертификатов Java есть на оф.сайте.
Отключаем назойливые предупреждения
Предупреждения безопасности вещь хорошая, но часто очень раздражает. Поэтому нужно отключить надоедливые предупреждения, про которые все и так уже знают.
При работе сервиса EMC Documentum вылезает сообщение, что приложение содержит неподписанный код, но т.к. мы им доверяем, то постоянно видеть это предупреждение не нужно.
Warning Security: Java has discovered application components that could indicate a security concern. Block potentially unsafe components from being run?
Через консоль в Панели управления можно отключить так:
А чтобы изменить этот параметр сразу у всех, опять обратимся к предпочтения групповой политики GPP. Эти настройки Java находятся в файле deployment.properties в профайле пользователя — C:\Documents and Settings\%User%\Application Data\Sun\Java\Deployment. Как и в прошлый раз, выставляем все настройки через консоль, а потом копируем этот файл на файловый сервер и настраиваем GPO.
Source – указываем файловый сервер, где будет лежать исходный файла (\\fileserver\java_settings\deployment.properties), а в Destination File — %userprofile%\AppData\LocalLow\Sun\Java\Deployment\deployment.properties — это для Windows 7, а для Windows XP — %AppData%\Sun\Java\Deployment\deployment.properties.
Нашли опечатку в тексте? Пожалуйста, выделите ее и нажмите Ctrl+Enter! Спасибо!
Хотите поблагодарить автора за эту заметку? Вы можете это сделать!