Добавете сертификата към доверени коренни сертифициращи органи. Къде се съхраняват сертификатите в Windows системи

Инсталирането на самоподписани сертификати е много често срещана задача за системния администратор. Обикновено това се прави ръчно, но ако има повече от дузина машини? А какво да кажем при преинсталиране на системата или закупуване на нов компютър, защото може да има повече от един сертификат. Пишете измамници-напомняния? Защо, когато има много по-прост и удобен начин - групови политики ActiveDirectory. След като настроите политика, вече не е нужно да се притеснявате дали потребителите имат необходимите сертификати.

Днес ще разгледаме разпространението на сертификати, използвайки като пример коренния сертификат на Zimbra, който експортирахме в . Нашата задача ще бъде следната - автоматично разпространяване на сертификата до всички компютри, включени в модула (OU) - офис. Това ще ви позволи да не инсталирате сертификата там, където не е необходим: на север, складови и касови работни станции и т.н.

Отворете инструмента и създайте нова политикав контейнер GPO, за да направите това, щракнете с десния бутон върху контейнера и изберете Създайте. Политиката ви позволява да инсталирате както един, така и няколко сертификата едновременно, какво да направите, зависи от вас, но ние предпочитаме да създадем собствена политика за всеки сертификат, това ви позволява да променяте правилата за тяхното прилагане по-гъвкаво. Трябва също да дадете на политиката приятелско име, така че когато отворите конзолата след шест месеца, да не се налага да си спомняте болезнено за какво е.

След това плъзнете политиката върху контейнера офис, което ще позволи да се приложи към това устройство.

Сега щракнете с десния бутон върху политиката и изберете Промяна. В редактора на групови правила, който се отваря, ние последователно разширяваме Компютърна конфигурация - Конфигурация на Windows - Опции за сигурност - Политики за публичен ключ- . В дясната част на прозореца, в менюто, щракнете с десния бутон, изберете Импортиранеи импортирайте сертификата.

Политиката е създадена, сега е моментът да проверите дали се прилага правилно. в един момент Управление на групови политикиизбирам Моделиране на групови политикии стартирайте с десния бутон Съветник за симулация.

Повечето от настройките могат да бъдат оставени по подразбиране, единственото нещо, което трябва да се зададе, е потребителят и компютърът, за които искате да проверите политиката.

След завършване на симулацията можем да се уверим, че политиката е приложена успешно към посочения компютър, в противен случай отворете елемента Отхвърлени обектии вижте причината, поради която политиката не е приложима за този потребител или компютър.

След това ще проверим работата на политиката на клиентския компютър, за това ще актуализираме политиките ръчно с командата:

gpupdate

Сега нека отворим хранилището за сертификати. Най-лесният начин да направите това е чрез Internet Explorer: интернет настройки -Съдържание -Сертификати. Нашият сертификат трябва да присъства в контейнера Доверени коренни сертифициращи органи.

Както можете да видите, всичко работи и администраторът има едно главоболие по-малко, сертификатът автоматично ще бъде разпределен на всички компютри, поставени в отдела офис. Ако е необходимо, можете да зададете по-сложни условия за прилагане на политиката, но това вече е извън обхвата на тази статия.

Добър ден, скъпи читатели на блога, бях питан няколко пъти през този месец електронна пощакъдето се съхраняват сертификатите windows системи, по-долу ще ви разкажа подробно за този въпрос, помислете за структурата на съхранение, как да намерите сертификати и къде можете да го използвате на практика, ще бъде особено интересно за тези хора, които често използват EDS (електронни цифров подпис)

Защо да знаете къде се съхраняват сертификатите в windows

Позволете ми да ви дам основните причини, поради които искате да имате тези знания:

  • Трябва да прегледате или инсталирате основния сертификат
  • Трябва да видите или инсталирате личен сертификат
  • Любопитство

По-рано ви казах какво представляват сертификатите и къде можете да ги получите и приложите, съветвам ви да прочетете тази статия, тъй като информацията, съдържаща се в нея, е основна в тази тема.

Във всичко операционна системаЗапочвайки с Windows Vista и до Windows 10 Redstone 2, сертификатите се съхраняват на едно място, някакъв вид контейнер, който е разделен на две части, едната за потребителя и втората за компютъра.

В повечето случаи можете да промените определени настройки в Windows чрез mmc приставки и хранилището за сертификати не е изключение. И така натискаме клавишната комбинация WIN + R и в прозореца, който се отваря, изпълняваме, пишем mmc.

Разбира се, можете да въведете командата certmgr.msc, но по този начин можете да отваряте само лични сертификати

Сега в празна mmc добавка щракнете върху менюто Файл и изберете Добавяне или премахване на добавка (пряк път CTRL+M)

В прозореца Добавяне/Премахване на Snap-Ins, в полето Available Snap-ins, потърсете сертификати и щракнете върху бутона Добавяне.

Тук в мениджъра на сертификати можете да добавите приставки за:

  • моят потребителски акаунт
  • сервизен акаунт
  • компютърен акаунт

Обикновено добавям за потребителски акаунт

и компютър

Компютърът има още допълнителни настройки, той е или локален компютър или отдалечен (в мрежата), изберете текущата и щракнете върху готов.

В крайна сметка получих тази снимка.

Нека незабавно да запазим създадената приставка, за да не се налага следващия път да правим тези стъпки. Отидете в менюто Файл > Запиши като.

Задайте местоположението за запис и това е всичко.

Както можете да видите конзолата за съхранение на сертификати, в моя пример ви показвам на Windows 10 Redstone, уверявам ви, че интерфейсът на прозореца е един и същ навсякъде. Както писах по-рано, има две области Сертификати - текущия потребител и Сертификати (локален компютър)

Сертификати - текущ потребител

Тази област съдържа следните папки:

  1. Лични > лични сертификати (публични или частни ключове), които инсталирате от различни рутокени или етокени, отидете тук
  2. Доверени коренни сертифициращи органи > това са сертификати на сертифициращи органи, като им се доверявате, вие автоматично се доверявате на всички издадени от тях сертификати, те са необходими за автоматична проверка на повечето сертификати в света. Този списък се използва при изграждане на отношения на доверие между CA, той се актуализира на място с актуализации на Windows.
  3. Отношения на доверие в предприятието
  4. Междинни CA
  5. Потребителски обект на Active Directory
  6. Доверени издатели
  7. Сертификати, на които няма доверие
  8. Основни CA на трети страни
  9. Довереници
  10. Доставчици на сертификати за удостоверяване на клиенти
  11. Местни несменяеми сертификати
  12. Доверени коренни сертификати за смарт карта

В личната папка по подразбиране няма сертификати, освен ако не сте ги инсталирали. Инсталирането може да бъде или с токен, или чрез заявка или импортиране на сертификат.

  • PKCS#12 (.PFX, .P12)
  • Стандарт за синтаксис на Cryprograhic Message - PKCS #7 (.p7b) сертификати
  • Магазин за сериализирани сертификати (.SST)

В раздела доверени центровесертифициране, ще видите впечатляващ списък с root сертификати от най-големите издатели, благодарение на тях вашият браузър се доверява на повечето от сертификатите в сайтовете, защото ако имате доверие на root, тогава всички, на които го е издал.

С двойно щракване можете да видите съдържанието на сертификата.

От действията можете само да ги експортирате, за да можете да ги инсталирате отново на друг компютър.

Експортирането отива в най-често срещаните формати.

Друг интересен списък е списъкът със сертификати, които вече са били анулирани или изтекли.

Когато проверявате електронен подпис (ЕЦП), вашият компютър трябва не само да определи срока на валидност на вашия ЕЦП, но и да разбере кой е издал електронния подпис. Всеки EDS сертификат посочва кой сертифициращ орган (CA) е издал подписа. След като системата "прочете" производителя на цифровия подпис, трябва да получите информация за този производител. За да направите това, на компютъра на потребителя е инсталиран root сертификат.

Ако основният сертификат на сертифициращия орган е инсталиран на компютъра на потребителя, тогава всички сертификати, издадени от този CA, се считат за валидни (при условие, че срокът им на валидност все още не е изтекъл).

Имайки предвид всичко по-горе, стигаме до извода, че за сертификата електронен подписвъзприемани от системата като "валидни", трябва да инсталирате основните сертификати на сертифициращия орган, който е издал EDS.

Нека започнем да инсталираме root сертификат:

Преди да инсталирате основния сертификат, изтеглете го от уебсайта на сертифициращия център, който ви е издал EDS, или от нашия уебсайт в секцията: .

1. Щракнете двукратно върху запазения сертификат или щракнете с десния бутон и изберете елемента, както е показано на фигурата.

2. В прозореца, който се показва, щракнете върху бутона "Напред".

3. В следващия прозорец изберете "Поставете всички сертификати в следния магазин" и кликнете върху бутона "Преглед...".

4. В изскачащия прозорец изберете „Доверени коренни сертифициращи органи“ и щракнете върху „OK“.

5. Изскачащият прозорец ще се затвори и трябва да сте както е показано на снимката. Ако информацията в полето "Certificate store" не се появи, върнете се към стъпки 3, 4 и повторете тези стъпки отново. Ако всичко се показва, както е показано на фигурата, щракнете върху "Напред".


6. Щракнете върху "Край", когато приключите.

7. След затваряне на прозореца "Съветник за импортиране на сертификати", системата може да издаде предупреждение за инсталиране на сертификати на вашия компютър. Това съобщение може да се появи няколко пъти. Натискайте бутона "ДА" всеки път.


8. Ако предишното съобщение не се появи, щракнете върху "OK" в следващия прозорец, както е показано на фигурата.

Честито! Сега основният сертификат на сертифициращия орган е инсталиран успешно!

Сертификатите, които се използват в работата на системата Kontur Extern, могат да се добавят или премахват с помощта на конзолата mmcот следните хранилища:

  • Други потребители(хранилище на сертификати на регулаторни органи)
  • Доверени коренни сертифициращи органии Междинни CA(магазини за сертификати Сертифициращ орган).

Инсталация лични сертификатиПрави се само с помощта на програмата Crypto Pro.

За да стартирате конзолата, направете следното:

1. Изберете меню Започнете/ Бягай(или на клавиатурата едновременно натиснете клавишите Win+R).

2. Посочете команда mmcи натиснете бутона Добре.

3. Изберете меню Файл/ Добавете или премахнете снимка(виж фиг. 1).

Ориз. 1. Прозорец на конзолата

4. Изберете добавка от списъка Сертификатии щракнете върху бутона Добавете(виж фиг. 2).

Ориз. 2. Добавяне на Snap

5. В прозореца, който се отваря, задайте превключвателя Моят потребителски акаунти натиснете бутона Готов(Виж фиг. 3).

Ориз. 3. Мениджър на сертификати за щракване

6. Изберете добавеното оборудване от списъка вдясно и щракнете върху бутона Добре(виж фиг. 4).

Ориз. 4. Избиране на добавените инструменти


Инсталиране на сертификати

1. Отворете необходимия магазин (например Trusted Root Certification Authorities). За да направите това, отворете клона Сертификати - Текущ потребител / Доверени коренни сертифициращи органи / Сертификати(Виж фиг. 5).

Ориз. 5. Прозорец на конзолата

2. Изберете меню Действие/ Всички задачи / Импортиране(Виж фиг. 6).

Ориз. 6. Меню "Всички задачи / Импортиране"

3. В прозореца, който се отваря, щракнете върху бутона По-нататък.

4. След това щракнете върху бутона Общ прегледи посочете файла на сертификата за импортиране (root сертификати Сертифициращ органможе да се изтегли от сайта сертифициращ орган, сертификатите на регулаторните органи са на сайта на системата Контур-Екстерн). След като изберете сертификата, щракнете върху бутона Отвори(виж фиг. 7), а след това с бутона По-нататък.

Ориз. 7. Избиране на сертификат за импортиране

5. В следващия прозорец щракнете върху бутона По-нататък(желаното място за съхранение се избира автоматично). Вижте фиг. осем.

Ориз. 8. Изберете съхранение

6. Натиснете бутона Готовза да завършите импортирането (вижте фигура 9).

Ориз. 9. Завършване на импортирането на сертификат


Премахване на сертификати

За да премахнете сертификати с помощта на конзолата mmc(например от хранилището за други потребители), трябва да направите следното:

Разширете клона Сертификати - текущ потребител / Други потребители / Сертификати. Всички сертификати, инсталирани в магазина, ще бъдат показани в дясната част на прозореца Други потребители. Маркирайте желания сертификат, щракнете с десния бутон върху него и изберете Изтрий(виж фиг. 10).

Ориз. 10. Прозорец на конзолата

Ако се отвори прозорец за защита на браузъра, когато се опитвате да установите връзка с уеб кабинета (фиг. 1), трябва да добавите основен сертификат на Московската борса moex.cerкъм списъка доверени сертификати.

Фигура 1 - Прозорец за защита на браузъра

За това ви трябва:

  1. въведете в полето за търсене Име на файла на Windows certmgr.msc(фиг. 2). След това щракнете с левия бутон върху намерения файл. В резултат на това ще се отвори системната директория на сертификата (фиг. 3);

    Фигура 2 - търсене на системната директория на сертификатитеФигура 3 - системна директория на сертификати
  2. отидете на раздел Сертификатистранично меню (фиг. 4). Тогава щракнете с десния бутон върху папката Сертификатии в контекстното меню, което се отваря, изберете елемента Всички задачи→Импортиране(фиг. 5).

    Фигура 4 - доверени директории Фигура 5 - импортиране на сертификат

    В резултат на това ще се отвори Съветник за импортиране на сертификати(фиг. 6), в която трябва да натиснете бутона По-нататъкза да отидете на избор на файл със сертификат moex.cer(фиг. 7);

    Фигура 6 - Съветник за импортиране на сертификати Фигура 7 - диалогов прозорец за избор на импортиран файл

  3. Натисни бутона Общ преглед(виж фиг. 7, 1) и изберете основен сертификат на Московската борса moex.cer.В резултат на това на полето Име на файлще се покаже пътят към този файл (виж фиг. 7.2). След това трябва да натиснете бутона По-нататък(виж фиг. 7.3);
  4. Натисни бутона По-нататъкв диалоговия прозорец Магазин за сертификати, без да променяте параметрите по подразбиране (фиг. 8), след това бутона Готовза да завършите импортирането на сертификат (Фигура 9).



    Фигура 8 - хранилище за сертификати Фигура 9 - завършване на импорта

След като импортирането приключи, ще се отвори прозорец за сигурност Прозорци (фиг. 10).Проверете отпечатъка на ключа. Номерът му трябва да съвпада с номера, посочен на фигурата (10.1). Ако данните съвпадат, щракнете да(фиг. 10.2).



Фигура 10 - прозорец за сигурност Windows

В резултат на това ще се отвори известие за успешно импортиране. сертификат на Московската борса moex.cerкъм списъка с доверени сертификати (фиг. 11), в който трябва да щракнете върху бутона Добре.


Фигура 11 - завършване на импортирането


© 2022 egoist24.ru Платежни системи. Ипотека. банки. Yandex пари. webmoney. Главна информация.