Къде се съхраняват сертификатите в Windows системи. Къде се съхраняват сертификати в Windows системи Доверено root хранилище

с проблема с невъзможността за правилно внедряване на софтуер поради факта, че хранилището за сертификати на доверени основни сертифициращи органи не се актуализира на целеви компютри с OC Windows (по-нататък, за краткост, ще наричаме това хранилище TrustedRootCA). По това време проблемът беше премахнат чрез разполагане на пакета rootsupd.exeналични в статията KB931125свързани с ОС Уиндоус експи. Сега тази ОС е напълно премахната от поддръжката на Microsoft и може би това е причината тази статия от KB вече да не е налична на уебсайта на Microsoft. Към всичко това можем да добавим факта, че дори по това време решението с внедряването на вече остарял пакет от сертификати по това време не беше най-оптималното, оттогава системи с ОС Windows Vistaи Windows 7, който вече имаше нов механизъм за автоматично актуализиране на хранилището за сертификати TrustedRootCA. Ето една от старите статии за Windows Vista, описваща някои аспекти на това как работи такъв механизъм -Поддръжка на сертификати и получена интернет комуникация в Windows Vista . Наскоро отново се сблъсках с оригиналния проблем, свързан с необходимостта да актуализирам хранилището за сертификати TrustedRootCA на куп клиентски компютри и сървъри, базирани на Windows. Всички тези компютри нямат директен достъп до Интернет и следователно механизмът за автоматично подновяване на сертификата не изпълнява своята задача, както бихме искали. Възможността за отваряне на директен достъп до Интернет за всички компютри, дори до определени адреси, първоначално се смяташе за крайна и търсенето на по-приемливо решение ме доведе до статиятаКонфигурирайте надеждни корени и неразрешени сертификати(RU ), което веднага отговори на всичките ми въпроси. Е, като цяло, въз основа на тази статия, в тази бележка ще очертая накратко конкретен примеркак можете централно да преконфигурирате на Windows Vista и по-високи компютри същия механизъм за автоматично актуализиране на хранилището за сертификати TrustedRootCA, така че да използва споделяне на файлове или уебсайт в локалната корпоративна мрежа като източник на актуализации.

Като начало, това, на което трябва да обърнете внимание, е, че в груповите политики, прилагани към компютрите, не трябва да се активира настройката, която блокира работата на механизма за автоматично актуализиране. Това е параметърът Изключете автоматичното актуализиране на root сертификатиВ гл Компютърна конфигурация > Административни шаблони > Система > Управление на интернет комуникацията > Настройки за интернет комуникация. Трябва този параметър да бъде Изключен, или просто Не е конфигуриран.

Ако погледнете хранилището за сертификати TrustedRootCA под локален компютър, тогава на системи, които нямат директен достъп до Интернет, наборът от сертификати ще бъде, да речем, малък:

Този файл е удобен за използване, например, когато трябва да изберете само определен набор от целия набор от налични сертификати и да ги качите в отделен SST файл за по-нататъшно изтегляне, например, като използвате конзолата за управление на локални сертификати или като използвате Конзола за управление на групови правила (за импортиране в някои или правила на домейна чрез параметър Компютърна конфигурация > Политики > Настройки на Windows > Настройки на сигурността > Политики за публични ключове > Доверени коренни сертифициращи органи).

Въпреки това, за начина, по който се интересуваме от разпространение на коренни сертификати, чрез модифициране на работата на механизма за автоматично актуализиране на крайни клиентски компютри, се нуждаем от малко по-различно представяне на набора от действителни коренни сертификати. Можете да го получите със същата помощна програма certutil, но с различен набор от ключове.

В нашия пример мрежовото споделяне на файлов сървър ще се използва като локален източник на разпространение. И тук е важно да се обърне внимание на факта, че при подготовката на такава папка е наложително да се ограничи достъпът за запис, за да не се случи някой да може да промени набора от root сертификати, които след това ще бъдат „разлети“ върху много компютри.

certutil-syncWithWU -f -f \\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment\

Ключове -f -f се използват за принудително актуализиране на всички файлове в целевата директория.

В резултат на изпълнението на командата, много файлове с общ обем от около половин мегабайт ще се появят в мрежовата папка, която посочихме:

Според споменатото по-горестатии , целта на файловете е както следва:

  • Файл autrootstl.cabсъдържа списъци за доверие на сертификати на трети страни;
  • Файл disallowedcertstl.cabсъдържа списък за доверие на сертификати с ненадеждни сертификати;
  • Файл disallowedcert.sstсъдържа хранилище от сериализирани сертификати, включително ненадеждни сертификати;
  • Файлове с имена на типове thumbprint.crtсъдържат основни сертификати на трети страни.

И така, файловете, необходими за работата на механизма за автоматично актуализиране, са получени и сега преминаваме към внедряване на промяна в схемата на работа на този механизъм. За това, както винаги, на помощ ни идват политиките за група домейни. Active Directory (GPO), въпреки че можете да използвате други инструменти за централизирано управление, всичко, което трябва да направим на всички компютри, е да променим или по-скоро добавим само една настройка на системния регистър RootDirURLв клон HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate, което ще определи пътя към нашата мрежова директория, в която преди това сме поставили набор от root сертификат файлове.

Говорейки за настройка на GPO, отново можете да използвате различни опции, за да постигнете целта си. Например, има опция "стара школа" със създаване на свой собствен шаблон за групова политика, както е описано във вече познатия нистатия . За да направим това, ще създадем файл във формат на административния шаблон на GPO ( ADM), например с името RootCAUpdateLocalPath.adm и съдържанието:

КЛАС КАТЕГОРИЯ МАШИНИ !!Системни сертификати KEYNAME" Софтуер\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" ПОЛИТИКА !!RootDirURL EXPLAIN !!RootDirURL_help ЧАСТ !!RootDirURL EDITTEXT VALUENAME "RootDirURL" END PART END POLICY END CATEGORY RootDirURL="URL адрес, който да се използва вместо ctldl.com по подразбиране." да се използва като място за изтегляне на CTL файловете." SystemCertificates="Настройки за автоматично актуализиране на Windows"

Нека копираме този файл в контролера на домейна в директорията %SystemRoot%\inf (обикновено директорията C:\Windows\inf). След това нека отидем в редактора на групови правила на домейна и да създадем отделен нова политика, след което го отворите за редактиране. В гл Компютърна конфигурация > Административни шаблони…отворете контекстното меню и изберете опцията за свързване на нов шаблон на политика Добавяне/Премахване на шаблони

В прозореца, който се отваря, използвайте бутона за преглед, за да изберете добавения по-рано файл %SystemRoot%\inf\RootCAUpdateLocalPath.admи след като шаблонът се появи в списъка, натиснете близо.

След действието в раздела Конфигурация > Административни шаблони > Класически административни шаблони (ADM) ще се появи група Настройки за автоматично актуализиране на Windows, в който ще бъде наличен единственият параметър URL адрес, който да се използва вместо ctldl.windowsupdate.com по подразбиране

Нека да отворим тази опция и да въведете пътя към локалния ресурс, където намерихме файловете за актуализация, изтеглени по-рано, във формат http://server1/folder или file://\\server1\folder ,
Например file://\\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment

Нека да запазим промените и да приложим създадената политика към контейнера на домейна, където се намират целевите компютри. Обсъжданият метод за настройка на GPO обаче има редица недостатъци, поради което го нарекох „стара школа“.

Друг, по-модерен и по-усъвършенстван метод за настройка на клиентския регистър е използването Предпочитания за групови правила (GPP). С тази опция можем да създадем съответния GPP обект в раздела за групови правила Компютърна конфигурация > Предпочитания > регистърс актуализиране на параметрите ( Действие: актуализиране) регистър RootDirURL(тип стойност REG_SZ)

Ако е необходимо, можем да активираме гъвкав механизъм за насочване за създадения GPP параметър (табл често срещани> Опция Насочване на ниво артикул) на конкретен компютър или група компютри за предварително тестване на това, което получаваме след прилагане на групови политики.

Разбира се, трябва да изберете една опция или да свържете своя собствена ADM-шаблон или използване GPP.

След конфигуриране на групови политики на всеки експериментален клиентски компютър, ние ще актуализираме с командата gpupdate /принудителнопоследвано от рестартиране. След като стартираме системата, ще проверим наличието на създадения ключ в системния регистър и ще се опитаме да проверим факта, че хранилището на root сертификати е актуализирано. За да проверим, използваме прост, но ефективен пример, описан в бележкатаДоверени корени и неразрешени сертификати .

Нека например да видим дали хранилището за сертификати на компютъра съдържа основния сертификат, използван за издаване на сертификата, който е инсталиран на сайта с името buypass.no (но все още не влизаме в самия сайт :)).

Най-лесният начин да направите това е с PowerShell:

Get-ChildItem cert:\localmachine\root | Къде ( $_ .friendlyname -като " *Buypass* " )

С голяма степен на вероятност няма да имаме такъв коренен сертификат. Ако е така, тогава отворете Internet Explorerи се обърнете към URL адреса https://buypass.no . И ако механизмът за автоматично подновяване на root сертификати, който сме конфигурирали, работи успешно, тогава в регистъра на събитията на Windows Приложениетова ще предизвика събитие с източник ( Източник) CAPI2, което показва, че новият основен сертификат е качен успешно:

Име на регистрационния файл: Приложение

Добър ден, скъпи читатели на блога, бях питан няколко пъти през този месец електронна пощакъдето сертификатите се съхраняват в Windows системи, по-долу ще ви разкажа подробно за този въпрос, ще разгледате структурата на магазина, как да намерите сертификати и къде можете да го използвате на практика, ще бъде особено интересно за тези хора, които често използват EDS (електронен цифров подпис)

Защо да знаете къде се съхраняват сертификатите в windows

Позволете ми да ви дам основните причини, поради които искате да имате тези знания:

  • Трябва да прегледате или инсталирате основния сертификат
  • Трябва да видите или инсталирате личен сертификат
  • Любопитство

По-рано ви казах какво представляват сертификатите и къде можете да ги получите и приложите, съветвам ви да прочетете тази статия, тъй като информацията, съдържаща се в нея, е основна в тази тема.

Във всичко операционна системаЗапочвайки с Windows Vista и до Windows 10 Redstone 2, сертификатите се съхраняват на едно място, някакъв вид контейнер, който е разделен на две части, едната за потребителя и втората за компютъра.

В повечето случаи можете да промените определени настройки в Windows чрез mmc приставки и хранилището за сертификати не е изключение. И така натискаме клавишната комбинация WIN + R и в прозореца, който се отваря, изпълняваме, пишем mmc.

Разбира се, можете да въведете командата certmgr.msc, но по този начин можете да отваряте само лични сертификати

Сега в празна mmc добавка щракнете върху менюто Файл и изберете Добавяне или премахване на добавка (пряк път CTRL+M)

В прозореца Добавяне/Премахване на Snap-Ins, в полето Available Snap-ins, потърсете сертификати и щракнете върху бутона Добавяне.

Тук в мениджъра на сертификати можете да добавите приставки за:

  • моят потребителски акаунт
  • сервизен акаунт
  • компютърен акаунт

Обикновено добавям за потребителски акаунт

и компютър

Компютърът има още допълнителни настройки, той е или локален компютър или отдалечен (в мрежата), изберете текущата и щракнете върху готов.

В крайна сметка получих тази снимка.

Нека незабавно да запазим създадената приставка, за да не се налага следващия път да правим тези стъпки. Отидете в менюто Файл > Запиши като.

Задайте местоположението за запис и това е всичко.

Както можете да видите конзолата за съхранение на сертификати, в моя пример ви показвам на Windows 10 Redstone, уверявам ви, че интерфейсът на прозореца е един и същ навсякъде. Както писах по-рано, има две области Сертификати - текущия потребител и Сертификати (локален компютър)

Сертификати - текущ потребител

Тази област съдържа следните папки:

  1. Лични > лични сертификати (публични или частни ключове), които инсталирате от различни рутокени или етокени, отидете тук
  2. Доверени коренни сертифициращи органи > това са сертификати на сертифициращи органи, като им се доверявате, вие автоматично се доверявате на всички издадени от тях сертификати, те са необходими за автоматична проверка на повечето сертификати в света. Този списък се използва при изграждане на отношения на доверие между CA, той се актуализира на място с актуализации на Windows.
  3. Отношения на доверие в предприятието
  4. Междинни CA
  5. Потребителски обект на Active Directory
  6. Доверени издатели
  7. Сертификати, на които няма доверие
  8. Основни CA на трети страни
  9. Довереници
  10. Доставчици на сертификати за удостоверяване на клиенти
  11. Местни несменяеми сертификати
  12. Доверени коренни сертификати за смарт карта

В личната папка по подразбиране няма сертификати, освен ако не сте ги инсталирали. Инсталирането може да бъде или с токен, или чрез заявка или импортиране на сертификат.

  • PKCS#12 (.PFX, .P12)
  • Стандарт за синтаксис на Cryprograhic Message - PKCS #7 (.p7b) сертификати
  • Магазин за сериализирани сертификати (.SST)

В раздела Trusted Certificate Authorities ще видите впечатляващ списък с root сертификати от най-големите издатели, благодарение на които вашият браузър се доверява на повечето сертификати в сайтовете, защото ако имате доверие на root, тогава всички, на които го е издал.

С двойно щракване можете да видите съдържанието на сертификата.

От действията можете само да ги експортирате, за да можете да ги инсталирате отново на друг компютър.

Експортирането отива в най-често срещаните формати.

Друг интересен списък е списъкът със сертификати, които вече са били анулирани или изтекли.

  • "Други потребители" - съхранение на сертификати на регулаторни органи;
  • "Доверени коренни удостоверяващи органи" и "Междинни удостоверяващи органи" - хранилища за сертификати на сертифициращия орган.

Инсталация лични сертификатиПрави се само с помощта на програмата Crypto Pro.

За да стартирате конзолата, следвайте тези стъпки

1. Изберете менюто "Старт" > "Изпълни" (или на клавиатурата едновременно натиснете клавишите "Win + R").

2. Посочете командата mmc и щракнете върху бутона OK.

3. Изберете менюто Файл > Добавяне или премахване на Snap-in.

4. Изберете добавката „Сертификати“ от списъка и щракнете върху бутона „Добавяне“.

5. В прозореца, който се отваря, изберете бутона за избор "Моят потребителски акаунт" и щракнете върху бутона "Край".

6. Изберете добавеното оборудване от списъка вдясно и щракнете върху бутона OK.

Инсталиране на сертификати

1. Отворете необходимия магазин (например Trusted Root Certification Authorities). За да направите това, отворете клона "Сертификати - текущ потребител" > "Доверени коренни сертифициращи органи" > "Сертификати".

2. Изберете меню "Действие" > "Всички задачи" > "Импортиране".

4. След това щракнете върху бутона "Преглед" и посочете файла със сертификат за импортиране (коренните сертификати на сертифициращия орган могат да бъдат изтеглени от уебсайта на сертифициращия орган, сертификатите на регулаторните органи се намират на уебсайт на системата Kontur.Extern). След като изберете сертификата, трябва да щракнете върху бутона "Отвори", а след това върху бутона "Напред".

5. В следващия прозорец щракнете върху бутона "Напред" (необходимото хранилище се избира автоматично).

6. Щракнете върху бутона "Край", за да завършите импортирането.

Премахване на сертификати

За да изтриете сертификати с помощта на mmc конзолата (например от хранилището за други потребители), трябва да направите следното:

Разгънете клона "Сертификати - текущ потребител" > "Други потребители" > "Сертификати". Всички сертификати, инсталирани в магазина Други потребители, ще бъдат показани в дясната част на прозореца. Маркирайте желания сертификат, щракнете с десния бутон върху него и изберете "Изтриване".

Когато попълват документи или регистрират организация, потребителите срещат грешка - „Не може да се изгради верига от сертификати за доверен коренен център". Ако опитате отново, грешката се появява отново. Какво да направите в тази ситуация, прочетете по-нататък в статията.

Причини за грешка във веригата на сертификати

Грешки могат да възникнат по различни причини - проблеми с интернет от страна на клиента, блокиране софтуер Windows Defender или други антивирусни програми. Освен това, липсата на главен сертификат на сертифициращия орган, проблеми в процеса на криптографски подпис и други.

Поправяне на грешка при създаване на верига от сертификати за доверен главен орган

На първо място, уверете се, че нямате проблеми с вашата интернет връзка. Грешката може да се появи, когато няма достъп. Мрежовият кабел трябва да бъде свързан към компютър или рутер.

  1. Щракнете върху бутона "Старт" и въведете "Команден ред" в полето за търсене.
  2. Изберете го с десния бутон на мишката и щракнете върху "Изпълни като администратор".
  3. Въведете следната команда в прозореца на DOS "ping google.ru".

Когато е свързан интернет, трябва да видите данни за изпратените пакети, скорости на трансфер и друга информация. Ако няма интернет, ще видите, че пакетите не са стигнали до местоназначението си.

Сега нека проверим наличието на основния сертификат на сертифициращия орган. За това:


Ако няма сертификат, трябва да го изтеглите. В повечето случаи той се намира в root сертификати и потребителят трябва само да го инсталира. Също така си струва да запомните, че е най-добре да използвате браузъра Internet Explorer, така че по време на работа да възникват по-малко грешки и неуспехи. Опитайте се да намерите CA в коренните сертификати, след това просто трябва да щракнете върху бутона "Инсталиране", рестартирайте браузъра си и ще решите проблема с грешката - "Не може да се изгради верига от сертификати за доверения root орган. "

Проверка на CA Root сертификат в браузър

Проверката може да се извърши в браузъра.

  1. Изберете "Услуга" от менюто.
  2. След това кликнете върху реда "Интернет опции".
  3. Щракнете върху раздела Съдържание.
  4. Тук трябва да изберете "Сертификати".
  5. Следващ раздел " Доверени центровесертифициране". Основният сертификат на CA трябва да е тук, обикновено в долната част на списъка.

Сега опитайте отново да изпълните стъпките, по време на които е възникнала грешката. За да получите root сертификат, трябва да се свържете със съответния център, откъдето сте получили EP UPC.

Други начини за коригиране на грешката във веригата на сертификати

Помислете как правилно да изтеглите, инсталирате и използвате CryptoPro. За да сте сигурни, че програмата не е инсталирана на вашия компютър (ако има няколко компютърни потребители), трябва да отворите менюто "Старт". След това изберете "Програми" и потърсете в списъка "CryptoPro". Ако не съществува, ще го инсталираме. Можете да изтеглите програмата от връзката https://www.cryptopro.ru/downloads. Тук имате нужда от " CryptoPro CSP» - изберете версия.

В следващия прозорец трябва да видите съобщение за предварителна регистрация.

Инсталиране на CryptoPro

След като инсталационният файл бъде изтеглен, той трябва да се стартира, за да се инсталира на вашия компютър. Системата ще покаже предупреждение, че програмата иска разрешение за промяна на файлове на компютъра, позволете му да го направи.

Преди да инсталирате програмата на вашия компютър, всички ваши токени трябва да бъдат извлечени. Браузърът трябва да бъде конфигуриран да работи, с изключение на браузъра Opera, всички настройки по подразбиране вече са направени в него. Единственото, което остава на потребителя, е да активира специален плъгин за работа. В процеса ще видите съответен прозорец, където Opera предлага да активирате този плъгин.

След като стартирате програмата, ще трябва да въведете ключа в прозореца.

Ще бъде възможно да се намери програма, която да се изпълнява по следния път: "Старт", "Всички програми", "CryptoPro", "CryptoPro CSP". В прозореца, който се отваря, щракнете върху бутона „Въвеждане на лиценз“ и въведете ключа в последната колона. Готов. Сега програмата трябва да бъде конфигурирана съответно за вашите задачи. В някои случаи за електронен подписизползвайте допълнителни помощни програми - CryptoPro Office Signature и CryptoAKM. Можете да коригирате грешката - няма начин да изградите верига от сертификати за доверен root център - като просто преинсталирате CryptoPro. Опитайте това, ако други съвети не са помогнали.

Грешката продължава ли да се появява? Изпратете билет за поддръжка с екранни снимки на вашите стъпки и обяснете подробно ситуацията си.


© 2022 egoist24.ru Платежни системи. Ипотека. банки. Yandex пари. webmoney. Главна информация.