Agregue el certificado a las autoridades de certificación raíz de confianza. ¿Dónde se almacenan los certificados en los sistemas de Windows?

La instalación de certificados autofirmados es una tarea muy común para un administrador de sistemas. Por lo general, esto se hace manualmente, pero ¿si hay más de una docena de máquinas? Y qué decir a la hora de reinstalar el sistema o comprar un nuevo PC, porque puede haber más de un certificado. ¿Escribir hojas de trucos-recordatorios? Por qué, cuando hay una manera mucho más simple y conveniente: las políticas de grupo de ActiveDirectory. Una vez que configura la política, ya no tiene que preocuparse por si los usuarios tienen los certificados necesarios.

Hoy veremos la distribución de certificados utilizando como ejemplo el certificado raíz de Zimbra, que exportamos a . Nuestra tarea será la siguiente: distribuir automáticamente el certificado a todas las computadoras incluidas en la unidad (OU) - oficina. Esto le permitirá no instalar el certificado donde no se necesita: al norte, estaciones de trabajo de almacén y caja, etc.

Abra la herramienta y cree nueva politica en un contenedor GPO, para hacer esto, haga clic derecho en el contenedor y seleccione Crear. La política le permite instalar tanto uno como varios certificados al mismo tiempo, usted decide qué hacer, pero preferimos crear nuestra propia política para cada certificado, esto le permite cambiar las reglas para su aplicación de manera más flexible. También debe darle a la política un nombre descriptivo para que cuando abra la consola después de seis meses no tenga que recordar dolorosamente para qué sirve.

A continuación, arrastre la política al contenedor. oficina, que le permitirá aplicarlo a esta unidad.

Ahora haga clic derecho en la política y seleccione Cambio. En el editor de políticas de grupo que se abre, expanda Configuracion de Computadora - Configuración de Windows - Opciones de seguridad - Políticas de clave pública- . En la parte derecha de la ventana, en el menú, haga clic derecho, seleccione Importar e importar el certificado.

La política ha sido creada, ahora es el momento de comprobar que se está aplicando correctamente. en un instante Administración de Políticas de Grupo escoger Modelado de políticas de grupo y ejecutar con el botón derecho Asistente de simulación.

La mayoría de las configuraciones se pueden dejar como predeterminadas, lo único que debe configurarse es el usuario y la computadora para la que desea verificar la política.

Después de completar la simulación, podemos asegurarnos de que la política se aplique con éxito a la computadora especificada; de lo contrario, expandiremos el elemento Objetos rechazados y analice el motivo por el cual la política no se aplicaba a este usuario o computadora.

Luego de eso, comprobaremos el funcionamiento de la política en la PC cliente, para ello actualizaremos las políticas manualmente con el comando:

gpupdate

Ahora abramos el almacén de certificados. La forma más fácil de hacerlo es a través de explorador de Internet: opciones de Internet -Contenido -Certificados. Nuestro certificado debe estar presente en el contenedor. Autoridades de certificación raíz de confianza.

Como puede ver, todo funciona y un dolor de cabeza menos para el administrador, el certificado se distribuirá automáticamente a todas las computadoras ubicadas en el departamento. oficina. Si es necesario, puede establecer condiciones más complejas para aplicar la política, pero esto ya está fuera del alcance de este artículo.

Buenas tardes queridos lectores del sitio del blog, me han preguntado varias veces a lo largo de este mes en Email donde se almacenan los certificados sistemas de ventanas, a continuación le contaré en detalle sobre este tema, considere la estructura de almacenamiento, cómo encontrar certificados y dónde puede usarlo en la práctica, será especialmente interesante para aquellas personas que usan a menudo EDS (electronic firma digital)

¿Por qué saber dónde se almacenan los certificados en Windows?

Déjame darte las principales razones por las que quieres tener este conocimiento:

  • Necesita ver o instalar el certificado raíz
  • Necesita ver o instalar un certificado personal
  • Curiosidad

Anteriormente te dije qué son los certificados y dónde puedes obtenerlos y aplicarlos, te aconsejo que leas este artículo, ya que la información que contiene es fundamental en este tema.

En todo sistemas operativos A partir de Windows Vista y hasta Windows 10 Redstone 2, los certificados se almacenan en un solo lugar, una especie de contenedor, que se divide en dos partes, una para el usuario y otra para la computadora.

En la mayoría de los casos, puede cambiar ciertas configuraciones en Windows a través de complementos mmc, y el almacén de certificados no es una excepción. Y entonces presionamos la combinación de teclas WIN + R y en la ventana que se abre, ejecutamos, escribimos mmc.

Por supuesto, puede ingresar el comando certmgr.msc, pero de esta manera solo puede abrir certificados personales

Ahora, en un complemento mmc vacío, haga clic en el menú Archivo y elija Agregar o quitar complemento (atajo de teclado CTRL+M)

En la ventana Agregar o quitar complementos, en el campo Complementos disponibles, busque Certificados y haga clic en el botón Agregar.

Aquí, en el administrador de certificados, puede agregar complementos para:

  • mi cuenta de usuario
  • cuenta de servicio
  • cuenta de computadora

Normalmente agrego para la cuenta de usuario

y computadora

La computadora tiene más configuraciones adicionales, ya sea una computadora local o una remota (en la red), seleccione la actual y haga clic en listo.

Al final, obtuve esta imagen.

Guardemos inmediatamente el complemento creado para que la próxima vez no tengamos que seguir estos pasos. Vaya al menú Archivo > Guardar como.

Establezca la ubicación de guardado y eso es todo.

Como pueden ver la consola del almacén de certificados, en mi ejemplo les muestro en Windows 10 Redstone, les aseguro que la interfaz de la ventana es igual en todos lados. Como escribí anteriormente, hay dos áreas Certificados: el usuario actual y Certificados (computadora local)

Certificados - usuario actual

Esta área contiene las siguientes carpetas:

  1. Personal > certificados personales (claves públicas o privadas) que instala desde varios rutokens o etokens vaya aquí
  2. Autoridades de certificación raíz de confianza > estos son certificados de autoridades de certificación, al confiar en ellos automáticamente confía en todos los certificados emitidos por ellos, son necesarios para verificar automáticamente la mayoría de los certificados en el mundo. Esta lista se usa cuando se construyen relaciones de confianza entre las CA, se actualiza con las actualizaciones de Windows.
  3. Relaciones de confianza en la empresa.
  4. CA intermedias
  5. Objeto de usuario de Active Directory
  6. Editores de confianza
  7. Certificados que no son de confianza
  8. CA raíz de terceros
  9. Confidentes
  10. Proveedores de certificados de autenticación de clientes
  11. Certificados locales no removibles
  12. Certificados raíz de confianza de tarjeta inteligente

En la carpeta personal, no hay certificados por defecto, a menos que los haya instalado. La instalación puede ser con un token o solicitando o importando un certificado.

  • PKCS#12 (.PFX, .P12)
  • Estándar de sintaxis de mensajes criptográficos - Certificados PKCS #7 (.p7b)
  • Almacén de certificados serializados (.SST)

en la pestaña centros de confianza certificación, verá una lista impresionante de certificados raíz de los editores más grandes, gracias a ellos su navegador confía en la mayoría de los certificados en los sitios, porque si confía en la raíz, entonces todos a quienes se los emitió.

Haciendo doble clic se puede ver el contenido del certificado.

De las acciones, solo puede exportarlas, para luego poder reinstalarlas en otra computadora.

La exportación va a los formatos más comunes.

Otra lista interesante es la lista de certificados que ya han sido revocados o filtrados.

Al verificar una Firma electrónica (EDS), su computadora no solo debe determinar el período de validez de su EDS, sino también comprender quién emitió la Firma electrónica. Cada certificado EDS indica qué Autoridad de Certificación (CA) emitió la firma. Después de que el sistema haya "leído" el fabricante de la firma digital, debe obtener información sobre este fabricante. Para ello, se instala un certificado raíz en el ordenador del usuario.

Si el certificado raíz de la Autoridad de Certificación está instalado en el equipo del usuario, todos los certificados emitidos por esta CA se consideran válidos (siempre que su período de validez aún no haya expirado).

Considerando todo lo anterior, llegamos a la conclusión de que para que el certificado firma electronica percibido por el sistema como "válido", es necesario instalar los certificados raíz de la Autoridad de Certificación que emitió el EDS.

Empecemos a instalar el certificado raíz:

Antes de instalar el certificado raíz, descárguelo del sitio web del centro de certificación que le emitió el EDS o de nuestro sitio web en la sección: .

1. Haga doble clic en el certificado guardado o haga clic con el botón derecho y seleccione el elemento, como se muestra en la figura.

2. En la ventana que aparece, haga clic en el botón "Siguiente".

3. En la siguiente ventana, seleccione "Colocar todos los certificados en el siguiente almacén" y haga clic en el botón "Examinar...".

4. En la ventana emergente, seleccione "Autoridades de certificación raíz de confianza" y haga clic en "Aceptar".

5. La ventana emergente se cerrará y debería estar como se muestra en la imagen. Si la información en el campo "Almacenamiento de certificados" no aparece, vuelva a los pasos 3, 4 y repita estos pasos nuevamente. Si todo se muestra como se muestra en la figura, haga clic en "Siguiente".


6. Haga clic en "Finalizar" cuando haya terminado.

7. Después de cerrar la ventana "Asistente de importación de certificados", el sistema puede emitir una advertencia sobre la instalación de certificados en su computadora. Este mensaje puede aparecer varias veces. Pulse el botón "SÍ" cada vez.


8. Si no aparece el mensaje anterior, haga clic en "Aceptar" en la siguiente ventana, como se muestra en la figura.

¡Felicidades! ¡Ahora el certificado raíz de la Autoridad de Certificación se ha instalado con éxito!

Los certificados que se utilizan en el funcionamiento del sistema Kontur Extern se pueden agregar o eliminar mediante la consola mmc de los siguientes repositorios:

  • Otros usuarios(repositorio de certificados de autoridades reguladoras)
  • Autoridades de certificación raíz de confianza y CA intermedias(tiendas de certificados Autoridad certificada).

Instalación certificados personales Está hecho solo con la ayuda del programa Crypto Pro.

Para iniciar la consola, haga lo siguiente:

1. Seleccionar menú Comienzo/ Correr(o en el teclado, presione simultáneamente las teclas Ganar+R).

2. Especifique un comando mmc y presiona el boton OK.

3. Seleccionar menú Archivo/ Agregar o quitar un complemento(ver figura 1).

Arroz. 1. Ventana de la consola

4. Seleccione un complemento de la lista Certificados y haga clic en el botón Agregar(ver Fig. 2).

Arroz. 2. Agregar un complemento

5. En la ventana que se abre, configure el interruptor mi cuenta de usuario y presiona el boton Listo(Ver Fig. 3).

Arroz. 3. Administrador de certificados de complemento

6. Seleccione el equipo agregado de la lista de la derecha y haga clic en el botón OK(ver Fig. 4).

Arroz. 4. Selección de las herramientas añadidas


Instalación de certificados

1. Abra la tienda necesaria (por ejemplo, Autoridades de certificación raíz de confianza). Para hacer esto, abra la rama Certificados - Usuario actual / Autoridades de certificación raíz de confianza / Certificados(Ver Fig. 5).

Arroz. 5. Ventana de la consola

2. Seleccionar menú Acción/ Todas las tareas / Importar(Ver Fig. 6).

Arroz. 6. Menú "Todas las tareas / Importar"

3. En la ventana que se abre, haga clic en el botón Más.

4. A continuación, haga clic en el botón Descripción general y especifique el archivo de certificado para la importación (certificados raíz Autoridad certificada se puede descargar desde el sitio autoridad de certificación, los certificados de las autoridades reguladoras se encuentran en el sitio web del sistema Kontur-Extern). Después de seleccionar el certificado, haga clic en el botón Abierto(ver Fig. 7), y luego con el botón Más.

Arroz. 7. Seleccionar un certificado para importar

5. En la siguiente ventana, haga clic en el botón Más(el almacenamiento deseado se selecciona automáticamente). Véase la figura. ocho.

Arroz. 8. Seleccionar almacenamiento

6. Presione el botón Listo para completar la importación (ver Figura 9).

Arroz. 9. Completar la importación del certificado


Eliminación de certificados

Para eliminar certificados mediante la consola mmc(por ejemplo, desde el almacenamiento de Otros usuarios), debe hacer lo siguiente:

Expandir rama Certificados - usuario actual / Otros usuarios / Certificados. Todos los certificados instalados en la tienda se mostrarán en la parte derecha de la ventana Otros usuarios. Resalte el certificado deseado, haga clic derecho sobre él y seleccione Borrar(ver figura 10).

Arroz. 10. Ventana de la consola

Si se abre una ventana de seguridad del navegador al intentar establecer una conexión con el gabinete web (Fig. 1), debe agregar certificado raíz de la Bolsa de Moscú moex.cer a la lista certificados de confianza.

Figura 1 - Ventana de seguridad del navegador

Para esto necesitas:

  1. ingrese en el campo de búsqueda nombre de archivo de Windows certmgr.msc(Figura 2). Luego haga clic izquierdo en el archivo encontrado. Como resultado, se abrirá el directorio del sistema del certificado (Fig. 3);

    Figura 2: busque el directorio del sistema de certificados Figura 3 - directorio del sistema de certificados
  2. ir a la sección Certificados menú lateral (Fig. 4). Entonces clic derecho en la carpeta Certificados y en el menú contextual que se abre, seleccione el elemento Todas las tareas→Importar(Figura 5).

    Figura 4: directorios de confianza Figura 5: importación de certificados

    Como resultado, se abrirá Asistente de importación de certificados(Fig. 6), en la que deberá pulsar el botón Más para ir a la selección de archivos de certificados moex.cer(Figura 7);

    Figura 6 - Asistente de importación de certificados Figura 7 - cuadro de diálogo para seleccionar un archivo importado

  3. presiona el botón Descripción general(ver Fig. 7, 1) y seleccione certificado raíz de la Bolsa de Moscú moex.cer. Como resultado, en el campo Nombre del archivo se mostrará la ruta a este archivo (ver Fig. 7.2). Entonces debes presionar el botón Más(ver Fig. 7.3);
  4. presiona el botón Más en el cuadro de diálogo Almacén de certificados, sin cambiar los parámetros predeterminados (Fig. 8), luego el botón Listo para completar la importación del certificado (Figura 9).



    Figura 8: almacén de certificados Figura 9: finalización de la importación

Una vez completada la importación, se abrirá una ventana de seguridad. Ventanas (Fig. 10). Compruebe la huella dactilar de la llave. Su número debe coincidir con el número indicado en la figura (10.1). Si los datos coinciden, haga clic en (Figura 10.2).



Figura 10 - ventana de seguridad ventanas

Como resultado, se abrirá una notificación sobre la importación exitosa. certificado de la Bolsa de Moscú moex.cer a la lista de certificados de confianza (Fig. 11), en la que debe hacer clic en el botón OK.


Figura 11: finalización de la importación


© 2022 egoist24.ru Sistemas de pago. Hipoteca. Bancos. Dinero Yandex. dinero web. Información general.