¿Dónde se almacenan los certificados en los sistemas Windows? Dónde se almacenan los certificados en sistemas Windows Almacenamiento raíz de confianza

con el problema de la imposibilidad de una correcta implementación del software debido a que el almacén de certificados de las autoridades de certificación raíz de confianza no está actualizado en los equipos de destino con OC Windows (en adelante, por brevedad, llamaremos a este almacén TrustedRootCA). En ese momento, el problema se eliminó al implementar el paquete rootupd.exe disponible en el artículo KB931125 relacionado con el sistema operativo Windows XP. Ahora este sistema operativo se eliminó por completo del soporte de Microsoft, y esta puede ser la razón por la cual este artículo de KB ya no está disponible en el sitio web de Microsoft. A todo esto, podemos agregar el hecho de que aún en ese momento la solución con el despliegue de un paquete de certificados ya obsoleto en ese momento no era la más óptima, ya que entonces los sistemas con SO Windows Vista y ventanas 7, que ya contaba con un nuevo mecanismo para actualizar automáticamente el almacén de certificados TrustedRootCA. Este es uno de los artículos antiguos de Windows Vista que describe algunos aspectos de cómo funciona dicho mecanismo:Compatibilidad con certificados y comunicación por Internet resultante en Windows Vista . Recientemente me encontré nuevamente con el problema original de tener que actualizar el almacén de certificados TrustedRootCA en un grupo de servidores y computadoras cliente basadas en Windows. Todos estos equipos no tienen acceso directo a Internet y por tanto el mecanismo de renovación automática de certificados no realiza su función como nos gustaría. La opción de abrir el acceso directo a Internet a todas las computadoras, incluso a ciertas direcciones, se consideró inicialmente como extrema, y ​​la búsqueda de una solución más aceptable me llevó al artículo.Configurar raíces de confianza y certificados no permitidos(RU ), que respondió inmediatamente a todas mis preguntas. Bueno, en general, con base en este artículo, en esta nota describiré brevemente ejemplo específico cómo puede reconfigurar centralmente en Windows Vista y computadoras superiores este mismo mecanismo para actualizar automáticamente el almacén de certificados TrustedRootCA para que use un recurso compartido de archivos o un sitio web en la red corporativa local como fuente de actualizaciones.

Para empezar, a lo que debes prestar atención es que en las políticas de grupo aplicadas a los equipos no debe estar habilitada la configuración que bloquea el funcionamiento del mecanismo de actualización automática. este es el parametro Desactivar la actualización automática de certificados raíz en el capitulo Configuracion de Computadora > Plantillas Administrativas > Sistema > Gestión de la comunicación en Internet > Configuración de comunicación por Internet. Necesitamos que este parámetro sea Apagado, o solo No configurado.

Si observa el almacén de certificados TrustedRootCA en computadora local, entonces en los sistemas que no tienen acceso directo a Internet, el conjunto de certificados será, digamos, pequeño:

Este archivo es conveniente de usar, por ejemplo, cuando necesita seleccionar solo un determinado conjunto del subconjunto completo de certificados disponibles y cargarlos en un archivo SST separado para su posterior descarga, por ejemplo, usando la consola de administración de certificados local o usando el Consola de administración de directivas de grupo (para importar a alguna directiva de dominio a través de parámetros Configuracion de Computadora > Políticas > Configuración de Windows > Configuraciones de seguridad > Políticas de clave pública > Autoridades de certificación raíz de confianza).

Sin embargo, por la forma en que nos interesa distribuir los certificados raíz, modificando el funcionamiento del mecanismo de actualización automática en las computadoras de los clientes finales, necesitamos una representación ligeramente diferente del conjunto de certificados raíz reales. Puedes obtenerlo usando la misma utilidad. certificado, pero con un juego diferente de llaves.

En nuestro ejemplo, un recurso compartido de red en un servidor de archivos se utilizará como fuente de distribución local. Y aquí es importante prestar atención al hecho de que al preparar una carpeta de este tipo, es imperativo restringir el acceso de escritura para que nadie pueda modificar el conjunto de certificados raíz, que luego se "derramarán" en muchos ordenadores.

certificado-sincronizarConWU -f -f \\SERVIDOR DE ARCHIVOS\COMPARTIR\RootCAupd\GPO-Implementación\

Teclas -f -f se utilizan para forzar la actualización de todos los archivos en el directorio de destino.

Como resultado de ejecutar el comando, aparecerán muchos archivos con un volumen total de aproximadamente medio megabyte en la carpeta de red que especificamos:

De acuerdo con lo mencionado anteriormente artículos , la finalidad de los ficheros es la siguiente:

  • Archivo authrootstl.cab contiene listas de confianza de certificados de terceros;
  • Archivo no permitidocertstl.cab contiene una lista de certificados de confianza con certificados que no son de confianza;
  • Archivo certificado no permitido.sst contiene un almacén de certificados serializados, incluidos los certificados que no son de confianza;
  • Archivos con nombres de tipo huella digital.crt contienen certificados raíz de terceros.

Entonces, se han recibido los archivos necesarios para que funcione el mecanismo de actualización automática, y ahora estamos pasando a implementar un cambio en el esquema de funcionamiento de este mismo mecanismo. Para esto, como siempre, las políticas de grupo de dominio vienen en nuestra ayuda. Directorio Activo (GPO), aunque puede usar otras herramientas de administración centralizada, todo lo que tenemos que hacer en todas las computadoras es cambiar, o mejor dicho, agregar, solo una configuración de registro RootDirURL en una rama HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate, que determinará la ruta a nuestro directorio de red, en el que previamente colocamos un conjunto de archivos de certificados raíz.

Hablando de configurar un GPO, nuevamente, puede usar diferentes opciones para lograr su objetivo. Por ejemplo, hay una opción de "vieja escuela" con la creación de su propia plantilla de política de grupo, como se describe en el ya familiar para nosotros artículo . Para ello crearemos un archivo en formato de plantilla administrativa GPO ( ADM), por ejemplo, con el nombre RootCAUpdateLocalPath.adm y el contenido:

CLASE CATEGORÍA DE MÁQUINA !!SystemCertificates KEYNAME" Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" POLÍTICA !!RootDirURL EXPLICAR !!RootDirURL_help PARTE !!RootDirURL EDITEXT VALUENAME "RootDirURL" FINALIZAR PARTE FINALIZAR POLÍTICA FINALIZAR CATEGORÍA RootDirURL="Dirección URL que se usará en lugar de la predeterminada ctldl.windowsupdate.com" RootDirURL_help="Ingrese un ARCHIVO o URL HTTP para usar como ubicación de descarga de los archivos CTL." SystemCertificates="Configuración de Windows AutoUpdate"

Copiemos este archivo al controlador de dominio en el directorio %SystemRoot%\inf (generalmente el directorio C:\Windows\inf). Después de eso, vayamos al editor de políticas de grupo de dominio y creemos una nueva politica y luego abrirlo para editarlo. en el capitulo Configuracion de Computadora > Plantillas Administrativas… abra el menú contextual y seleccione la opción para conectar una nueva plantilla de política Agregar/eliminar plantillas

En la ventana que se abre, use el botón de exploración para seleccionar el archivo agregado previamente %SystemRoot%\inf\RootCAUpdateLocalPath.adm y después de que la plantilla aparezca en la lista, presione cerca.

Después de la acción en la sección Configuración > Plantillas Administrativas > Plantillas administrativas clásicas (ADM) aparecerá un grupo Configuración de actualización automática de Windows, en el que el único parámetro estará disponible Dirección URL que se usará en lugar de la predeterminada ctldl.windowsupdate.com

Abramos esta opción e ingresemos la ruta al recurso local donde ubicamos los archivos de actualización descargados previamente, en el formato http://server1/folder o file://\\server1\folder ,
Por ejemplo archivo://\\SERVIDOR DE ARCHIVOS\COMPARTIR\RootCAupd\GPO-Implementación

Guardemos los cambios y apliquemos la política creada al contenedor del dominio donde se encuentran los equipos de destino. Sin embargo, el método de configuración de GPO discutido tiene una serie de inconvenientes, por lo que lo llamé "vieja escuela".

Otro método más moderno y avanzado para configurar el registro de clientes es utilizar Preferencias de directiva de grupo (GPP). Con esta opción, podemos crear el objeto GPP correspondiente en la sección de política de grupo Configuracion de Computadora > preferencias > Registro con actualización de parámetros ( acción: actualizar) registro RootDirURL(tipo de valor REG_SZ)

Si es necesario, podemos habilitar un mecanismo de orientación flexible para el parámetro GPP creado (pestaña Común> Opción Orientación a nivel de artículo) en una computadora específica o grupo de computadoras para una prueba preliminar de lo que obtenemos después de aplicar políticas de grupo.

Por supuesto, debe elegir una opción, o conectar su propia ADM-plantilla, o usando GPP.

Después de configurar las políticas de grupo en cualquier equipo cliente experimental, actualizaremos con el comando gpupdate / fuerza seguido de un reinicio. Después de iniciar el sistema, verificaremos en el registro la presencia de la clave creada e intentaremos verificar el hecho de que el almacén de certificados raíz se haya actualizado. Para verificar, usamos un ejemplo simple pero efectivo descrito en la nota.Raíces de confianza y certificados no permitidos .

Por ejemplo, veamos si el almacén de certificados de la computadora contiene el certificado raíz utilizado para emitir el certificado, que está instalado en el sitio con el nombre buypass.no (pero aún no vamos al sitio en sí :)).

La forma más fácil de hacer esto es con Potencia Shell:

Get-Certificado ChildItem:\máquina local\raíz | Donde ( $_ .nombreamigable -como " *Pase de Compra* " )

Con un alto grado de probabilidad, no tendremos dicho certificado raíz. Si es así, entonces abre explorador de Internet y consulte la URL https://buypass.no . Y si el mecanismo de renovación automática de certificados raíz que hemos configurado funciona correctamente, entonces en el registro de eventos de Windows Solicitud esto causará un evento con una fuente ( Fuente) CAPI2, lo que indica que el nuevo certificado raíz se cargó correctamente:

Nombre de registro: Aplicación

Buenas tardes queridos lectores del sitio del blog, me han preguntado varias veces a lo largo de este mes en Email donde los certificados se almacenan en los sistemas de Windows, a continuación le contaré en detalle sobre este tema, considere la estructura de la tienda, cómo encontrar certificados y dónde puede usarlo en la práctica, será especialmente interesante para aquellas personas que usan a menudo EDS (electrónico firma digital)

¿Por qué saber dónde se almacenan los certificados en Windows?

Déjame darte las principales razones por las que quieres tener este conocimiento:

  • Necesita ver o instalar el certificado raíz
  • Necesita ver o instalar un certificado personal
  • Curiosidad

Anteriormente te dije qué son los certificados y dónde puedes obtenerlos y aplicarlos, te aconsejo que leas este artículo, ya que la información que contiene es fundamental en este tema.

En todo sistemas operativos A partir de Windows Vista y hasta Windows 10 Redstone 2, los certificados se almacenan en un solo lugar, una especie de contenedor, que se divide en dos partes, una para el usuario y otra para la computadora.

En la mayoría de los casos, puede cambiar ciertas configuraciones en Windows a través de complementos mmc, y el almacén de certificados no es una excepción. Y entonces presionamos la combinación de teclas WIN + R y en la ventana que se abre, ejecutamos, escribimos mmc.

Por supuesto, puede ingresar el comando certmgr.msc, pero de esta manera solo puede abrir certificados personales

Ahora, en un complemento mmc vacío, haga clic en el menú Archivo y elija Agregar o quitar complemento (atajo de teclado CTRL+M)

En la ventana Agregar o quitar complementos, en el campo Complementos disponibles, busque Certificados y haga clic en el botón Agregar.

Aquí, en el administrador de certificados, puede agregar complementos para:

  • mi cuenta de usuario
  • cuenta de servicio
  • cuenta de computadora

Normalmente agrego para la cuenta de usuario

y computadora

La computadora tiene más configuraciones adicionales, ya sea una computadora local o una remota (en la red), seleccione la actual y haga clic en listo.

Al final, obtuve esta imagen.

Guardemos inmediatamente el complemento creado para que la próxima vez no tengamos que seguir estos pasos. Vaya al menú Archivo > Guardar como.

Establezca la ubicación de guardado y eso es todo.

Como pueden ver la consola del almacén de certificados, en mi ejemplo les muestro en Windows 10 Redstone, les aseguro que la interfaz de la ventana es igual en todos lados. Como escribí anteriormente, hay dos áreas Certificados: el usuario actual y Certificados (computadora local)

Certificados - usuario actual

Esta área contiene las siguientes carpetas:

  1. Personal > certificados personales (claves públicas o privadas) que instalas desde varios rutokens o etokens llegar aquí
  2. Autoridades de certificación raíz de confianza > estos son certificados de autoridades de certificación, al confiar en ellos automáticamente confía en todos los certificados emitidos por ellos, son necesarios para verificar automáticamente la mayoría de los certificados en el mundo. Esta lista se usa cuando se construyen relaciones de confianza entre las CA, se actualiza con las actualizaciones de Windows.
  3. Relaciones de confianza en la empresa.
  4. CA intermedias
  5. Objeto de usuario de Active Directory
  6. Editores de confianza
  7. Certificados que no son de confianza
  8. CA raíz de terceros
  9. Confidentes
  10. Proveedores de certificados de autenticación de clientes
  11. Certificados locales no removibles
  12. Certificados raíz de confianza de tarjetas inteligentes

En la carpeta personal, no hay certificados por defecto, a menos que los haya instalado. La instalación puede ser con un token o solicitando o importando un certificado.

  • PKCS#12 (.PFX, .P12)
  • Estándar de sintaxis de mensajes criptográficos - Certificados PKCS #7 (.p7b)
  • Almacén de certificados serializados (.SST)

En la pestaña Autoridades de certificación de confianza, verá una lista impresionante de certificados raíz de los editores más grandes, gracias a los cuales su navegador confía en la mayoría de los certificados en los sitios, porque si confía en la raíz, entonces todos a quienes se los emitió.

Haciendo doble clic se puede ver el contenido del certificado.

De las acciones, solo puede exportarlas, para luego poder reinstalarlas en otra computadora.

La exportación va a los formatos más comunes.

Otra lista interesante es la lista de certificados que ya han sido revocados o filtrados.

  • "Otros usuarios" - almacenamiento de certificados de autoridades reguladoras;
  • "Autoridades de certificación raíz de confianza" y "Autoridades de certificación intermedias": almacenes de certificados de la Autoridad de certificación.

Instalación certificados personales Está hecho solo con la ayuda del programa Crypto Pro.

Para iniciar la consola, siga estos pasos

1. Seleccione el menú "Inicio" > "Ejecutar" (o en el teclado, presione simultáneamente las teclas "Win + R").

2. Especifique el comando mmc y haga clic en el botón Aceptar.

3. Seleccione el menú Archivo > Agregar o quitar complemento.

4. Seleccione el complemento "Certificados" de la lista y haga clic en el botón "Agregar".

5. En la ventana que se abre, seleccione el botón de opción "Mi cuenta de usuario" y haga clic en el botón "Finalizar".

6. Seleccione el equipo agregado de la lista de la derecha y haga clic en el botón Aceptar.

Instalación de certificados

1. Abra la tienda necesaria (por ejemplo, Autoridades de certificación raíz de confianza). Para ello, abra la rama "Certificados - usuario actual" > "Autoridades de certificación raíz de confianza" > "Certificados".

2. Seleccione el menú "Acción" > "Todas las tareas" > "Importar".

4. A continuación, haga clic en el botón "Examinar" y especifique el archivo de certificado para importar (los certificados raíz de la Autoridad de Certificación se pueden descargar del sitio web de la Autoridad de Certificación, los certificados de las autoridades reguladoras se encuentran en sitio web del sistema Kontur.Extern). Después de seleccionar el certificado, debe hacer clic en el botón "Abrir", y luego en el botón "Siguiente".

5. En la siguiente ventana, haga clic en el botón "Siguiente" (el almacenamiento requerido se selecciona automáticamente).

6. Haga clic en el botón "Finalizar" para completar la importación.

Eliminación de certificados

Para eliminar certificados usando la consola mmc (por ejemplo, desde el almacenamiento de Otros usuarios), debe hacer lo siguiente:

Expanda la rama "Certificados - usuario actual" > "Otros usuarios" > "Certificados". Todos los certificados instalados en el almacén de Otros Usuarios se mostrarán en la parte derecha de la ventana. Resalte el certificado deseado, haga clic derecho sobre él y seleccione "Eliminar".

Al completar documentos o registrar una organización, los usuarios encuentran un error: "No se puede crear una cadena de certificados para una empresa de confianza". centro de la raíz". Si vuelves a intentarlo, vuelve a aparecer el error. Qué hacer en esta situación, lea más en el artículo.

Causas de un error en la cadena de certificados

Los errores pueden ocurrir por varias razones: problemas con Internet en el lado del cliente, bloqueo software Windows Defender u otros antivirus. Además, la ausencia del certificado raíz de la Autoridad de Certificación, problemas en el proceso de firma criptográfica, entre otros.

Corrección de un error al crear una cadena de certificados para una autoridad raíz de confianza

En primer lugar, asegúrese de que no tiene problemas con su conexión a Internet. El error puede aparecer cuando no hay acceso. El cable de red debe estar conectado a una computadora o enrutador.

  1. Haga clic en el botón "Inicio" y escriba "Símbolo del sistema" en el cuadro de búsqueda.
  2. Selecciónelo con el botón derecho del mouse y haga clic en "Ejecutar como administrador".
  3. Ingrese el siguiente comando en la ventana de DOS "ping google.ru".

Cuando Internet está conectado, debería ver datos sobre paquetes enviados, velocidades de transferencia y otra información. Si no hay Internet, verás que los paquetes no llegaron a su destino.

Ahora vamos a comprobar la disponibilidad del certificado raíz de la Autoridad de Certificación. Para esto:


Si no hay certificado, debe descargarlo. En la mayoría de los casos, se encuentra en los certificados raíz y el usuario solo necesita instalarlo. También vale la pena recordar que es mejor usar el navegador Internet Explorer para que ocurran menos errores y fallas durante el trabajo. Intente encontrar la CA en los certificados raíz, luego solo tiene que hacer clic en el botón "Instalar", reiniciar su navegador y resolverá el problema con el error: "No se puede crear una cadena de certificados para la autoridad raíz de confianza". "

Comprobación del certificado raíz de CA en un navegador

La comprobación se puede hacer en el navegador.

  1. Seleccione "Servicio" en el menú.
  2. A continuación, haga clic en la línea "Opciones de Internet".
  3. Haga clic en la pestaña Contenido.
  4. Aquí debe seleccionar "Certificados".
  5. Pestaña siguiente " Centros de confianza Certificación". El certificado raíz de CA debe estar aquí, generalmente al final de la lista.

Ahora intente nuevamente realizar los pasos durante los cuales ocurrió el error. Para obtener un certificado raíz, debe ponerse en contacto con el centro correspondiente donde recibió la EP UPC.

Otras formas de corregir el error de la cadena de certificados

Considere cómo descargar, instalar y usar CryptoPro correctamente. Para asegurarse de que el programa no esté instalado en su PC (si hay varios usuarios de la computadora), debe abrir el menú Inicio. Luego seleccione "Programas" y busque en la lista "CryptoPro". Si no existe, lo instalaremos. Puede descargar el programa desde el enlace https://www.cryptopro.ru/downloads. Aquí necesitas " CryptoPro CSP» - seleccione la versión.

En la siguiente ventana, debería ver un mensaje de preinscripción.

Instalación de CryptoPro

Una vez que se descarga el archivo de instalación, debe ejecutarlo para instalarlo en su computadora. El sistema mostrará una advertencia de que el programa está solicitando permiso para modificar archivos en la PC, permita que lo haga.

Antes de instalar el programa en su computadora, todos sus tokens deben ser extraídos. El navegador debe estar configurado para funcionar, con la excepción del navegador Opera, todas las configuraciones predeterminadas ya se han realizado en él. Lo único que le queda al usuario es activar un complemento especial para el trabajo. En el proceso, verá una ventana correspondiente donde Opera ofrece activar este complemento.

Después de iniciar el programa, deberá ingresar la clave en la ventana.

Será posible encontrar un programa para ejecutar a lo largo de la siguiente ruta: "Inicio", "Todos los programas", "CryptoPro", "CryptoPro CSP". En la ventana que se abre, haga clic en el botón "Ingresar licencia" e ingrese la clave en la última columna. Listo. Ahora el programa debe configurarse en consecuencia para sus tareas. En algunos casos, por firma electronica use utilidades adicionales: CryptoPro Office Signature y CryptoAKM. Puede corregir el error (no hay forma de crear una cadena de certificados para un centro raíz de confianza) simplemente reinstalando CryptoPro. Prueba esto si otros consejos no te han ayudado.

¿Sigue apareciendo el error? Envíe un ticket de soporte con capturas de pantalla de sus pasos y explique su situación en detalle.


© 2022 egoist24.ru Sistemas de pago. Hipoteca. Bancos. Dinero Yandex. dinero web. Información general.