Adăugați certificatul la Autoritățile de certificare rădăcină de încredere. Unde sunt stocate certificatele în sistemele Windows

Instalarea certificatelor autosemnate este o sarcină foarte comună pentru un administrator de sistem. De obicei, acest lucru se face manual, dar dacă există mai mult de o duzină de mașini? Și ce zici când reinstalezi sistemul sau cumperi un PC nou, pentru că pot exista mai multe certificate. Scrieți cheat sheets-mementouri? De ce, când există o modalitate mult mai simplă și mai convenabilă - politicile de grup ActiveDirectory. Odată ce ați configurat o politică, nu mai trebuie să vă faceți griji dacă utilizatorii au certificatele necesare.

Astăzi ne vom uita la distribuția certificatelor folosind certificatul rădăcină Zimbra ca exemplu, pe care l-am exportat în . Sarcina noastră va fi următoarea - distribuiți automat certificatul tuturor computerelor incluse în unitate (OU) - birou. Acest lucru vă va permite să nu instalați certificatul acolo unde nu este necesar: spre nord, depozit și casierie etc.

Deschideți instrumentul și creați noua politicaîntr-un recipient GPO-uri, pentru a face acest lucru, faceți clic dreapta pe container și selectați Crea. Politica vă permite să instalați atât unul cât și mai multe certificate în același timp, ce să faceți depinde de dvs., dar preferăm să ne creăm propria politică pentru fiecare certificat, acest lucru vă permite să modificați regulile pentru aplicarea lor mai flexibil. De asemenea, ar trebui să dați politicii un nume prietenos, astfel încât atunci când deschideți consola după șase luni să nu trebuie să vă amintiți dureros pentru ce este.

Apoi trageți politica în container birou, ceea ce vă va permite să îl aplicați acestei unități.

Acum faceți clic dreapta pe politică și selectați Schimbare. În editorul de politici de grup care se deschide, extindeți Configurare computer - Configurare Windows - Opțiuni de securitate - Politici cheie publice- . În partea dreaptă a ferestrei, în meniu, faceți clic dreapta, selectați Importși importați certificatul.

Politica a fost creată, acum este momentul să verificați dacă este aplicată corect. într-o clipă Managementul politicii de grup alege Modelarea politicilor de grupși rulați cu clic dreapta Expert de simulare.

Majoritatea setărilor pot fi lăsate implicite, singurul lucru care trebuie setat este utilizatorul și computerul pentru care doriți să verificați politica.

După finalizarea simulării, ne putem asigura că politica este aplicată cu succes computerului specificat, altfel deschidem elementul Obiecte respinseși uitați-vă la motivul pentru care politica nu a fost aplicabilă acestui utilizator sau computer.

După aceea, vom verifica funcționarea politicii pe computerul client, pentru aceasta vom actualiza politicile manual cu comanda:

gpupdate

Acum să deschidem depozitul de certificate. Cel mai simplu mod de a face acest lucru este prin Internet Explorer: optiuni de internet -Conţinut -Certificate. Certificatul nostru trebuie să fie prezent în container Autorități de certificare rădăcină de încredere.

După cum puteți vedea, totul funcționează și administratorul are o bătaie de cap mai puțin, certificatul va fi distribuit automat tuturor calculatoarelor plasate în departament birou. Dacă este necesar, puteți stabili condiții mai complexe pentru aplicarea politicii, dar acest lucru depășește deja domeniul de aplicare al acestui articol.

Bună ziua, dragi cititori ai blogului, am fost întrebat de mai multe ori pe parcursul acestei luni în e-mail unde sunt stocate certificatele sisteme windows, mai jos vă voi spune în detaliu despre această problemă, luați în considerare structura de stocare, cum să găsiți certificate și unde le puteți utiliza în practică, va fi deosebit de interesant pentru acele persoane care folosesc adesea EDS (electronic semnatura digitala)

De ce să știi unde sunt stocate certificatele în Windows

Permiteți-mi să vă ofer principalele motive pentru care doriți să aveți aceste cunoștințe:

  • Trebuie să vizualizați sau să instalați certificatul rădăcină
  • Trebuie să vizualizați sau să instalați un certificat personal
  • Curiozitate

Mai devreme, v-am spus ce sunt certificatele și de unde le puteți obține și aplica, vă sfătuiesc să citiți acest articol, deoarece informațiile conținute în el sunt fundamentale în acest subiect.

In toate sisteme de operareÎncepând cu Windows Vista și până la Windows 10 Redstone 2, certificatele sunt stocate într-un singur loc, un fel de container care este împărțit în două părți, una pentru utilizator și a doua pentru computer.

În cele mai multe cazuri, puteți modifica anumite setări în Windows prin intermediul snap-in-urilor mmc, iar depozitul de certificate nu face excepție. Și așa apăsăm combinația de taste WIN + R și în fereastra care se deschide, executăm, scriem mmc.

Desigur, puteți introduce comanda certmgr.msc, dar în acest fel puteți deschide doar certificate personale

Acum, într-un snap-in mmc gol, faceți clic pe meniul Fișier și selectați Adăugați sau eliminați snap-in (comandă rapidă CTRL+M)

În fereastra Adăugare/Eliminare Snap-in-uri, în câmpul Snap-in-uri disponibile, căutați Certificate și faceți clic pe butonul Adăugați.

Aici, în managerul de certificate, puteți adăuga snap-in-uri pentru:

  • contul meu de utilizator
  • cont de serviciu
  • cont de calculator

De obicei adaug pentru cont de utilizator

si calculator

Calculatorul are mai multe setări suplimentare, fie este un computer local, fie unul la distanță (în rețea), selectați-l pe cel curent și faceți clic pe gata.

Până la urmă, am primit această poză.

Să salvăm imediat snap-in-ul creat, astfel încât data viitoare să nu mai fie nevoie să facem acești pași. Accesați meniul Fișier > Salvare ca.

Setați locația de salvare și gata.

După cum puteți vedea consola magazinului de certificate, în exemplul meu vă arăt pe Windows 10 Redstone, vă asigur că interfața ferestrei este aceeași peste tot. După cum am scris mai devreme, există două zone Certificate - utilizatorul actual și Certificate (computer local)

Certificate - utilizator actual

Această zonă conține următoarele foldere:

  1. Personal > certificatele personale (chei publice sau private) pe care le instalați din diverse rutoken-uri sau etoken-uri accesați aici
  2. Trusted Root Certification Authorities > acestea sunt certificate ale autoritatilor de certificare, avand incredere in ele ai incredere automat in toate certificatele emise de acestea, sunt necesare pentru verificarea automata a majoritatii certificatelor din lume. Această listă este utilizată atunci când se construiește relații de încredere între CA, este actualizată cu actualizările Windows.
  3. Relații de încredere în întreprindere
  4. CA intermediare
  5. Obiect utilizator Active Directory
  6. Editori de încredere
  7. Certificate care nu sunt de încredere
  8. CA rădăcină terță parte
  9. confidenti
  10. Furnizori de certificate de autentificare client
  11. Certificate locale neamovibile
  12. Certificate rădăcină de încredere pentru carduri inteligente

În folderul personal, nu există certificate în mod implicit, decât dacă le-ați instalat. Instalarea poate fi fie cu un token, fie prin solicitarea sau importul unui certificat.

  • PKCS#12 (.PFX, .P12)
  • Cryprograhic Message Syntax Standard - Certificate PKCS #7 (.p7b).
  • Magazin de certificate serializate (.SST)

Pe fila centre de încredere certificare, vei vedea o listă impresionantă de certificate rădăcină de la cei mai mari editori, datorită acestora browser-ul tău are încredere în majoritatea certificatelor de pe site-uri, deoarece dacă ai încredere în rădăcină, atunci toți cărora le-a emis.

Făcând dublu clic puteți vedea conținutul certificatului.

Dintre acțiuni, puteți doar să le exportați, astfel încât să le puteți reinstala apoi pe alt computer.

Exportul merge la cele mai comune formate.

O altă listă interesantă este lista certificatelor care au fost deja revocate sau scurse.

Când verificați o semnătură electronică (EDS), computerul dvs. trebuie nu numai să determine perioada de valabilitate a EDS, ci și să înțeleagă cine a emis Semnătura electronică. Fiecare certificat EDS indică autoritatea de certificare (CA) care a emis semnătura. După ce sistemul a „citit” producătorul EDS, trebuie să obțineți informații despre acest producător. Pentru a face acest lucru, pe computerul utilizatorului este instalat un certificat rădăcină.

Dacă certificatul rădăcină al Autorității de Certificare este instalat pe computerul utilizatorului, atunci toate certificatele emise de această CA sunt considerate valide (cu condiția ca perioada de valabilitate a acestora să nu fi expirat încă).

Având în vedere toate cele de mai sus, ajungem la concluzia că pentru a obține certificatul semnatura electronica perceput de sistem ca fiind „valid”, trebuie să instalați certificatele rădăcină ale autorității de certificare care a emis EDS.

Să începem să instalăm certificatul rădăcină:

Înainte de a instala certificatul rădăcină, descărcați-l de pe site-ul centrului de certificare care v-a eliberat EDS-ul sau de pe site-ul nostru în secțiunea: .

1. Faceți dublu clic pe certificatul salvat sau faceți clic dreapta și selectați elementul, așa cum se arată în figură.

2. În fereastra care apare, faceți clic pe butonul „Următorul”.

3. În fereastra următoare, selectați „Plasați toate certificatele în următorul magazin” și faceți clic pe butonul „Răsfoiți...”.

4. În fereastra pop-up, selectați „Autorități de certificare rădăcină de încredere” și faceți clic pe „OK”.

5. Fereastra pop-up se va închide și ar trebui să fiți așa cum se arată în imagine. Dacă informațiile din câmpul „Magazin de certificate” nu apar, reveniți la pașii 3, 4 și repetați acești pași din nou. Dacă totul este afișat așa cum se arată în figură, faceți clic pe „Următorul”.


6. Faceți clic pe „Terminare” când ați terminat.

7. După închiderea ferestrei „Expert de import de certificate”, sistemul poate emite un avertisment despre instalarea certificatelor pe computer. Acest mesaj poate apărea de mai multe ori. Apăsați butonul „DA” de fiecare dată.


8. Dacă mesajul anterior nu apare, faceți clic pe „OK” în fereastra următoare, așa cum se arată în figură.

Felicitări! Acum certificatul rădăcină al Autorității de Certificare a fost instalat cu succes!

Certificatele care sunt utilizate în funcționarea sistemului Kontur Extern pot fi adăugate sau eliminate folosind consola mmc din următoarele depozite:

  • Alți utilizatori(depozitul certificatelor autorităților de reglementare)
  • Autorități de certificare rădăcină de încredereși CA intermediare(magazine de certificate Autoritate certificată).

Instalare certificate personale Se face doar cu ajutorul programului Crypto Pro.

Pentru a lansa consola, procedați în felul următor:

1. Selectați meniul start/ Alerga(sau pe tastatură, apăsați simultan tastele Win+R).

2. Specificați o comandă mmcși apăsați butonul O.K.

3. Selectați meniul Fişier/ Adăugați sau eliminați o clipă(vezi fig. 1).

Orez. 1. Fereastra consolă

4. Selectați un snap-in din listă Certificateși faceți clic pe butonul Adăuga(vezi Fig. 2).

Orez. 2. Adăugarea unui Snap

5. În fereastra care se deschide, setați comutatorul Contul meu de utilizatorși apăsați butonul Gata(Vezi fig. 3).

Orez. 3. Manager de certificate snap-in

6. Selectați echipamentul adăugat din lista din dreapta și faceți clic pe butonul O.K(vezi Fig. 4).

Orez. 4. Selectarea sculelor adăugate


Instalarea certificatelor

1. Deschideți magazinul necesar (de exemplu, Trusted Root Certification Authorities). Pentru a face acest lucru, deschideți ramura Certificate - Utilizator curent / Autorități de certificare rădăcină de încredere / Certificate(Vezi fig. 5).

Orez. 5. Fereastra consolă

2. Selectați meniul Acțiune/ Toate sarcinile / Import(Vezi fig. 6).

Orez. 6. Meniul „Toate sarcinile / Import”

3. În fereastra care se deschide, faceți clic pe butonul Mai departe.

4. Apoi, faceți clic pe butonul Prezentare generalăși specificați fișierul de certificat pentru import (certificate rădăcină Autoritate certificată poate fi descărcat de pe site autoritate de certificare, certificatele autorităților de reglementare sunt pe site-ul web al sistemului Kontur-Extern). După selectarea certificatului, faceți clic pe butonul Deschis(vezi Fig. 7), apoi de butonul Mai departe.

Orez. 7. Selectarea unui certificat de importat

5. În fereastra următoare, faceți clic pe butonul Mai departe(stocarea dorită este selectată automat). Vezi fig. opt.

Orez. 8. Selectați stocare

6. Apăsați butonul Gata pentru a finaliza importul (vezi Figura 9).

Orez. 9. Finalizarea importului certificatului


Eliminarea certificatelor

Pentru a elimina certificatele folosind consola mmc(de exemplu, din stocarea Alți utilizatori), trebuie să faceți următoarele:

Extindeți ramura Certificate - utilizator curent / Alți utilizatori / Certificate. Toate certificatele instalate în magazin vor fi afișate în partea dreaptă a ferestrei Alți utilizatori. Evidențiați certificatul dorit, faceți clic dreapta pe el și selectați Șterge(vezi fig. 10).

Orez. 10. Fereastra consolă

Dacă se deschide o fereastră de securitate a browserului când încercați să stabiliți o conexiune cu cabinetul web (Fig. 1), trebuie să adăugați certificat rădăcină al Moscow Exchange moex.cer la listă certificate de încredere.

Figura 1 - Fereastra de securitate a browserului

Pentru asta ai nevoie de:

  1. introduceți în caseta de căutare Nume fișier Windows certmgr.msc(Fig. 2). Apoi faceți clic stânga pe fișierul găsit. Ca urmare, directorul de sistem al certificatului se va deschide (Fig. 3);

    Figura 2 - căutați directorul de sistem al certificatelor Figura 3 - directorul de sistem al certificatelor
  2. mergi la sectiune Certificate meniul lateral (Fig. 4). Atunci faceți clic dreapta pe folder Certificate iar în meniul contextual care se deschide, selectați elementul Toate sarcinile → Import(Fig. 5).

    Figura 4 - directoare de încredere Figura 5 - importul certificatului

    Ca urmare, se va deschide Expertul de import de certificate(Fig. 6), în care ar trebui să apăsați butonul Mai departe pentru a merge la selecția fișierului certificat moex.cer(Fig. 7);

    Figura 6 - Expertul de import de certificate Figura 7 - caseta de dialog pentru selectarea unui fișier importat

  3. apasa butonul Prezentare generală(vezi Fig. 7, 1) și selectați certificat rădăcină al Moscow Exchange moex.cer. Drept urmare, pe teren Nume de fișier va fi afișată calea către acest fișier (vezi Fig. 7.2). Apoi ar trebui să apăsați butonul Mai departe(vezi Fig. 7.3);
  4. apasa butonul Mai departeîn caseta de dialog Magazin de certificate, fără modificarea parametrilor impliciti (Fig. 8), apoi butonul Gata pentru a finaliza importul certificatului (Figura 9).



    Figura 8 - depozit de certificate Figura 9 - finalizarea importului

Odată ce importul este finalizat, se va deschide o fereastră de securitate Ferestre (Fig. 10). Verificați amprenta cheii. Numărul acestuia trebuie să corespundă cu numărul indicat în figura (10.1). Dacă datele se potrivesc, faceți clic da(Fig. 10.2).



Figura 10 - fereastra de securitate Windows

Ca rezultat, se va deschide o notificare despre importul cu succes. certificat al Bursei din Moscova moex.cer la lista de certificate de încredere (Fig. 11), în care ar trebui să faceți clic pe butonul O.K.


Figura 11 - finalizarea importului


© 2022 egoist24.ru Sisteme de plată. Credit ipotecar. Băncile. Bani Yandex. webmoney. Informatii generale.