Unde sunt stocate certificatele în sistemele Windows. Unde sunt stocate certificatele în sistemele Windows Stocare rădăcină de încredere

cu problema imposibilității implementării corecte a software-ului din cauza faptului că depozitul de certificate al autorităților de certificare rădăcină de încredere nu este actualizat pe computerele țintă cu OC Windows (în continuare, pentru concizie, vom numi acest magazin TrustedRootCA). La acel moment, problema a fost eliminată prin implementarea pachetului rootsupd.exe disponibil in articol KB931125 legate de OS Windows XP. Acum, acest sistem de operare este complet eliminat din suportul Microsoft și acesta poate fi motivul pentru care acest articol KB nu mai este disponibil pe site-ul Microsoft. La toate acestea, putem adăuga și faptul că nici la acea vreme soluția cu implementarea unui pachet de certificate deja învechit la acel moment nu era cea mai optimă, de atunci sisteme cu OS Windows Vistași Windows 7, care avea deja un nou mecanism pentru actualizarea automată a depozitului de certificate TrustedRootCA. Iată unul dintre vechile articole Windows Vista care descrie unele aspecte ale modului în care funcționează un astfel de mecanism -Asistență pentru certificat și comunicare prin Internet rezultată în Windows Vista . Recent, am întâlnit din nou problema inițială de a actualiza magazinul de certificate TrustedRootCA pe o mulțime de computere și servere client bazate pe Windows. Toate aceste computere nu au acces direct la Internet și, prin urmare, mecanismul de reînnoire automată a certificatelor nu își îndeplinește sarcina așa cum ne-am dori. Opțiunea de deschidere a accesului direct la internet la toate computerele, chiar și la anumite adrese, a fost considerată inițial ca extremă, iar căutarea unei soluții mai acceptabile m-a condus la articolConfigurați rădăcini de încredere și certificate nepermise(RU ), care mi-a răspuns imediat la toate întrebările. Ei bine, în general, pe baza acestui articol, în această notă voi sublinia pe scurt exemplu concret cum puteți reconfigura centralizat pe Windows Vista și pe computerele superioare, același mecanism pentru actualizarea automată a depozitului de certificate TrustedRootCA, astfel încât să folosească o partajare de fișiere sau un site web din rețeaua corporativă locală ca sursă de actualizări.

Pentru început, la ce trebuie să fii atent este că în politicile de grup aplicate computerelor, setarea care blochează funcționarea mecanismului de actualizare automată nu ar trebui să fie activată. Acesta este parametrul Dezactivați Actualizarea automată a certificatelor rădăcinăÎn capitolul Configurarea computerului > Șabloane administrative > Sistem > Managementul comunicațiilor prin Internet > Setări de comunicare prin Internet. Avem nevoie de acest parametru Inchis, sau doar Neconfigurat.

Dacă vă uitați la magazinul de certificate TrustedRootCA sub calculator local, apoi pe sistemele care nu au acces direct la Internet, setul de certificate va fi, să zicem, mic:

Acest fișier este convenabil de utilizat, de exemplu, atunci când trebuie să selectați doar un anumit set din întregul subset de certificate disponibile și să le încărcați într-un fișier SST separat pentru descărcare ulterioară, de exemplu, folosind consola locală de gestionare a certificatelor sau folosind Consola de gestionare a politicilor de grup (pentru importarea într-o anumită politică sau a domeniului prin parametru Configurarea computerului > Politici > Setări Windows > Setări de securitate > Politici cheie publice > Autorități de certificare rădăcină de încredere).

Totuși, pentru modul în care suntem interesați de distribuirea certificatelor rădăcină, prin modificarea funcționării mecanismului de actualizare automată pe computerele clientului final, avem nevoie de o reprezentare puțin diferită a setului de certificate rădăcină reale. Îl puteți obține folosind același utilitar certutil, dar cu un set diferit de chei.

În exemplul nostru, o partajare de rețea pe un server de fișiere va fi folosită ca sursă de distribuție locală. Și aici este important să acordăm atenție faptului că atunci când pregătiți un astfel de folder, este imperativ să restricționați accesul la scriere, astfel încât să nu se întâmple ca cineva să poată modifica setul de certificate rădăcină, care vor fi apoi „vărsate” peste multe calculatoare.

certutil-syncWithWU -f -f \\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment\

Chei -f -f sunt folosite pentru a forța actualizarea tuturor fișierelor din directorul de destinație.

Ca urmare a executării comenzii, o mulțime de fișiere cu un volum total de aproximativ jumătate de megaoctet vor apărea în folderul de rețea pe care l-am specificat:

Conform celor menționate anterior articole , scopul dosarelor este următorul:

  • Fişier authrootstl.cab conține liste de încredere pentru certificate de la terți;
  • Fişier disallowedcertstl.cab conține o listă de încredere a certificatelor cu certificate care nu sunt de încredere;
  • Fişier disallowedcert.sst conține un depozit de certificate serializate, inclusiv certificate nede încredere;
  • Fișiere cu nume de tip amprenta.crt conțin certificate rădăcină terță parte.

Deci, fișierele necesare pentru ca mecanismul de actualizare automată să funcționeze au fost primite, iar acum trecem la implementarea unei schimbări în schema de funcționare a acestui mecanism. Pentru aceasta, ca întotdeauna, politicile de grup de domenii ne vin în ajutor. Director activ (GPO), deși puteți folosi alte instrumente de management centralizat, tot ce trebuie să facem pe toate computerele este să modificăm, sau mai degrabă să adăugăm, doar o singură setare de registry RootDirURLîntr-o ramură HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate, care va determina calea către directorul nostru de rețea, în care am plasat anterior un set de fișiere de certificat rădăcină.

Vorbind despre configurarea unui GPO, din nou, puteți utiliza diferite opțiuni pentru a vă atinge obiectivul. De exemplu, există o opțiune „vechea școală” cu crearea propriului șablon de politică de grup, deoarece aceasta este descrisă în documentul deja familiar. articol . Pentru a face acest lucru, vom crea un fișier în formatul șablonului administrativ GPO ( ADM), de exemplu, cu numele RootCAUpdateLocalPath.adm și conținutul:

CLASĂ CATEGORIA MAȘINĂ !!SystemCertificates KEYNAME" Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" POLICY !!RootDirURL EXPLAIN !!RootDirURL_help PART !!RootDirURL EDITTEXT VALUENAME "RootDirURL" END PART END POLICY END CATEGORY RootDirURL="Adresa URL care va fi folosită în loc de ctldl.windowsupdate.com implicită" RootDirILE_help="Enter URL_help="Enter URL pentru a utiliza ca locație de descărcare a fișierelor CTL." SystemCertificates="Setări de actualizare automată Windows"

Să copiem acest fișier în controlerul de domeniu din directorul %SystemRoot%\inf (de obicei, directorul C:\Windows\inf). După aceea, să mergem la editorul de politici de grup de domenii și să creăm un separat noua politica, apoi deschizându-l pentru editare. În capitolul Configurarea computerului > Șabloane administrative... deschideți meniul contextual și selectați opțiunea pentru a conecta un nou șablon de politică Adăugați/Eliminați șabloane

În fereastra care se deschide, utilizați butonul de răsfoire pentru a selecta fișierul adăugat anterior %SystemRoot%\inf\RootCAUpdateLocalPath.adm, iar după ce șablonul apare în listă, apăsați închide.

După acţiunea din secţiune Configurare > Șabloane administrative > Șabloane administrative clasice (ADM) va apărea un grup Setări Windows AutoUpdate, în care singurul parametru va fi disponibil Adresă URL care trebuie utilizată în locul ctldl.windowsupdate.com implicit

Să deschidem această opțiune și să introducem calea către resursa locală în care am localizat fișierele de actualizare descărcate anterior, în formatul http://server1/folder sau file://\\server1\folder ,
De exemplu file://\\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment

Să salvăm modificările și să aplicăm politica creată containerului de domeniu în care se află computerele țintă. Cu toate acestea, metoda de configurare GPO discutată are o serie de dezavantaje, motiv pentru care am numit-o „vechea școală”.

O altă metodă, mai modernă și mai avansată de configurare a registrului clientului este utilizarea Preferințele politicii de grup (GPP). Cu această opțiune, putem crea obiectul GPP corespunzător în secțiunea de politici de grup Configurarea computerului > Preferințe > Registru cu actualizare a parametrilor ( acțiune: Actualizați) registru RootDirURL(tipul valorii REG_SZ)

Dacă este necesar, putem activa un mecanism de direcționare flexibil pentru parametrul GPP creat (Tab Uzual> Opțiune Direcționare la nivel de articol) pe un anumit computer sau grup de computere pentru testarea preliminară a ceea ce ajungem după aplicarea politicilor de grup.

Desigur, trebuie să alegeți o opțiune sau să vă conectați pe propria dvs ADM-șablon, sau folosind GPP.

După configurarea politicilor de grup pe orice computer client experimental, vom actualiza cu comanda gpupdate /force urmată de o repornire. După pornirea sistemului, vom verifica în registru prezența cheii create și vom încerca să verificăm dacă depozitul de certificate rădăcină a fost actualizat. Pentru a verifica, folosim un exemplu simplu, dar eficient, descris în notăRădăcini de încredere și certificate nepermise .

De exemplu, să vedem dacă depozitul de certificate al computerului conține certificatul rădăcină folosit pentru eliberarea certificatului, care este instalat pe site cu numele buypass.no (dar nu mergem încă pe site-ul în sine :)).

Cel mai simplu mod de a face acest lucru este cu PowerShell:

Get-ChildItem cert:\localmachine\root | Unde ( $_ .friendlyname -cum ar fi " *Buypass* " )

Cu un grad mare de probabilitate, nu vom avea un astfel de certificat de rădăcină. Dacă da, atunci deschide Internet Explorerși consultați adresa URL https://buypass.no . Și dacă mecanismul de reînnoire automată a certificatelor rădăcină pe care l-am configurat funcționează cu succes, atunci în jurnalul de evenimente Windows Aplicație aceasta va provoca un eveniment cu o sursă ( Sursă) CAPI2, indicând că noul certificat rădăcină a fost încărcat cu succes:

Nume jurnal: Aplicație

Bună ziua, dragi cititori ai blogului, am fost întrebat de mai multe ori pe parcursul acestei luni în e-mail unde sunt stocate certificatele în sistemele Windows, mai jos vă voi spune în detaliu despre această problemă, luați în considerare structura magazinului, cum să găsiți certificate și unde le puteți utiliza în practică, va fi deosebit de interesant pentru acele persoane care folosesc adesea EDS (electronic semnatura digitala)

De ce să știi unde sunt stocate certificatele în Windows

Permiteți-mi să vă ofer principalele motive pentru care doriți să aveți aceste cunoștințe:

  • Trebuie să vizualizați sau să instalați certificatul rădăcină
  • Trebuie să vizualizați sau să instalați un certificat personal
  • Curiozitate

Mai devreme, v-am spus ce sunt certificatele și de unde le puteți obține și aplica, vă sfătuiesc să citiți acest articol, deoarece informațiile conținute în el sunt fundamentale în acest subiect.

In toate sisteme de operareÎncepând cu Windows Vista și până la Windows 10 Redstone 2, certificatele sunt stocate într-un singur loc, un fel de container care este împărțit în două părți, una pentru utilizator și a doua pentru computer.

În cele mai multe cazuri, puteți modifica anumite setări în Windows prin intermediul snap-in-urilor mmc, iar depozitul de certificate nu face excepție. Și așa apăsăm combinația de taste WIN + R și în fereastra care se deschide, executăm, scriem mmc.

Desigur, puteți introduce comanda certmgr.msc, dar în acest fel puteți deschide doar certificate personale

Acum, într-un snap-in mmc gol, faceți clic pe meniul Fișier și alegeți Adăugați sau eliminați snap-in (comandă rapidă CTRL+M)

În fereastra Adăugare/Eliminare Snap-in-uri, în câmpul Snap-in-uri disponibile, căutați Certificate și faceți clic pe butonul Adăugați.

Aici, în managerul de certificate, puteți adăuga snap-in-uri pentru:

  • contul meu de utilizator
  • cont de serviciu
  • cont de calculator

De obicei adaug pentru cont de utilizator

si calculator

Calculatorul are mai multe setări suplimentare, este fie un computer local, fie unul la distanță (în rețea), selectați-l pe cel curent și faceți clic pe gata.

Până la urmă, am primit această poză.

Să salvăm imediat snap-in-ul creat, astfel încât data viitoare să nu mai fie nevoie să facem acești pași. Accesați meniul Fișier > Salvare ca.

Setați locația de salvare și gata.

După cum puteți vedea consola magazinului de certificate, în exemplul meu vă arăt pe Windows 10 Redstone, vă asigur că interfața ferestrei este aceeași peste tot. După cum am scris mai devreme, există două zone Certificate - utilizatorul actual și Certificate (computer local)

Certificate - utilizator curent

Această zonă conține următoarele foldere:

  1. Personal > certificatele personale (chei publice sau private) pe care le instalați din diverse rutoken-uri sau etoken-uri accesați aici
  2. Trusted Root Certification Authorities > acestea sunt certificate ale autoritatilor de certificare, avand incredere in ele ai incredere automat in toate certificatele emise de acestea, sunt necesare pentru verificarea automata a majoritatii certificatelor din lume. Această listă este utilizată atunci când se construiește relații de încredere între CA, este actualizată cu actualizările Windows.
  3. Relații de încredere în întreprindere
  4. CA intermediare
  5. Obiect utilizator Active Directory
  6. Editori de încredere
  7. Certificate care nu sunt de încredere
  8. CA rădăcină terță parte
  9. confidenti
  10. Furnizori de certificate de autentificare client
  11. Certificate locale neamovibile
  12. Certificate rădăcină de încredere pentru carduri inteligente

În folderul personal, nu există certificate în mod implicit, decât dacă le-ați instalat. Instalarea poate fi fie cu un token, fie prin solicitarea sau importul unui certificat.

  • PKCS#12 (.PFX, .P12)
  • Cryprograhic Message Syntax Standard - Certificate PKCS #7 (.p7b).
  • Magazin de certificate serializate (.SST)

În fila Trusted Certificate Authorities, veți vedea o listă impresionantă de certificate rădăcină de la cei mai mari editori, datorită cărora browserul dumneavoastră are încredere în majoritatea certificatelor de pe site-uri, deoarece dacă aveți încredere în rădăcină, atunci toți cărora le-a emis.

Făcând dublu clic puteți vedea conținutul certificatului.

Dintre acțiuni, puteți doar să le exportați, astfel încât să le puteți reinstala apoi pe alt computer.

Exportul merge la cele mai comune formate.

O altă listă interesantă este lista certificatelor care au fost deja revocate sau scurse.

  • „Alți utilizatori” - stocarea certificatelor autorităților de reglementare;
  • „Trusted Root Certification Authorities” și „Intermediate Certification Authorities” - magazine de certificate ale Autorității de Certificare.

Instalare certificate personale Se face doar cu ajutorul programului Crypto Pro.

Pentru a lansa consola, urmați acești pași

1. Selectați meniul „Start” > „Run” (sau pe tastatură, apăsați simultan tastele „Win + R”).

2. Specificați comanda mmc și faceți clic pe butonul OK.

3. Selectați meniul Fișier > Adăugare sau Eliminare Snap-in.

4. Selectați snap-in-ul „Certificate” din listă și faceți clic pe butonul „Adăugați”.

5. În fereastra care se deschide, selectați butonul radio „Contul meu de utilizator” și faceți clic pe butonul „Finalizare”.

6. Selectați echipamentul adăugat din lista din dreapta și faceți clic pe butonul OK.

Instalarea certificatelor

1. Deschideți magazinul necesar (de exemplu, Trusted Root Certification Authorities). Pentru a face acest lucru, deschideți „Certificate - utilizator curent” > „Autorități de certificare rădăcină de încredere” > ramura „Certificate”.

2. Selectați meniul „Acțiune” > „Toate sarcinile” > „Import”.

4. Apoi, faceți clic pe butonul „Răsfoiește” și specificați fișierul certificat pentru import (certificatele rădăcină ale Autorității de Certificare pot fi descărcate de pe site-ul Autorității de Certificare, certificatele autorităților de reglementare se află pe site-ul web al sistemului Kontur.Extern). După selectarea certificatului, trebuie să faceți clic pe butonul „Deschide”, apoi pe butonul „Următorul”.

5. În fereastra următoare, faceți clic pe butonul „Următorul” (spațiul de stocare necesar este selectat automat).

6. Faceți clic pe butonul „Finish” pentru a finaliza importul.

Eliminarea certificatelor

Pentru a șterge certificate folosind consola mmc (de exemplu, din spațiul de stocare alți utilizatori), trebuie să faceți următoarele:

Extindeți ramura „Certificate - utilizator curent” > „Alți utilizatori” > „Certificate”. Toate certificatele instalate în magazinul Alți utilizatori vor fi afișate în partea dreaptă a ferestrei. Evidențiați certificatul dorit, faceți clic dreapta pe el și selectați „Șterge”.

Când completează documente sau înregistrează o organizație, utilizatorii întâmpină o eroare - „Nu se poate construi un lanț de certificate pentru o persoană de încredere. centrul rădăcinii". Dacă încercați din nou, eroarea apare din nou. Ce trebuie să faceți în această situație, citiți mai departe în articol.

Cauzele unei erori în lanțul de certificate

Erorile pot apărea din diverse motive - probleme cu Internetul pe partea clientului, blocare software Windows Defender sau alte antivirusuri. În plus, absența certificatului rădăcină al autorității de certificare, probleme în procesul de semnătură criptografică și altele.

Remedierea unei erori la crearea unui lanț de certificate pentru o autoritate rădăcină de încredere

În primul rând, asigură-te că nu ai probleme cu conexiunea la internet. Eroarea poate apărea atunci când nu există acces. Cablul de rețea trebuie să fie conectat la un computer sau la un router.

  1. Faceți clic pe butonul „Start” și tastați „Command Prompt” în caseta de căutare.
  2. Selectați-l cu butonul din dreapta al mouse-ului și faceți clic pe „Run ca administrator”.
  3. Introduceți următoarea comandă în fereastra DOS „ping google.ru”.

Cu internetul conectat, ar trebui să vedeți date despre pachetele trimise, vitezele de transfer și alte informații. Dacă nu există Internet, veți vedea că pachetele nu au ajuns la destinație.

Acum să verificăm disponibilitatea certificatului rădăcină al autorității de certificare. Pentru asta:


Dacă nu există certificat, trebuie să îl descărcați. În cele mai multe cazuri, se află în certificatele rădăcină și utilizatorul trebuie doar să îl instaleze. De asemenea, merită să ne amintim că cel mai bine este să utilizați browserul Internet Explorer, astfel încât să apară mai puține erori și eșecuri în timpul lucrului. Încercați să găsiți CA în certificatele rădăcină, după aceea trebuie doar să faceți clic pe butonul „Instalare”, să reporniți browser-ul și veți rezolva problema cu eroarea - „Nu se poate construi un lanț de certificate pentru autoritatea rădăcină de încredere. "

Verificarea certificatului rădăcină CA într-un browser

Verificarea se poate face în browser.

  1. Selectați „Service” din meniu.
  2. Apoi, faceți clic pe linia „Opțiuni Internet”.
  3. Faceți clic pe fila Conținut.
  4. Aici trebuie să selectați „Certificate”.
  5. Următoarea filă " Centre de încredere certificare". Certificatul rădăcină CA ar trebui să fie aici, de obicei în partea de jos a listei.

Acum încercați din nou să efectuați pașii în timpul cărora a apărut eroarea. Pentru a obține un certificat rădăcină, trebuie să contactați centrul corespunzător unde ați primit EP UPC.

Alte modalități de a remedia eroarea lanțului de certificate

Luați în considerare cum să descărcați, să instalați și să utilizați corect CryptoPro. Pentru a vă asigura că programul nu este instalat pe computer (dacă există mai mulți utilizatori de computer), trebuie să deschideți meniul Start. Apoi selectați „Programe” și căutați în listă „CryptoPro”. Dacă nu există, atunci îl vom instala. Puteți descărca programul de la linkul https://www.cryptopro.ru/downloads. Aici ai nevoie de " CSP CryptoPro» - selectați versiunea.

În fereastra următoare, ar trebui să vedeți un mesaj de preînregistrare.

Instalarea CryptoPro

Odată ce fișierul de instalare este descărcat, trebuie să îl rulați pentru a-l instala pe computer. Sistemul va afișa un avertisment că programul cere permisiunea de a modifica fișierele de pe computer, permiteți-i să facă acest lucru.

Înainte de a instala programul pe computer, toate jetoanele trebuie extrase. Browserul trebuie configurat să funcționeze, cu excepția browserului Opera, toate setările implicite au fost deja făcute în el. Singurul lucru care îi rămâne utilizatorului este să activeze un plug-in special pentru muncă. În acest proces, veți vedea o fereastră corespunzătoare în care Opera oferă activarea acestui plugin.

După pornirea programului, va trebui să introduceți cheia în fereastră.

Va fi posibil să găsiți un program care să ruleze pe următoarea cale: „Start”, „Toate programele”, „CryptoPro”, „CryptoPro CSP”. În fereastra care se deschide, faceți clic pe butonul „Introduceți licența” și introduceți cheia în ultima coloană. Gata. Acum programul trebuie configurat corespunzător pentru sarcinile dvs. În unele cazuri, pentru semnatura electronica utilizați utilități suplimentare - CryptoPro Office Signature și CryptoAKM. Puteți remedia eroarea - nu există nicio modalitate de a construi un lanț de certificate pentru un centru rădăcină de încredere - prin simpla reinstalare a CryptoPro. Încercați acest lucru dacă alte sfaturi nu v-au ajutat.

Mai apare eroarea? Trimiteți o solicitare de asistență cu capturi de ecran ale pașilor dvs. și explicați situația în detaliu.


© 2022 egoist24.ru Sisteme de plată. Credit ipotecar. Băncile. Bani Yandex. webmoney. Informatii generale.