Pridajte certifikát do dôveryhodných koreňových certifikačných autorít. Kde sú uložené certifikáty v systémoch Windows

Inštalácia certifikátov s vlastným podpisom je veľmi bežnou úlohou správcu systému. Zvyčajne sa to robí ručne, ale ak existuje viac ako tucet strojov? A čo pri preinštalovaní systému alebo kúpe nového PC, pretože certifikátov môže byť viac. Písať cheaty-pripomienky? Prečo, keď existuje oveľa jednoduchší a pohodlnejší spôsob – zásady skupiny ActiveDirectory. Po nakonfigurovaní politiky sa už nemusíte starať o to, či používatelia majú potrebné certifikáty.

Dnes sa ako príklad pozrieme na distribúciu certifikátov pomocou koreňového certifikátu Zimbra, ktorý sme exportovali do . Naša úloha bude nasledovná - automaticky distribuovať certifikát na všetky počítače zahrnuté v jednotke (OU) - kancelária. To vám umožní neinštalovať certifikát tam, kde nie je potrebný: na sever, sklad a pokladne atď.

Otvorte nástroj a vytvorte nová politika v nádobe GPO, Ak to chcete urobiť, kliknite pravým tlačidlom myši na kontajner a vyberte Vytvorte. Politika vám umožňuje inštalovať jeden aj viacero certifikátov súčasne, čo urobíte, je na vás, ale uprednostňujeme vytvorenie vlastnej politiky pre každý certifikát, čo vám umožňuje flexibilnejšie meniť pravidlá ich aplikácie. Zásadu by ste mali dať aj priateľský názov, aby ste si po otvorení konzoly po šiestich mesiacoch nemuseli bolestne pamätať, na čo slúži.

Potom presuňte politiku do kontajnera kancelária, čo vám umožní aplikovať ho na túto jednotku.

Teraz kliknite pravým tlačidlom myši na politiku a vyberte ju Zmeniť. V editore skupinovej politiky, ktorý sa otvorí, rozbaľte Konfigurácia počítača - Konfigurácia systému Windows - Možnosti zabezpečenia - Zásady verejného kľúča- V pravej časti okna v ponuke kliknite pravým tlačidlom myši, vyberte Importovať a importovať certifikát.

Politika bola vytvorená, teraz je čas skontrolovať, či sa uplatňuje správne. v momente Správa zásad skupiny vybrať si Modelovanie skupinovej politiky a spustite kliknutím pravým tlačidlom myši Sprievodca simuláciou.

Väčšinu nastavení je možné ponechať ako predvolené, jediné, čo je potrebné nastaviť, je používateľ a počítač, pre ktorý chcete politiku skontrolovať.

Po dokončení simulácie sa môžeme uistiť, že politika je úspešne aplikovaná na zadaný počítač, v opačnom prípade otvorte položku Odmietnuté predmety a pozrite sa na dôvod, prečo sa politika nevzťahovala na tohto používateľa alebo počítač.

Potom skontrolujeme fungovanie politiky na klientskom počítači, preto pravidlá aktualizujeme manuálne príkazom:

gpupdate

Teraz otvorme úložisko certifikátov. Najjednoduchší spôsob, ako to urobiť, je cez internet Explorer: možnosti internetu -Obsah -Certifikáty. Náš certifikát musí byť prítomný v kontajneri Dôveryhodné koreňové certifikačné autority.

Ako vidíte, všetko funguje a administrátor má o hlavu menej, certifikát bude automaticky distribuovaný na všetky počítače umiestnené na oddelení kancelária. V prípade potreby si môžete nastaviť zložitejšie podmienky pre uplatnenie zásady, ale to už presahuje rámec tohto článku.

Dobré popoludnie, milí čitatelia blogovej stránky, v priebehu tohto mesiaca som bol niekoľkokrát požiadaný e-mail kde sú uložené certifikáty okenné systémy, nižšie vám podrobne poviem o tejto problematike, zvážte štruktúru úložiska, ako nájsť certifikáty a kde ich môžete použiť v praxi, bude to zaujímavé najmä pre tých ľudí, ktorí často používajú EDS (elektronické digitálny podpis)

Prečo vedieť, kde sú certifikáty uložené v systéme Windows

Dovoľte mi uviesť hlavné dôvody, prečo chcete mať tieto znalosti:

  • Musíte zobraziť alebo nainštalovať koreňový certifikát
  • Musíte zobraziť alebo nainštalovať osobný certifikát
  • zvedavosť

Skôr som vám povedal, čo sú certifikáty a kde ich môžete získať a uplatniť, odporúčam vám prečítať si tento článok, pretože informácie v ňom obsiahnuté sú v tejto téme zásadné.

Vo všetkom operačné systémy Od Windows Vista až po Windows 10 Redstone 2 sú certifikáty uložené na jednom mieste, v akomsi kontajneri, ktorý je rozdelený na dve časti, jednu pre používateľa a druhú pre počítač.

Vo väčšine prípadov môžete zmeniť určité nastavenia v systéme Windows prostredníctvom modulov snap-in mmc a úložisko certifikátov nie je výnimkou. A tak stlačíme kombináciu kláves WIN + R a v okne, ktoré sa otvorí, vykonáme, napíšeme mmc.

Samozrejme, môžete zadať príkaz certmgr.msc, ale takto môžete otvárať iba osobné certifikáty

Teraz v prázdnom module snap-in mmc kliknete na ponuku Súbor a vyberiete možnosť Pridať alebo odstrániť modul snap-in (skratka CTRL+M)

V okne Pridať/odstrániť moduly v poli Dostupné moduly vyhľadajte Certifikáty a kliknite na tlačidlo Pridať.

Tu v správcovi certifikátov môžete pridať moduly snap-in pre:

  • môj používateľský účet
  • servisný účet
  • počítačový účet

Zvyčajne pridávam pre používateľský účet

a počítač

Počítač má viac doplnkových nastavení, je to buď lokálny počítač alebo vzdialený (na sieti), vyberte aktuálne a kliknite na pripravený.

Nakoniec som dostal tento obrázok.

Okamžite si uložme vytvorený modul snap-in, aby sme nabudúce tieto kroky robiť nemuseli. Prejdite do ponuky Súbor > Uložiť ako.

Nastavte miesto uloženia a je to.

Ako môžete vidieť konzolu úložiska certifikátov, v mojom príklade, ktorý vám ukážem na Windows 10 Redstone, vás uisťujem, že rozhranie okna je všade rovnaké. Ako som už písal, existujú dve oblasti Certifikáty – aktuálny používateľ a Certifikáty (lokálny počítač)

Certifikáty – aktuálny používateľ

Táto oblasť obsahuje nasledujúce priečinky:

  1. Osobné > osobné certifikáty (verejné alebo súkromné ​​kľúče), ktoré si nainštalujete z rôznych rutokenov alebo etokenov, nájdete tu
  2. Dôveryhodné koreňové certifikačné autority > sú to certifikáty certifikačných autorít, ktorých dôverou automaticky dôverujete všetkým nimi vydaným certifikátom, sú potrebné na automatické overenie väčšiny certifikátov na svete. Tento zoznam sa používa pri vytváraní vzťahov dôveryhodnosti medzi certifikačnými autoritami a aktualizuje sa na mieste s aktualizáciami systému Windows.
  3. Vzťahy dôvery v podniku
  4. Sprostredkovateľské CA
  5. Objekt používateľa služby Active Directory
  6. Dôveryhodní vydavatelia
  7. Certifikáty, ktoré nie sú dôveryhodné
  8. Koreňové CA tretích strán
  9. Dôverníci
  10. Poskytovatelia certifikátov na overenie klientov
  11. Miestne nevymeniteľné certifikáty
  12. Dôveryhodné koreňové certifikáty Smart Card

V osobnom priečinku sa štandardne nenachádzajú žiadne certifikáty, pokiaľ ste ich nenainštalovali. Inštalácia môže byť buď s tokenom, alebo vyžiadaním či importom certifikátu.

  • PKCS#12 (.PFX, .P12)
  • Štandard syntaxe kryptografických správ - Certifikáty PKCS #7 (.p7b).
  • Serialized Certificate Store (.SST)

Na karte dôveryhodné centrá certifikáciu, uvidíte pôsobivý zoznam koreňových certifikátov od najväčších vydavateľov, vďaka nim váš prehliadač dôveruje väčšine certifikátov na stránkach, pretože ak veríte rootu, tak každému, komu ho vydal.

Dvojitým kliknutím zobrazíte obsah certifikátu.

Z akcií ich môžete iba exportovať, aby ste ich potom mohli preinštalovať na inom počítači.

Export prebieha do najbežnejších formátov.

Ďalším zaujímavým zoznamom je zoznam certifikátov, ktoré už boli zrušené alebo unikli.

Pri kontrole elektronického podpisu (EDS) musí váš počítač nielen určiť dobu platnosti vášho EDS, ale musí tiež pochopiť, kto elektronický podpis vydal. Každý certifikát EDS označuje, ktorá certifikačná autorita (CA) vydala podpis. Potom, čo systém „prečíta“ výrobcu digitálneho podpisu, musíte získať informácie o tomto výrobcovi. Na tento účel je v počítači používateľa nainštalovaný koreňový certifikát.

Ak je na počítači užívateľa nainštalovaný koreňový certifikát Certifikačnej autority, všetky certifikáty vydané touto CA sa považujú za platné (za predpokladu, že ešte neuplynula doba ich platnosti).

Vzhľadom na všetky vyššie uvedené sme dospeli k záveru, že na to, aby bol certifikát elektronický podpis vnímaný systémom ako „platný“, musíte nainštalovať koreňové certifikáty certifikačnej autority, ktorá vydala EDS.

Začnime s inštaláciou koreňového certifikátu:

Pred inštaláciou koreňového certifikátu si ho stiahnite z webovej stránky certifikačného centra, ktoré vám vydalo EDS alebo z našej webovej stránky v sekcii: .

1. Dvakrát kliknite na uložený certifikát alebo kliknite pravým tlačidlom myši a vyberte položku, ako je znázornené na obrázku.

2. V zobrazenom okne kliknite na tlačidlo "Ďalej".

3. V ďalšom okne zvoľte "Umiestniť všetky certifikáty do nasledujúceho obchodu" a kliknite na tlačidlo "Prehľadávať...".

4. V rozbaľovacom okne vyberte „Dôveryhodné koreňové certifikačné autority“ a kliknite na „OK“.

5. Vyskakovacie okno sa zatvorí a mali by ste byť ako na obrázku. Ak sa informácie v poli "Certifikát obchod" nezobrazia, vráťte sa na kroky 3, 4 a zopakujte tieto kroky znova. Ak je všetko zobrazené ako na obrázku, kliknite na „Ďalej“.


6. Po dokončení kliknite na "Dokončiť".

7. Po zatvorení okna „Sprievodca importom certifikátov“ môže systém vydať varovanie o inštalácii certifikátov do vášho počítača. Táto správa sa môže zobraziť viackrát. Zakaždým stlačte tlačidlo „ÁNO“.


8. Ak sa predchádzajúca správa nezobrazí, kliknite v nasledujúcom okne na „OK“, ako je znázornené na obrázku.

Gratulujem! Teraz je koreňový certifikát certifikačnej autority úspešne nainštalovaný!

Certifikáty, ktoré sa používajú pri prevádzke systému Kontur Extern, je možné pridávať alebo odoberať pomocou konzoly mmc z nasledujúcich úložísk:

  • Iní používatelia(úložisko certifikátov regulačných orgánov)
  • Dôveryhodné koreňové certifikačné autority A Sprostredkovateľské CA(obchody s certifikátmi Certifikačná autorita).

Inštalácia osobné certifikáty Vyrába sa iba pomocou programu Crypto Pro.

Ak chcete spustiť konzolu, postupujte takto:

1. Zvoľte menu Štart/ Bežať(alebo na klávesnici súčasne stlačte klávesy Win+R).

2. Zadajte príkaz mmc a stlačte tlačidlo OK.

3. Zvoľte menu Súbor/ Pridajte alebo odstráňte snímku(pozri obr. 1).

Ryža. 1. Okno konzoly

4. Vyberte modul zo zoznamu Certifikáty a kliknite na tlačidlo Pridať(pozri obr. 2).

Ryža. 2. Pridanie Snap

5. V okne, ktoré sa otvorí, nastavte spínač Môj používateľský účet a stlačte tlačidlo Pripravený(Pozri obr. 3).

Ryža. 3. Snap-in správca certifikátov

6. Vyberte pridané vybavenie zo zoznamu napravo a kliknite na tlačidlo OK(pozri obr. 4).

Ryža. 4. Výber pridaného nástroja


Inštalácia certifikátov

1. Otvorte požadovaný obchod (napríklad Trusted Root Certification Authority). Ak to chcete urobiť, otvorte pobočku Certifikáty - Aktuálny používateľ / Dôveryhodné koreňové certifikačné autority / Certifikáty(Pozri obr. 5).

Ryža. 5. Okno konzoly

2. Zvoľte menu Akcia/ Všetky úlohy / Importovať(Pozri obr. 6).

Ryža. 6. Menu "Všetky úlohy / Import"

3. V okne, ktoré sa otvorí, kliknite na tlačidlo Ďalej.

4. Ďalej kliknite na tlačidlo Prehľad a zadajte súbor certifikátu na import (koreňové certifikáty Certifikačná autorita možno stiahnuť zo stránky certifikačná autorita, certifikáty regulačných orgánov sú na stránke systému Kontur-Extern). Po výbere certifikátu kliknite na tlačidlo Otvorené(pozri obr. 7), a potom tlačidlom Ďalej.

Ryža. 7. Výber certifikátu na import

5. V ďalšom okne kliknite na tlačidlo Ďalej(požadované úložisko sa vyberie automaticky). Pozri obr. 8.

Ryža. 8. Vyberte úložisko

6. Stlačte tlačidlo Pripravený na dokončenie importu (pozri obrázok 9).

Ryža. 9. Dokončenie importu certifikátu


Odstránenie certifikátov

Ak chcete odstrániť certifikáty pomocou konzoly mmc(napríklad z úložiska Iní používatelia), musíte urobiť nasledovné:

Rozbaliť vetvu Certifikáty - aktuálny používateľ / Iní používatelia / Certifikáty. Všetky certifikáty nainštalované v obchode sa zobrazia v pravej časti okna Iní používatelia. Zvýraznite požadovaný certifikát, kliknite naň pravým tlačidlom myši a vyberte Odstrániť(pozri obr. 10).

Ryža. 10. Okno konzoly

Ak sa pri pokuse o nadviazanie spojenia s webovým kabinetom otvorí okno zabezpečenia prehliadača (obr. 1), musíte pridať koreňový certifikát Moskovskej burzy moex.cer do zoznamu dôveryhodné certifikáty.

Obrázok 1 - Okno zabezpečenia prehliadača

Na to potrebujete:

  1. zadajte do vyhľadávacieho poľa Názov súboru Windows certmgr.msc(obr. 2). Potom kliknite ľavým tlačidlom myši na nájdený súbor. V dôsledku toho sa otvorí systémový adresár certifikátu (obr. 3);

    Obrázok 2 - vyhľadávanie systémového adresára certifikátov Obrázok 3 - systémový adresár certifikátov
  2. prejdite do sekcie Certifikáty bočné menu (obr. 4). Potom kliknite pravým tlačidlom myši na priečinok Certifikáty a v kontextovej ponuke, ktorá sa otvorí, vyberte položku Všetky úlohy → Importovať(obr. 5).

    Obrázok 4 - dôveryhodné adresáre Obrázok 5 - import certifikátu

    V dôsledku toho sa otvorí Sprievodca importom certifikátu(obr. 6), v ktorom by ste mali stlačiť tlačidlo Ďalej prejdite na výber súboru certifikátu moex.cer(obr. 7);

    Obrázok 6 - Sprievodca importom certifikátu Obrázok 7 - dialógové okno pre výber importovaného súboru

  3. stlač tlačidlo Prehľad(pozri obr. 7, 1) a vyberte koreňový certifikát Moskovskej burzy moex.cer. V dôsledku toho v teréne Názov súboru zobrazí sa cesta k tomuto súboru (pozri obr. 7.2). Potom by ste mali stlačiť tlačidlo Ďalej(pozri obr. 7.3);
  4. stlač tlačidlo Ďalej v dialógovom okne Sklad certifikátov, bez zmeny predvolených parametrov (obr. 8), potom tlačidlo Pripravený na dokončenie importu certifikátu (obrázok 9).



    Obrázok 8 - sklad certifikátov Obrázok 9 - dokončenie importu

Po dokončení importu sa otvorí okno zabezpečenia Okná (obr. 10). Skontrolujte odtlačok kľúča. Jeho číslo sa musí zhodovať s číslom uvedeným na obrázku (10.1). Ak sa údaje zhodujú, kliknite Áno(obr. 10.2).



Obrázok 10 - bezpečnostné okno Windows

V dôsledku toho sa otvorí upozornenie o úspešnom importe. certifikát Moskovskej burzy moex.cer do zoznamu dôveryhodných certifikátov (obr. 11), v ktorom kliknite na tlačidlo OK.


Obrázok 11 - dokončenie importu


© 2022 egoist24.ru Platobné systémy. Hypotéka. banky. Peniaze Yandex. webmoney. Všeobecné informácie.