Kde sú uložené certifikáty v systémoch Windows. Kde sú uložené certifikáty v systémoch Windows Dôveryhodné koreňové úložisko

s problémom nemožnosti korektného nasadenia softvéru z dôvodu neaktualizovania úložiska certifikátov dôveryhodných koreňových certifikačných autorít na cieľových počítačoch s OC Windows (ďalej pre stručnosť budeme tento obchod nazývať TrustedRootCA). V tom čase bol problém odstránený nasadením balíka rootupd.exe dostupné v článku KB931125 súvisiace s OS Windows XP. Teraz je tento operačný systém úplne odstránený z podpory spoločnosti Microsoft a to môže byť dôvod, prečo tento článok KB už nie je k dispozícii na webovej lokalite spoločnosti Microsoft. K tomu všetkému môžeme pridať fakt, že ani v tom čase nebolo riešenie s nasadením v tom čase už zastaraného balíka certifikátov práve najoptimálnejšie, odvtedy systémy s OS Windows Vista a Windows 7, ktorá už mala nový mechanizmus na automatickú aktualizáciu úložiska certifikátov TrustedRootCA. Tu je jeden zo starých článkov o systéme Windows Vista, ktorý popisuje niektoré aspekty fungovania takéhoto mechanizmu –Podpora certifikátov a výsledná internetová komunikácia v systéme Windows Vista . Nedávno som opäť narazil na pôvodný problém, keď som musel aktualizovať úložisko certifikátov TrustedRootCA na množstve klientskych počítačov a serverov so systémom Windows. Všetky tieto počítače nemajú priamy prístup na internet a preto mechanizmus automatickej obnovy certifikátu neplní svoju úlohu tak, ako by sme chceli. Možnosť otvorenia priameho prístupu na internet na všetky počítače, aj na určité adresy, bola spočiatku považovaná za extrémnu a hľadanie prijateľnejšieho riešenia ma priviedlo k článkuNakonfigurujte dôveryhodné korene a nepovolené certifikáty(RU ), ktorý okamžite odpovedal na všetky moje otázky. No, vo všeobecnosti, na základe tohto článku, v tejto poznámke stručne načrtnem konkrétny príklad ako môžete centrálne prekonfigurovať rovnaký mechanizmus na počítačoch so systémom Windows Vista a novším na automatickú aktualizáciu úložiska certifikátov TrustedRootCA tak, aby ako zdroj aktualizácií využívalo zdieľanie súborov alebo webovú lokalitu v lokálnej podnikovej sieti.

Najprv musíte venovať pozornosť tomu, že v skupinových politikách aplikovaných na počítače by nemalo byť povolené nastavenie, ktoré blokuje činnosť mechanizmu automatických aktualizácií. Toto je parameter Vypnite automatickú aktualizáciu koreňových certifikátov V kapitole Konfigurácia počítača > Administratívne šablóny > systém > Správa internetovej komunikácie > Nastavenia internetovej komunikácie. Potrebujeme, aby tento parameter bol Vypnutý, alebo len tak Nie je nakonfigurované.

Ak sa pozriete na úložisko certifikátov TrustedRootCA pod lokálny počítač, potom na systémoch, ktoré nemajú priamy prístup na internet, bude sada certifikátov, povedzme, malá:

Tento súbor je vhodné použiť napríklad vtedy, keď potrebujete vybrať len určitú množinu z celej podmnožiny dostupných certifikátov a nahrať ich do samostatného súboru SST na ďalšie stiahnutie, napríklad pomocou lokálnej konzoly na správu certifikátov alebo pomocou Konzola na správu zásad skupiny (na importovanie do niektorých alebo zásad domény cez parameter Konfigurácia počítača > Postupy > Nastavenia systému Windows > Bezpečnostné nastavenia > Zásady verejného kľúča > Dôveryhodné koreňové certifikačné autority).

Avšak pre spôsob, akým nás zaujíma distribúcia koreňových certifikátov, úpravou fungovania mechanizmu automatických aktualizácií na koncových klientskych počítačoch, potrebujeme mierne odlišnú reprezentáciu sady skutočných koreňových certifikátov. Môžete ho získať pomocou rovnakého nástroja certutil, ale s inou sadou kľúčov.

V našom príklade sa ako lokálny distribučný zdroj použije sieťové zdieľanie na súborovom serveri. A tu je dôležité dať si pozor na to, že pri príprave takéhoto priečinka je bezpodmienečne nutné obmedziť prístup k zápisu, aby sa nestalo, že ktokoľvek môže upravovať sadu koreňových certifikátov, ktoré sa potom „rozsypú“ cez mnohé počítačov.

certutil-syncWithWU -f -f \\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment\

kľúče -f -f sa používajú na vynútenie aktualizácie všetkých súborov v cieľovom adresári.

V dôsledku vykonania príkazu sa v nami špecifikovanom sieťovom priečinku objaví veľa súborov s celkovým objemom asi pol megabajtu:

Podľa vyššie uvedenéhočlánky , účel súborov je nasledujúci:

  • Súbor authrootstl.cab obsahuje dôveryhodné zoznamy certifikátov tretích strán;
  • Súbor nepovolená certstl.cab obsahuje zoznam dôveryhodných certifikátov s nedôveryhodnými certifikátmi;
  • Súbor nepovolený certifikát.sst obsahuje úložisko serializovaných certifikátov vrátane nedôveryhodných certifikátov;
  • Súbory s názvami typov odtlačok palca.crt obsahujú koreňové certifikáty tretích strán.

Takže súbory potrebné na fungovanie mechanizmu automatickej aktualizácie boli prijaté a teraz prejdeme k implementácii zmeny v schéme fungovania práve tohto mechanizmu. V tomto, ako vždy, nám pomáhajú zásady skupiny domén. Aktívny adresár (GPO), hoci môžete použiť aj iné nástroje centralizovanej správy, všetko, čo musíme urobiť na všetkých počítačoch, je zmeniť, alebo skôr pridať, iba jedno nastavenie registra RootDirURL v pobočke HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate, ktorý určí cestu k nášmu sieťovému adresáru, do ktorého sme predtým umiestnili sadu súborov koreňového certifikátu.

Keď už hovoríme o nastavení GPO, opäť môžete použiť rôzne možnosti na dosiahnutie svojho cieľa. Napríklad existuje možnosť „starej školy“ s vytvorením vlastnej šablóny skupinovej politiky, ako je to popísané v už známejčlánok . Na tento účel vytvoríme súbor vo formáte administratívnej šablóny GPO ( ADM), napríklad s názvom RootCAUpdateLocalPath.adm a obsahom:

TRIEDA KATEGÓRIA STROJA !!SystemCertificates KEYNAME" Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" POLITIKA !!RootDirURL EXPLAIN !!RootDirURL_help ČASŤ !!RootDirURL EDITTEXT VALUENAME "RootDirURL " KONIEC ČASTI KONIEC KONCOVÁ KATEGÓRIA RootDirURL="Adresa URL, ktorá sa má použiť namiesto predvolenej adresy URL ctldl.windowsupdate.com" RootDirURL_help="Enter použiť ako umiestnenie sťahovania súborov CTL." SystemCertificates="Nastavenia automatickej aktualizácie systému Windows"

Skopírujeme tento súbor do radiča domény do adresára %SystemRoot%\inf (zvyčajne adresár C:\Windows\inf). Potom prejdeme do editora zásad skupiny domén a vytvoríme samostatný nová politika a potom ho otvorte na úpravy. V kapitole Konfigurácia počítača > Šablóny na správu… otvorte kontextové menu a vyberte možnosť pripojenia novej šablóny politiky Pridať/Odstrániť šablóny

V okne, ktoré sa otvorí, pomocou tlačidla Prehľadávať vyberte predtým pridaný súbor %SystemRoot%\inf\RootCAUpdateLocalPath.adm a po zobrazení šablóny v zozname stlačte Zavrieť.

Po akcii v sekcii Konfigurácia > Administratívne šablóny > Klasické administratívne šablóny (ADM) objaví sa skupina Nastavenia automatickej aktualizácie systému Windows, v ktorom bude dostupný jediný parameter Adresa URL, ktorá sa má použiť namiesto predvolenej adresy ctldl.windowsupdate.com

Otvorme túto možnosť a zadajte cestu k lokálnemu zdroju, kde sme umiestnili aktualizačné súbory stiahnuté skôr, vo formáte http://server1/priečinok alebo súbor://\\server1\priečinok ,
Napríklad file://\\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment

Uložme zmeny a aplikujme vytvorenú politiku na kontajner domény, kde sa nachádzajú cieľové počítače. Avšak diskutovaná metóda nastavenia GPO má množstvo nevýhod, a preto som ju nazval „stará škola“.

Ďalším, modernejším a pokročilejším spôsobom nastavenia registra klientov je použitie Predvoľby skupinovej politiky (GPP). Pomocou tejto možnosti môžeme vytvoriť zodpovedajúci objekt GPP v sekcii skupinovej politiky Konfigurácia počítača > Predvoľby > Registratúra s aktualizáciou parametrov ( akcie: aktualizovať) register RootDirURL(typ hodnoty REG_SZ)

V prípade potreby vieme povoliť flexibilný mechanizmus zacielenia pre vytvorený parameter GPP (Tab Spoločné> Možnosť Zacielenie na úrovni položky) na konkrétnom počítači alebo skupine počítačov na predbežné testovanie toho, čo skončíme po uplatnení skupinových zásad.

Samozrejme si treba vybrať jednu možnosť, alebo s pripojením vlastnej ADM-šablóna alebo pomocou GPP.

Po nakonfigurovaní skupinových politík na akomkoľvek experimentálnom klientskom počítači vykonáme aktualizáciu pomocou príkazu gpupdate /force nasleduje reštart. Po zavedení systému skontrolujeme v registri prítomnosť vytvoreného kľúča a pokúsime sa skontrolovať, či bol aktualizovaný sklad koreňových certifikátov. Na kontrolu použijeme jednoduchý, ale účinný príklad popísaný v poznámkeDôveryhodné korene a nepovolené certifikáty .

Pozrime sa napríklad, či úložisko certifikátov počítača obsahuje koreňový certifikát použitý na vydanie certifikátu, ktorý je nainštalovaný na stránke s názvom buypass.no (na samotnú stránku však zatiaľ nejdeme :)).

Najjednoduchší spôsob, ako to urobiť, je pomocou PowerShell:

Certifikát Get-ChildItem:\localmachine\root | Kde ( $_ .friendlyname - ako " *Buypass* " )

S vysokou mierou pravdepodobnosti nebudeme mať takýto koreňový certifikát. Ak áno, otvorte internet Explorer a pozrite si adresu URL https://buypass.no . A ak mechanizmus automatickej obnovy koreňových certifikátov, ktorý sme nakonfigurovali, úspešne funguje, potom v protokole udalostí systému Windows Aplikácia to spôsobí udalosť so zdrojom ( Zdroj) CAPI2, čo znamená, že nový koreňový certifikát bol úspešne odovzdaný:

Názov denníka: Aplikácia

Dobré popoludnie, milí čitatelia blogovej stránky, v priebehu tohto mesiaca som bol niekoľkokrát požiadaný e-mail kde sú certifikáty uložené v systémoch Windows, nižšie vám o tomto probléme podrobne poviem, zvážte štruktúru obchodu, ako nájsť certifikáty a kde ich môžete použiť v praxi, bude to obzvlášť zaujímavé pre tých ľudí, ktorí často používajú EDS (elektronické digitálny podpis)

Prečo vedieť, kde sú certifikáty uložené v systéme Windows

Dovoľte mi uviesť hlavné dôvody, prečo chcete mať tieto znalosti:

  • Musíte zobraziť alebo nainštalovať koreňový certifikát
  • Musíte zobraziť alebo nainštalovať osobný certifikát
  • zvedavosť

Skôr som vám povedal, čo sú certifikáty a kde ich môžete získať a uplatniť, odporúčam vám prečítať si tento článok, pretože informácie v ňom obsiahnuté sú v tejto téme zásadné.

Vo všetkom operačné systémy Od systému Windows Vista až po Windows 10 Redstone 2 sú certifikáty uložené na jednom mieste, v akomsi kontajneri, ktorý je rozdelený na dve časti, jednu pre používateľa a druhú pre počítač.

Vo väčšine prípadov môžete zmeniť určité nastavenia v systéme Windows prostredníctvom modulov snap-in mmc a úložisko certifikátov nie je výnimkou. A tak stlačíme kombináciu klávesov WIN + R a v okne, ktoré sa otvorí, vykonáme, napíšeme mmc.

Samozrejme, môžete zadať príkaz certmgr.msc, ale takto môžete otvárať iba osobné certifikáty

Teraz v prázdnom module snap-in mmc kliknete na ponuku Súbor a vyberiete možnosť Pridať alebo odstrániť modul snap-in (skratka CTRL+M)

V okne Pridať/odstrániť moduly v poli Dostupné moduly vyhľadajte Certifikáty a kliknite na tlačidlo Pridať.

Tu v správcovi certifikátov môžete pridať moduly snap-in pre:

  • môj používateľský účet
  • servisný účet
  • počítačový účet

Zvyčajne pridávam pre používateľský účet

a počítač

Počítač má viac doplnkových nastavení, je to buď lokálny počítač alebo vzdialený (na sieti), vyberte aktuálne a kliknite na pripravený.

Nakoniec som dostal tento obrázok.

Okamžite si uložme vytvorený modul snap-in, aby sme nabudúce tieto kroky robiť nemuseli. Prejdite do ponuky Súbor > Uložiť ako.

Nastavte miesto uloženia a je to.

Ako môžete vidieť konzolu úložiska certifikátov, v mojom príklade, ktorý vám ukážem na Windows 10 Redstone, vás uisťujem, že rozhranie okna je všade rovnaké. Ako som už písal, existujú dve oblasti Certifikáty – aktuálny používateľ a Certifikáty (lokálny počítač)

Certifikáty – aktuálny používateľ

Táto oblasť obsahuje nasledujúce priečinky:

  1. Sem sa dostanú osobné > osobné certifikáty (verejné alebo súkromné ​​kľúče), ktoré si nainštalujete z rôznych rutokenov alebo etokenov
  2. Dôveryhodné koreňové certifikačné autority > sú to certifikáty certifikačných autorít, ktorých dôverou automaticky dôverujete všetkým nimi vydaným certifikátom, sú potrebné na automatické overenie väčšiny certifikátov na svete. Tento zoznam sa používa pri vytváraní vzťahov dôveryhodnosti medzi certifikačnými autoritami a aktualizuje sa na mieste s aktualizáciami systému Windows.
  3. Vzťahy dôvery v podniku
  4. Sprostredkovateľské CA
  5. Objekt používateľa služby Active Directory
  6. Dôveryhodní vydavatelia
  7. Certifikáty, ktoré nie sú dôveryhodné
  8. Koreňové CA tretích strán
  9. Dôverníci
  10. Poskytovatelia certifikátov na overenie klientov
  11. Miestne nevymeniteľné certifikáty
  12. Dôveryhodné koreňové certifikáty Smart Card

V osobnom priečinku sa štandardne nenachádzajú žiadne certifikáty, pokiaľ ste ich nenainštalovali. Inštalácia môže byť buď s tokenom, alebo vyžiadaním či importom certifikátu.

  • PKCS#12 (.PFX, .P12)
  • Štandard syntaxe kryptografických správ - Certifikáty PKCS #7 (.p7b).
  • Serialized Certificate Store (.SST)

Na karte Dôveryhodné certifikačné autority uvidíte pôsobivý zoznam koreňových certifikátov od najväčších vydavateľov, vďaka čomu váš prehliadač dôveruje väčšine certifikátov na stránkach, pretože ak veríte rootu, tak každému, komu ho vydal.

Dvojitým kliknutím zobrazíte obsah certifikátu.

Z akcií ich môžete iba exportovať, aby ste ich potom mohli preinštalovať na inom počítači.

Export prebieha do najbežnejších formátov.

Ďalším zaujímavým zoznamom je zoznam certifikátov, ktoré už boli zrušené alebo unikli.

  • "Ostatní používatelia" - uchovávanie certifikátov regulačných orgánov;
  • "Dôveryhodné koreňové certifikačné autority" a "Sprostredkujúce certifikačné autority" - sklady certifikátov certifikačnej autority.

Inštalácia osobné certifikáty Vyrába sa iba pomocou programu Crypto Pro.

Ak chcete spustiť konzolu, postupujte podľa týchto krokov

1. Vyberte ponuku „Štart“ > „Spustiť“ (alebo na klávesnici súčasne stlačte klávesy „Win + R“).

2. Zadajte príkaz mmc a kliknite na tlačidlo OK.

3. Vyberte ponuku Súbor > Pridať alebo odstrániť modul Snap-in.

4. Zo zoznamu vyberte modul „Certifikáty“ a kliknite na tlačidlo „Pridať“.

5. V okne, ktoré sa otvorí, vyberte prepínač „Môj používateľský účet“ a kliknite na tlačidlo „Dokončiť“.

6. Vyberte pridané vybavenie zo zoznamu napravo a kliknite na tlačidlo OK.

Inštalácia certifikátov

1. Otvorte požadovaný obchod (napríklad Trusted Root Certification Authority). Ak to chcete urobiť, otvorte vetvu „Certifikáty – aktuálny používateľ“ > „Dôveryhodné koreňové certifikačné autority“ > „Certifikáty“.

2. Vyberte ponuku „Akcia“ > „Všetky úlohy“ > „Importovať“.

4. Ďalej kliknite na tlačidlo „Prehľadávať“ a špecifikujte súbor certifikátu na import (koreňové certifikáty certifikačnej autority je možné stiahnuť z webovej stránky certifikačnej autority, certifikáty regulačných autorít sa nachádzajú na webovú stránku systému Kontur.Extern). Po výbere certifikátu musíte kliknúť na tlačidlo „Otvoriť“ a potom na tlačidlo „Ďalej“.

5. V ďalšom okne kliknite na tlačidlo „Ďalej“ (automaticky sa vyberie požadované úložisko).

6. Kliknutím na tlačidlo „Dokončiť“ dokončíte import.

Odstránenie certifikátov

Ak chcete odstrániť certifikáty pomocou konzoly mmc (napríklad z úložiska Iní používatelia), musíte urobiť nasledovné:

Rozbaľte vetvu „Certifikáty – aktuálny používateľ“ > „Ostatní používatelia“ > „Certifikáty“. Všetky certifikáty nainštalované v úložisku Iní používatelia sa zobrazia v pravej časti okna. Zvýraznite požadovaný certifikát, kliknite naň pravým tlačidlom myši a vyberte možnosť „Odstrániť“.

Pri vypĺňaní dokumentov alebo registrácii organizácie sa používatelia stretávajú s chybou – „Nedá sa vytvoriť reťazec certifikátov pre dôveryhodných koreňové centrum". Ak to skúsite znova, chyba sa zobrazí znova. Čo robiť v tejto situácii, prečítajte si ďalej v článku.

Príčiny chyby v reťazci certifikátov

Chyby môžu nastať z rôznych dôvodov – problémy s internetom na strane klienta, blokovanie softvér Windows Defender alebo iné antivírusy. Ďalej absencia koreňového certifikátu certifikačnej autority, problémy v procese kryptografického podpisu a iné.

Oprava chyby pri vytváraní reťazca certifikátov pre dôveryhodnú koreňovú autoritu

V prvom rade sa uistite, že nemáte problémy s internetovým pripojením. Chyba sa môže objaviť, keď nie je prístup. Sieťový kábel musí byť pripojený k počítaču alebo smerovaču.

  1. Kliknite na tlačidlo "Štart" a do vyhľadávacieho poľa zadajte "Príkazový riadok".
  2. Vyberte ho pravým tlačidlom myši a kliknite na „Spustiť ako správca“.
  3. V okne DOS zadajte nasledujúci príkaz „ping google.ru“.

Po pripojení na internet by ste mali vidieť údaje o odoslaných paketoch, prenosových rýchlostiach a ďalšie informácie. Ak nie je internet, uvidíte, že pakety nedorazili do cieľa.

Teraz skontrolujeme dostupnosť koreňového certifikátu certifikačnej autority. Pre to:


Ak certifikát neexistuje, musíte si ho stiahnuť. Vo väčšine prípadov sa nachádza v koreňových certifikátoch a používateľovi ho stačí nainštalovať. Je tiež potrebné pripomenúť, že je najlepšie použiť prehliadač Internet Explorer, aby sa počas práce vyskytlo menej chýb a zlyhaní. Pokúste sa nájsť CA v koreňových certifikátoch, potom stačí kliknúť na tlačidlo „Inštalovať“, reštartovať prehliadač a problém s chybou „Nedá sa vytvoriť reťazec certifikátov pre dôveryhodnú koreňovú autoritu“ vyriešite. "

Kontrola koreňového certifikátu CA v prehliadači

Kontrolu je možné vykonať v prehliadači.

  1. Z ponuky vyberte „Servis“.
  2. Ďalej kliknite na riadok „Možnosti internetu“.
  3. Kliknite na kartu Obsah.
  4. Tu musíte vybrať "Certifikáty".
  5. Ďalšia karta " dôveryhodné centrá certifikácia“. Tu by mal byť koreňový certifikát CA, zvyčajne na konci zoznamu.

Teraz skúste znova vykonať kroky, počas ktorých sa vyskytla chyba. Ak chcete získať koreňový certifikát, musíte kontaktovať príslušné centrum, kde ste dostali EP UPC.

Iné spôsoby, ako opraviť chybu reťazca certifikátov

Zvážte, ako správne stiahnuť, nainštalovať a používať CryptoPro. Aby ste sa uistili, že program nie je nainštalovaný na vašom PC (ak je tam viacero používateľov počítača), musíte otvoriť ponuku Štart. Potom vyberte "Programy" a vyhľadajte v zozname "CryptoPro". Ak neexistuje, nainštalujeme ho. Program si môžete stiahnuť z odkazu https://www.cryptopro.ru/downloads. Tu potrebujete " CryptoPro CSP» - vyberte verziu.

V ďalšom okne by ste mali vidieť správu o predbežnej registrácii.

Inštalácia CryptoPro

Po stiahnutí inštalačného súboru ho musíte spustiť, aby ste ho nainštalovali do počítača. Systém zobrazí varovanie, že program žiada o povolenie na úpravu súborov na PC, povoľte mu to.

Pred inštaláciou programu do počítača musíte extrahovať všetky vaše tokeny. Prehliadač musí byť nakonfigurovaný tak, aby fungoval, s výnimkou prehliadača Opera sú v ňom už vykonané všetky predvolené nastavenia. Používateľovi zostáva iba aktivácia špeciálneho zásuvného modulu pre prácu. V tomto procese uvidíte zodpovedajúce okno, kde Opera ponúka aktiváciu tohto pluginu.

Po spustení programu budete musieť v okne zadať kľúč.

Program na spustenie bude možné nájsť na nasledujúcej ceste: „Štart“, „Všetky programy“, „CryptoPro“, „CryptoPro CSP“. V okne, ktoré sa otvorí, kliknite na tlačidlo „Zadať licenciu“ a do posledného stĺpca zadajte kľúč. Pripravený. Teraz je potrebné program nakonfigurovať podľa vašich úloh. V niektorých prípadoch pre elektronický podpis použite ďalšie nástroje - CryptoPro Office Signature a CryptoAKM. Chybu môžete opraviť – neexistuje spôsob, ako vytvoriť reťaz certifikátov pre dôveryhodné koreňové centrum – jednoduchou opätovnou inštaláciou CryptoPro. Skúste to, ak iné tipy nepomohli.

Zobrazuje sa chyba stále? Odošlite žiadosť o podporu so snímkami obrazovky vašich krokov a podrobne vysvetlite svoju situáciu.


© 2022 egoist24.ru Platobné systémy. Hypotéka. banky. Peniaze Yandex. webmoney. Všeobecné informácie.