Додати сертифікат у довірені кореневі центри сертифікації. Де зберігаються сертифікати у windows системах

Установка самопідписаних сертифікатів дуже часто завдання для системного адміністратора. Зазвичай це робиться вручну, але якщо машин не один десяток? І як бути при перевстановленні системи або купівлі нового ПК, адже сертифікат може бути не один. Писати шпаргалки? Навіщо, коли є набагато простіший і зручний спосіб - групові політики ActiveDirectory. Один раз налаштувавши політику, можна більше не турбуватися про наявність у користувачів необхідних сертифікатів.

Сьогодні ми розглянемо поширення сертифікатів на прикладі кореневого сертифіката Zimbra, який ми експортували до . Наше завдання буде стояти таким чином - автоматично розповсюджувати сертифікат на всі комп'ютери, що входять до підрозділу (OU) - Office. Це дозволить не встановлювати сертифікат туди, де він не потрібен: на півночі, складські та касові робочі станції тощо.

Відкриємо оснастку та створимо нову політикуу контейнері Об'єкти групової політики, для цього клацніть на контейнері правою кнопкою та виберіть Створити. Політика дозволяє встановлювати як один, так і кілька сертифікатів одночасно, як вчинити - вирішувати вам, ми ж вважаємо за краще створювати для кожного сертифіката свою політику, це дозволяє гнучкіше змінювати правила їх застосування. Також слід задати політиці зрозуміле ім'я, щоб відкривши консоль через півроку вам не довелося болісно згадувати, для чого вона потрібна.

Після чого перетягніть політику на контейнер Office, що дозволить застосувати її до цього підрозділу.

Тепер клацніть на політику правою кнопкою миші та оберемо Змінити. У редакторі групових політик, що відкрився, послідовно розгортаємо. Конфігурація комп'ютера - Конфігурація Windows - Параметри безпеки - Політики відкритого ключа- . У правій частині вікна в меню правою кнопкою миші вибираємо Імпортта імпортуємо сертифікат.

Політика створена, тепер саме час перевірити правильність її застосування. У оснащенні Управління груповою політикоюоберемо Моделювання групової політикиі запустимо по правому клацанню Майстер моделювання.

Більшість параметрів можна залишити за замовчуванням, єдине, що слід задати - це користувача та комп'ютер для яких ви хочете перевірити політику.

Виконавши моделювання можемо переконатися, що політика успішно застосовується до вказаного комп'ютера, інакше розкриваємо пункт Відхилені об'єктиі дивимося причину з якої політика виявилася непридатною для даного користувача або комп'ютера.

Після чого перевіримо роботу політики на клієнтському ПК, для цього оновимо політики вручну командою:

Gpupdate

Відкриємо сховище сертифікатів. Найпростіше це зробити через Internet Explorer: Властивості оглядача -Зміст -Сертифікати. Наш сертифікат має бути присутнім у контейнері Довірені кореневі центри сертифікації.

Як бачимо - все працює і одним головним болем у адміністратора стало менше, сертифікат автоматично поширюватиметься на всі комп'ютери, поміщені в підрозділ. Office. За необхідності можна задати складніші умови застосування політики, але це вже виходить за рамки цієї статті.

Доброго дня шановні читачі блогу сайт, мене вже протягом цього місяця, кілька разів запитували у електронній пошті, де зберігаються сертифікати в windows системах, нижче я докладно розповім про це питання, розглянемо структуру сховища, як знаходити сертифікати і де ви це можете використовувати на практиці, особливо це цікаво буде для тих людей, хто часто користується ЕЦП (електронно цифровим підписом)

Навіщо знати де зберігаються сертифікати у windows

Давайте я вам наведу основні причини, з яких ви захочете володіти цим знанням:

  • Вам необхідно переглянути або встановити кореневий сертифікат
  • Вам необхідно переглянути або встановити особистий сертифікат
  • Допитливість

Раніше я вам розповідав які бувають сертифікати і де ви їх можете отримати і застосовувати, раджу ознайомитися з цією статтею, оскільки інформація, викладена в ній, є фундаментальною в цій темі.

У всіх операційні системипочинаючи з Windows Vista і аж до Windows 10 Redstone 2 сертифікати зберігаються в одному місці, такому собі контейнері, який розбитий на дві частини, один для користувача, а другий для комп'ютера.

У більшості випадків у Windows поміняти ті чи інші налаштування ви можете через mmc оснастки , і сховище сертифікатів не є винятком. І так натискаємо комбінацію клавіш WIN + R і у вікні, що відкрилося, виконати, пишемо mmc.

Ви, звичайно, можете ввести команду certmgr.msc, але таким чином ви зможете відкрити тільки особисті сертифікати.

Тепер у порожній mmc оснастці, ви натискаєте меню Файл і вибираєте Додати або видалити оснастку (поєднання клавіш CTRL+M)

У вікні Додавання та видалення оснасток, у полі Доступні оснастки шукаємо Сертифікати та тиснемо кнопку Додати.

Тут у диспетчері сертифікатів, ви можете додати оснастки для:

  • мого облікового запису користувача
  • облікового запису служби
  • облікового запису комп'ютера

Я зазвичай додаю для облікового запису користувача

та комп'ютера

Комп'ютер має ще додаткові налаштування, це або локальний комп'ютер або віддалений (у мережі), вибираємо поточний і тиснемо готово.

У результаті у мене вийшло така картина.

Відразу збережемо створене оснащення, щоб наступного разу не робити цих кроків. Йдемо в меню Файл > Зберегти як.

Задаємо місце збереження та все.

Як ви бачите консоль сховище сертифікатів, у своєму прикладі вам показую на Windows 10 Redstone, запевняю вас інтерфейс вікна скрізь однаковий. Як я писав тут дві області Сертифікати - поточний користувач і Сертифікати (локальний комп'ютер)

Сертифікати – поточний користувач

Ця область містить такі папки:

  1. Особисте > сюди потрапляють особисті сертифікати (відкриті або закриті ключі), які ви встановлюєте з різних рутокенів або etoken
  2. Довірчі кореневі центри сертифікації > це сертифікати центрів сертифікації, довіряючи їм ви автоматично довіряєте всім сертифікатам, які вони випустили, потрібні для автоматичної перевірки більшості сертифікатів у світі. Цей список використовується при ланцюжках побудови довірчих відносин між CA, оновлюється він у місці з оновленнями Windows.
  3. Довірчі відносини у підприємстві
  4. Проміжні центри сертифікації
  5. Об'єкт користувача Active Directory
  6. Довірчі видавці
  7. Сертифікати, яких немає довіри
  8. Сторонні кореневі центри сертифікації
  9. Довірені особи
  10. Постачальники сертифікатів автентифікації клієнтів
  11. Local NonRemovable Certificates
  12. Довірчі кореневі сертифікати смарт-картки

У папці особисте, за замовчуванням сертифікатів немає, якщо ви їх не встановили. Установка може бути як з токена або шляхом запиту або імпорту сертифіката.

  • PKCS # 12 (.PFX, .P12)
  • Стандарт Cryprograhic Message Syntax – сертифікати PKCS #7 (.p7b)
  • Сховище серіалізованих сертифікатів (.SST)

На вкладці довірені центрисертифікації, ви побачите значний список кореневих сертифікатів найбільших видавців, завдяки яким ваш браузер довіряє більшості сертифікатів на сайтах, тому що якщо ви довіряєте кореневому, значить і всім, кому вона видала.

Подвійним клацанням ви можете переглянути склад сертифікату.

З дій ви можете їх експортувати, щоб потім перевстановити на іншому комп'ютері.

Експорт йде у найпоширеніші формати.

Ще цікавим буде список сертифікатів, які вже відкликали, або вони просочилися.

При перевірці електронного підпису (ЕЦП) ваш комп'ютер не тільки повинен визначити терміни дії вашого ЕЦП, але також і розуміти ким був випущений електронний підпис. У кожному сертифікаті ЕЦП зазначено яким засвідчувальним центром (УЦ) було випущено підпис. Після того, як система "прочитала" виробника ЕЦП, потрібно отримати інформацію про цього виробника. Для цього на комп'ютер користувача встановлюється кореневий сертифікат.

Якщо на комп'ютері користувача встановлено кореневий сертифікат центру, що засвідчує, то всі сертифікати випущені цим УЦ вважаються дійсними (за умови, що термін їх дії ще не закінчився).

Враховуючи все вищевикладене, ми приходимо до висновку, що для того, щоб сертифікат електронного підписусприймався системою як "дійсний", потрібно встановлювати кореневі сертифікати посвідчувального центру, яким була випущена ЕЦП.

Приступимо до встановлення кореневого сертифіката:

Перш ніж встановити кореневий сертифікат, скачайте його з сайту центру, що посвідчує, який видав Вам ЕЦП або з нашого сайту в розділі: .

1. Двічі клацніть по збереженому сертифікату або натисніть правою кнопкою мишки та виберіть пункт, як показано на малюнку.

2. У вікні, натисніть кнопку «Далі».

3. У наступному вікні виберіть пункт «Помістити всі сертифікати в наступне сховище» та натисніть кнопку «Огляд…».

4. У спливаючому вікні виберіть пункт «Довірені кореневі центри сертифікації» та натисніть «OK».

5. Спливне вікно закриється і має бути так, як показано на малюнку. Якщо інформація в полі «Сховище сертифікатів» не з'явилася, поверніться до пунктів 3, 4 та повторіть ці кроки знову. Якщо все з'явилося, як показано на малюнку, натисніть "Далі".


6. Після завершення натисніть Готово.

7. Після закриття вікна «Майстер імпорту сертифікатів» система може видати попередження про встановлення сертифікатів на комп'ютер. Це повідомлення може з'явитися кілька разів. Щоразу натискайте кнопку «ТАК».


8. Якщо попереднє повідомлення не з'явилося, у наступному вікні натисніть кнопку «ОК», як показано на малюнку.

Підтручуємо! Тепер кореневий сертицикат посвідчувального центру успішно встановлено!

Сертифікати, які використовуються в роботі системи Контур Екстерн, можна додати або видалити за допомогою консолі mmcз наступних сховищ:

  • Інші користувачі(сховище сертифікатів контролюючих органів)
  • Довірені кореневі центри сертифікаціїі Проміжні центри сертифікації(сховища сертифікатів Посвідчувального Центру).

Встановлення особистих сертифікатівпровадиться тільки за допомогою програми Крипто Про.

Для запуску консолі необхідно виконати такі дії:

1. Вибрати меню Пуск/ Виконати(або на клавіатурі одночасно натиснути клавіші Win+R).

2. Вказати команду mmcта натиснути на кнопку ОК.

3. Вибрати меню Файл/ Додати або видалити оснащення(Див. рис. 1).

Рис. 1. Вікно консолі

4. Вибрати зі списку оснащення Сертифікатиі клацнути по кнопці Додати(Див. мал. 2).

Рис. 2. Додавання оснастки

5. У вікні встановити перемикач Мого облікового запису користувачата натиснути на кнопку Готово(Див. рис. 3).

Рис. 3. Оснащення диспетчера сертифікатів

6. Вибрати зі списку праворуч додану оснастку та натиснути на кнопку ОК(Див. рис. 4).

Рис. 4. Вибір доданої оснастки


Встановлення сертифікатів

1. Відкрити потрібне сховище (наприклад, довірені кореневі центри сертифікації). Для цього розкрити гілку Сертифікати — поточний користувач / Довірені кореневі центри сертифікації / Сертифікати(Див. рис. 5).

Рис. 5. Вікно консолі

2. Вибрати меню Дія/ Усі завдання / Імпорт(Див. рис. 6).

Рис. 6. Меню "Всі завдання / Імпорт"

3. У вікні, що відрилося, натиснути на кнопку Далі.

4. Далі слід натиснути кнопку Оглядта вказати файл сертифіката для імпорту (кореневі сертифікати Посвідчувального Центруможна завантажити з сайту Посвідчувального центру, сертифікати контролюючих органів знаходяться на сайті системи "Контур-Екстерн"). Після вибору сертифіката необхідно натиснути кнопку Відкрити(див. мал. 7), а потім по кнопці Далі.

Рис. 7. Вибір сертифіката для імпорту

5. У наступному вікні потрібно натиснути кнопку Далі(потрібне сховище вибрано автоматично). рис. 8.

Рис. 8. Вибір сховища

6. Натиснути кнопку Готоводля завершення імпорту (див. мал. 9).

Рис. 9. Завершення імпорту сертифіката


Видалення сертифікатів

Щоб видалити сертифікати за допомогою консолі mmc(наприклад, зі сховища Інші користувачі), необхідно зробити такі дії:

Розкрити гілку Сертифікати — поточний користувач / Інші користувачі / Сертифікати. У правій частині вікна з'являться всі сертифікати, встановлені у сховищі Інші користувачі. Виділіть необхідний сертифікат, клацніть по ньому правою кнопкою миші та виберіть вилучити(Див. рис. 10).

Рис. 10. Вікно консолі

Якщо під час спроби встановити з'єднання з Web-кабінетом відкривається вікно безпеки браузера (мал. 1), необхідно додати кореневий сертифікат Московської біржі moex.cerдо списку довірених сертифікатів.

Рисунок 1 – вікно безпеки браузера

Для цього необхідно:

  1. ввести поле пошуку Windows ім'я файлу certmgr.msc(Рис. 2). Потім натиснути лівою кнопкою миші на знайдений файл. Внаслідок цього відкриється системний довідник сертифіката (рис. 3);

    Рисунок 2 – пошук системного довідника сертифікатівМалюнок 3 – системний довідник сертифікатів
  2. перейти до розділу Сертифікатибічного меню (рис. 4). Потім натиснути правою кнопкою миші на папку Сертифікатиі у контекстному меню, що відкрилося, вибрати пункт Усі завдання→Імпорт(Рис. 5).

    Малюнок 4 – довірені довідники Рисунок 5 – імпорт сертифікату

    В результаті відкриється Майстер імпорту сертифікатів(рис. 6), у якому слід натиснути кнопку Далідля переходу до вибору файлу сертифіката moex.cer(Рис. 7);

    Малюнок 6 – майстер імпорту сертифікатів Рисунок 7 – діалогове вікно вибору файлу, що імпортується.

  3. натиснути кнопку Огляд(див. рис. 7, 1) та вибрати кореневий сертифікат Московської біржі moex.cer.В результаті в полі ім'я файлувідобразиться шлях до файлу (див. мал. 7,2). Потім слід натиснути кнопку Далі(див. рис. 7,3);
  4. натиснути кнопку Даліу діалоговому вікні Сховище сертифікатів, не змінюючи параметрів за замовчуванням (мал. 8), а потім – кнопку Готоводля завершення імпорту сертифіката (мал. 9).



    Малюнок 8 – сховище сертифікатів Малюнок 9 – завершення імпортування

Після завершення імпортування відкриється вікно безпеки Windows (рис. 10).Перевірте відбиток ключа. Його номер повинен збігатися з номером, вказаним на малюнку (10,1). Якщо дані збігаються натисніть Так(Рис. 10,2).



Малюнок 10 – вікно безпеки Windows

В результаті відкриється повідомлення про успішне імпортування сертифіката Московської біржі moex.cerдо списку довірених сертифікатів (мал. 11), у якому слід натиснути кнопку ОК.


Рисунок 11 – завершення імпортування


© 2022 egoist24.ru Платіжні системи. Іпотека. банки. Яндекс гроші. WebManey. Загальна інформація.