Aggiorna automaticamente l'archivio certificati delle autorità di certificazione radice attendibili sui computer Windows che non hanno accesso diretto a Internet. Impossibile creare una catena di certificati per un'autorità radice attendibile Come aggiungere un certificato radice


I certificati utilizzati nel funzionamento del sistema Kontur Extern possono essere aggiunti o eliminati utilizzando la console mmc dai seguenti repository:

  • Altri utenti(archivio dei certificati delle autorità di regolamentazione)
  • Autorità di certificazione radice attendibili E CA intermedie(negozi di certificati Centro di certificazione).

L'installazione dei certificati personali viene eseguita solo utilizzando il programma Crypto Pro.

Per avviare la console è necessario effettuare le seguenti operazioni:

1. Selezionare il menu Inizio/ Eseguire(oppure sulla tastiera premere i tasti contemporaneamente Vittoria+R).

2. Specificare il comando mmc e premere il pulsante OK.

3. Selezionare il menu File/ Aggiungere o rimuovere uno snap-in(vedi Fig. 1).

Riso. 1. Finestra della console

4. Selezionare l'attrezzatura dall'elenco Certificati e fare clic sul pulsante Aggiungere(vedi Fig. 2).

Riso. 2. Aggiunta di attrezzature

5. Nella finestra che si apre, imposta l'interruttore Mio account utente e premere il pulsante Pronto(vedi Fig. 3).

Riso. 3. Snap-in Gestione certificati

6. Selezionare l'attrezzatura aggiunta dall'elenco a destra e fare clic sul pulsante OK(vedi Fig. 4).

Riso. 4. Selezione dell'attrezzatura aggiuntiva


Installazione di certificati

1. Aprire il repository richiesto (ad esempio, Autorità di certificazione radice attendibili). Per fare ciò, apri il thread Certificati: utente corrente/autorità di certificazione radice attendibili/certificati(vedi Fig. 5).

Riso. 5. Finestra della console

2. Selezionare il menu Azione/ Tutti i compiti / Importare(vedi Fig. 6).

Riso. 6. Menu “Tutte le attività/Importa”

3. Nella finestra che si apre, fare clic sul pulsante Prossimo.

4. Successivamente, fare clic sul pulsante Revisione e specificare il file del certificato da importare (root certificates Centro di certificazione può essere scaricato dal sito Centro di certificazione, i certificati delle autorità di regolamentazione si trovano sul sito web del sistema Kontur-Extern). Dopo aver selezionato il certificato, è necessario fare clic sul pulsante Aprire(vedi Fig. 7), quindi fare clic sul pulsante Prossimo.

Riso. 7. Selezione di un certificato da importare

5. Nella finestra successiva è necessario fare clic sul pulsante Prossimo(la memoria richiesta viene selezionata automaticamente). Vedi fig. 8.

Riso. 8. Selezione dello spazio di archiviazione

6. Premere il pulsante Pronto per completare l'importazione (vedere Figura 9).

Riso. 9. Completamento dell'importazione del certificato


Rimozione dei certificati

Per rimuovere i certificati utilizzando la console mmc(ad esempio, dall'archivio Altri Utenti), è necessario effettuare le seguenti operazioni:

Espandi discussione Certificati: utente corrente/Altri utenti/Certificati. Tutti i certificati installati nel negozio verranno visualizzati sul lato destro della finestra. Altri utenti. Evidenziare certificato richiesto, fai clic destro su di esso e seleziona Eliminare(vedi Fig. 10).

Riso. 10. Finestra della console

Buon pomeriggio, cari lettori del sito blog, nel corso di questo mese mi è stato chiesto più volte e-mail dove sono archiviati i certificati nei sistemi Windows, di seguito ti parlerò in dettaglio di questo problema, considereremo la struttura dell'archiviazione, come trovare i certificati e dove puoi usarlo nella pratica, questo sarà particolarmente interessante per quelle persone che spesso utilizzano firme digitali (elettronicamente firma digitale)

Perché è necessario sapere dove sono archiviati i certificati in Windows?

Lascia che ti dia i motivi principali per cui vorresti avere questa conoscenza:

  • È necessario visualizzare o installare il certificato radice
  • È necessario visualizzare o installare certificato personale
  • Curiosità

In precedenza ti ho detto quali sono i certificati e dove puoi ottenerli e applicarli, ti consiglio di leggere questo articolo, poiché le informazioni in esso contenute sono fondamentali in questo argomento.

In tutti i sistemi operativi, da Windows Vista a Windows 10 Redstone 2, i certificati vengono archiviati in un unico posto, una sorta di contenitore diviso in due parti, una per l'utente e l'altra per il computer.

Nella maggior parte dei casi in Windows, è possibile modificare determinate impostazioni tramite lo snap-in mmc e l'archivio certificati non fa eccezione. E quindi premi la combinazione di tasti WIN+R ed esegui, nella finestra che si apre, scrivi mmc.

Naturalmente puoi inserire il comando certmgr.msc, ma in questo modo puoi aprire solo i certificati personali

Ora in uno snap-in mmc vuoto, fai clic sul menu File e seleziona Aggiungi o rimuovi snap-in (scorciatoia da tastiera CTRL+M)

Nella finestra Aggiunta e rimozione di snap-in, nel campo Snap-in disponibili, cercare Certificati e fare clic sul pulsante Aggiungi.

Qui nel gestore certificati puoi aggiungere snap-in per:

  • il mio account utente
  • conto di servizio
  • conto del computer

Di solito aggiungo per l'account utente

e computer

Il computer ha impostazioni aggiuntive, è un computer locale o remoto (sulla rete), seleziona quello corrente e fai clic su Fine.

Alla fine ho ottenuto questa foto.

Salviamo immediatamente l'attrezzatura creata in modo da non dover eseguire questi passaggi la prossima volta. Vai al menu File > Salva con nome.

Imposta la posizione di salvataggio e il gioco è fatto.

Come vedi la console di archiviazione dei certificati, nel mio esempio che ti mostro su Windows 10 Redstone, ti assicuro che l'interfaccia della finestra è la stessa ovunque. Come ho scritto in precedenza qui ci sono due aree Certificati: utente corrente e Certificati (computer locale)

Certificati: utente corrente

Quest'area contiene le seguenti cartelle:

  1. Personale > include i certificati personali (chiavi pubbliche o private) installati da vari roottoken o etoken
  2. Autorità di certificazione radice attendibili > Questi sono i certificati delle autorità di certificazione, fidandosi di loro ti fidi automaticamente di tutti i certificati da loro emessi, sono necessari per verificare automaticamente la maggior parte dei certificati nel mondo. Questo elenco viene utilizzato nelle catene di creazione di relazioni di fiducia tra le autorità di certificazione e viene aggiornato con gli aggiornamenti di Windows.
  3. Rapporti di fiducia nell'impresa
  4. CA intermedie
  5. Oggetto utente Active Directory
  6. Editori fidati
  7. Certificati non attendibili
  8. Autorità di certificazione radice di terze parti
  9. Amministratori
  10. Fornitori di certificati di autenticazione client
  11. Certificati locali non rimovibili
  12. Certificati root attendibili per smart card

Per impostazione predefinita, la cartella personale non contiene certificati a meno che non siano stati installati. L'installazione può avvenire da un token oppure richiedendo o importando un certificato.

  • PKCS#12 (.PFX, .P12)
  • Standard di sintassi dei messaggi crittografici: certificati PKCS #7 (.p7b).
  • Archivio certificati serializzati (.SST)

Nella scheda Autorità di certificazione attendibili, vedrai un elenco impressionante di certificati root dei più grandi editori, grazie a loro il tuo browser si fida della maggior parte dei certificati sui siti, poiché se ti fidi della root, significa tutti coloro a cui viene rilasciato.

Facendo doppio clic è possibile visualizzare il contenuto del certificato.

Delle azioni, puoi solo esportarle, in modo da poterle successivamente reinstallare su un altro computer.

L'esportazione viene effettuata nei formati più comuni.

Un'altra cosa interessante sarebbe l'elenco dei certificati già revocati o trapelati.

Per installare i certificati è necessario collegare un'unità flash USB con firma elettronica, aprirla e installare i certificati

1. Installare il certificato dell'autorità di certificazione principale nelle autorità root attendibili, per questo è necessario:

1.1. Fare doppio clic sul certificato della CA principale: il file "Head Certification Authority.cer".

1.2. Nel modulo che si apre, fare clic sul pulsante "Installa certificato...".

1.3. Seleziona "Inserisci tutti i certificati nel seguente negozio" (seleziona la casella prima dell'iscrizione) e fai clic sul pulsante "Sfoglia".


1.4. Nell'elenco che si apre, seleziona "Autorità di certificazione radice attendibili" e fai clic su "OK".

2. Installare un certificato personale

L'installazione di un certificato personale viene eseguita utilizzando il programma CryptoPro CSP
2.1. È necessario avviare il programma CryptoPro CSP (pulsante Start -> CryptoPro CSP o pulsante Start -> Tutti i programmi -> CRYPTO-PRO -> CryptoPro CSP).

2.2. Nella finestra che si apre, seleziona la scheda “Servizio” e clicca sul pulsante “Installa certificato personale...”.

2.3. Nella finestra che si apre, è necessario fare clic sul pulsante "Sfoglia", selezionare il certificato dell'organizzazione sull'unità flash - il 2o file con l'estensione "cer" (non il file del certificato CA (nell'esempio - "adicom.cer" )) e fare clic su “Avanti”.




2.4. Nel modulo che si apre, fare clic su “Avanti”


2.5. Nel modulo che si apre, fai clic sulla casella di controllo "Trova contenitore automaticamente". Di conseguenza, verrà compilato il “Nome del contenitore delle chiavi” e fare clic su “Avanti”


2.6. Nel modulo che si apre, fare clic su “Avanti”


2.7. Nel modulo che si apre, fare clic su "Fine"


Tutto il necessario per la generazione firma elettronica Software: puoi firmare moduli stampati.

3. Installa l'estensione (componente aggiuntivo) CryptoPro Extension for Cades Browser Plug-in nel browser

Per installare l'estensione del browser (componente aggiuntivo) CryptoPro Extension for Cades Browser Plugin, apri l'archivio estensioni nel tuo browser e cerca le estensioni utilizzando la parola Cades / For Yandex.Browser link -

L'installazione di certificati autofirmati è un'attività molto comune per un amministratore di sistema. Di solito questo viene fatto manualmente, ma cosa succede se ci sono dozzine di macchine? E cosa fare quando si reinstalla il sistema o si acquista un nuovo PC, perché potrebbe esserci più di un certificato. Scrivi dei foglietti illustrativi? Perché, quando esiste un modo molto più semplice e conveniente: i criteri di gruppo di ActiveDirectory. Una volta configurata la policy, non dovrai più preoccuparti se gli utenti dispongono dei certificati necessari.

Oggi esamineremo la distribuzione dei certificati utilizzando l'esempio certificato radice Zimbra, che abbiamo esportato in formato . Il nostro compito sarà il seguente: distribuire automaticamente il certificato a tutti i computer inclusi nell'unità (OU) - Ufficio. Questo ti consentirà di non installare il certificato dove non serve: al nord, magazzini, postazioni di cassa, ecc.

Apriamo lo snap-in e creiamo una nuova policy nel contenitore Oggetti Criteri di gruppo, per fare ciò, fare clic con il tasto destro sul contenitore e selezionare Creare. La policy ti consente di installare uno o più certificati contemporaneamente. Cosa fare dipende da te, ma preferiamo creare la nostra policy per ciascun certificato, questo ci consente di modificare le regole per il loro utilizzo in modo più flessibile. Dovresti anche dare alla policy un nome chiaro in modo che quando aprirai la console sei mesi dopo, non dovrai ricordare faticosamente a cosa serve.

Quindi trascina la policy nel contenitore Ufficio, che ne consentirà l'applicazione a questa unità.

Ora facciamo clic con il pulsante destro del mouse sulla policy e selezioniamo Modifica. Nell'Editor criteri di gruppo che si apre, espandiamo in sequenza Configurazione del computer - Configurazione di Windows - Impostazioni di sicurezza - Politici chiave pubblica - . Nella parte destra della finestra, nel menu con il tasto destro del mouse, seleziona Importare e importare il certificato.

La policy è stata creata, ora è il momento di verificare che venga applicata correttamente. In un attimo Gestione criteri di gruppo scegliamo Simulazione di criteri di gruppo ed eseguilo facendo clic con il tasto destro Procedura guidata di simulazione.

La maggior parte delle impostazioni può essere lasciata come predefinita, l'unica cosa che devi specificare è l'utente e il computer per il quale desideri controllare la policy.

Dopo aver eseguito la simulazione, possiamo verificare che la policy sia applicata con successo al computer specificato, in Altrimenti espandere l'elemento Oggetti rifiutati e guarda il motivo per cui la politica si è rivelata inapplicabile a questo utente o computer.

Successivamente controlleremo il funzionamento della policy sul PC client, per fare ciò aggiorneremo manualmente le policy con il comando:

Gpupdate

Ora apriamo l'archivio certificati. Il modo più semplice per farlo è attraverso Internet Explorer: Opzioni Internet -Contenuto -Certificati. Il nostro certificato deve essere presente nel contenitore Autorità di certificazione radice attendibili.

Come puoi vedere tutto funziona e l'amministratore ha un grattacapo in meno, il certificato verrà distribuito automaticamente su tutti i computer presenti nel dipartimento Ufficio. Se necessario, puoi impostare condizioni più complesse per l'applicazione della policy, ma ciò va oltre lo scopo di questo articolo.

Durante il completamento dei documenti o la registrazione di un'organizzazione, gli utenti riscontrano un errore: "Non è possibile creare una catena di certificati per un utente attendibile" centro della radice" Se riprovi, l'errore si ripresenta. Cosa fare in questa situazione, leggi più avanti nell'articolo.

Cause di errori nella catena di certificati

Gli errori possono verificarsi per vari motivi: problemi con Internet sul lato client, blocco software Windows Defender o altri antivirus. Inoltre, la mancanza di un certificato radice dell'autorità di certificazione, problemi nel processo di firma crittografica e altri.

Correzione di un errore durante la creazione di una catena di certificati per un'autorità radice attendibile

Prima di tutto assicurati di non avere problemi con la tua connessione Internet. L'errore potrebbe apparire se non è possibile accedere. Il cavo di rete deve essere collegato al computer o al router.

  1. Fare clic sul pulsante "Start" e cercare "Prompt dei comandi".
  2. Selezionatelo con il tasto destro del mouse e cliccate su “Esegui come amministratore”.
  3. Immettere il seguente comando nella finestra DOS "ping google.ru".

Quando Internet è connesso, dovresti vedere i dati sui pacchetti inviati, la velocità di trasmissione e altre informazioni. Se non c'è Internet, vedrai che i pacchetti non hanno raggiunto la loro destinazione.

Verifichiamo ora la presenza del certificato radice della Certification Authority. Per fare questo:


Se non è presente alcun certificato, è necessario scaricarlo. Nella maggior parte dei casi, si trova nei certificati root e l'utente deve solo installarlo. Vale anche la pena ricordare che è meglio utilizzare il browser Internet Explorer in modo che si verifichino meno errori e guasti durante il processo di lavoro. Prova a trovare la CA nei certificati radice, dopodiché tutto ciò che devi fare è fare clic sul pulsante "Installa", riavviare il browser e risolverai il problema con l'errore: "Impossibile creare una catena di certificati per l'autorità radice attendibile" .”

Verifica del certificato radice CA nel browser

Il test può essere eseguito in un browser.

  1. Selezionare "Servizio" dal menu.
  2. Successivamente, fai clic sulla riga "Opzioni Internet".
  3. Fare clic sulla scheda Contenuti.
  4. Qui è necessario selezionare “Certificati”.
  5. Scheda successiva " Centri fidati certificazione". Dovrebbe esserci un certificato radice CA qui, di solito è in fondo all'elenco.

Ora riprova i passaggi che hanno causato l'errore. Per ottenere un certificato radice, è necessario contattare il centro appropriato in cui hai ricevuto l'UPC ES.

Altri modi per correggere l'errore della catena di certificati

Diamo un'occhiata a come scaricare, installare e utilizzare correttamente CryptoPro. Per assicurarti che il programma non sia installato sul tuo PC (se ci sono più utenti sul computer), devi aprire il menu Start. Quindi seleziona "Programmi" e cerca "CryptoPro" nell'elenco. Se non esiste, lo installeremo. È possibile scaricare il programma dal collegamento https://www.cryptopro.ru/downloads. Qui hai bisogno di "CryptoPro CSP": seleziona la versione.

Nella finestra successiva dovresti vedere un messaggio di pre-registrazione.

Installazione di CryptoPro

Una volta scaricato il file di installazione, è necessario eseguirlo per installarlo sul tuo computer. Il sistema visualizzerà un avviso che il programma sta chiedendo il permesso per modificare i file sul PC, consentigli di farlo.

Prima di installare il programma sul tuo computer, tutti i tuoi token devono essere estratti. Il browser deve essere configurato per funzionare, l'eccezione è Browser dell'Opera, tutte le impostazioni predefinite sono già effettuate. L'unica cosa che resta all'utente è attivare un plugin speciale per il lavoro. Durante il processo, vedrai una finestra corrispondente in cui Opera ti offre di attivare questo plugin.

Dopo aver avviato il programma, dovrai inserire la chiave nella finestra.

Puoi trovare il programma da avviare nel seguente percorso: “Start”, “Tutti i programmi”, “CryptoPro”, “CryptoPro CSP”. Nella finestra che si apre, clicca sul pulsante “Inserisci licenza” e inserisci la chiave nell'ultima colonna. Pronto. Ora il programma deve essere configurato di conseguenza in base alle proprie esigenze. In alcuni casi, vengono utilizzate utilità aggiuntive per le firme elettroniche: CryptoPro Office Signature e CryptoAKM. Puoi correggere l'errore (non è possibile creare una catena di certificati per un root center attendibile) semplicemente reinstallando CryptoPro. Prova questo se altri suggerimenti non aiutano.

L'errore viene ancora visualizzato? Invia una richiesta al servizio di supporto, in cui devi pubblicare screenshot delle tue azioni sequenziali e spiegare la tua situazione in dettaglio.