Automātiski atjaunināt Trusted Root Certification Authorities sertifikātu krātuvi Windows datoros, kuriem nav tiešas piekļuves internetam. Nevar izveidot sertifikātu ķēdi uzticamai saknes iestādei Kā pievienot saknes sertifikātu


Sertifikātus, kas tiek izmantoti Kontur Extern sistēmas darbībā, var pievienot vai dzēst, izmantojot konsoli mmc no šādiem krātuvēm:

  • Citi lietotāji(regulatīvo iestāžu sertifikātu krātuve)
  • Uzticamas saknes sertifikācijas iestādes Un Vidēja līmeņa CA(sertifikātu veikali Sertifikācijas centrs).

Personīgo sertifikātu instalēšana tiek veikta, tikai izmantojot programmu Crypto Pro.

Lai palaistu konsoli, jums jāveic šādas darbības:

1. Izvēlieties izvēlni Sākt/ Izpildīt(vai vienlaikus nospiediet tastatūras taustiņus Win+R).

2. Norādiet komandu mmc un nospiediet pogu Labi.

3. Izvēlieties izvēlni Fails/ Pievienojiet vai noņemiet papildprogrammu(skat. 1. att.).

Rīsi. 1. Konsoles logs

4. Izvēlieties aprīkojumu no saraksta Sertifikāti un noklikšķiniet uz pogas Pievienot(skat. 2. att.).

Rīsi. 2. Aprīkojuma pievienošana

5. Atvērtajā logā iestatiet slēdzi mans kontu lietotājs un nospiediet pogu Gatavs(skat. 3. att.).

Rīsi. 3. Sertifikātu pārvaldnieka papildprogramma

6. Labajā pusē esošajā sarakstā atlasiet pievienoto aprīkojumu un noklikšķiniet uz pogas Labi(skat. 4. att.).

Rīsi. 4. Pievienotā aprīkojuma izvēle


Sertifikātu instalēšana

1. Atveriet nepieciešamo repozitoriju (piemēram, Trusted Root Certification Authorities). Lai to izdarītu, atveriet pavedienu Sertifikāti — pašreizējais lietotājs / uzticamās saknes sertifikācijas iestādes / sertifikāti(skat. 5. att.).

Rīsi. 5. Konsoles logs

2. Izvēlieties izvēlni Darbība/ Visi uzdevumi / Importēt(skat. 6. att.).

Rīsi. 6. Izvēlne “Visi uzdevumi / Importēt”

3. Atvērtajā logā noklikšķiniet uz pogas Tālāk.

4. Pēc tam noklikšķiniet uz pogas Pārskats un norādiet importējamo sertifikāta failu (saknes sertifikāti Sertifikācijas centrs var lejupielādēt no vietnes Sertifikācijas centrs, regulējošo iestāžu sertifikāti atrodas Kontur-Extern sistēmas tīmekļa vietnē). Pēc sertifikāta izvēles jums jānoklikšķina uz pogas Atvērt(sk. 7. att.) un pēc tam noklikšķiniet uz pogas Tālāk.

Rīsi. 7. Importējamā sertifikāta izvēle

5. Nākamajā logā jānoklikšķina uz pogas Tālāk(vajadzīgā krātuve tiek izvēlēta automātiski). Skatīt att. 8.

Rīsi. 8. Krātuves izvēle

6. Nospiediet pogu Gatavs lai pabeigtu importēšanu (sk. 9. attēlu).

Rīsi. 9. Sertifikāta importa pabeigšana


Sertifikātu noņemšana

Lai noņemtu sertifikātus, izmantojot konsoli mmc(piemēram, no citu lietotāju krātuves), jums ir jāveic šādas darbības:

Paplašiniet pavedienu Sertifikāti - pašreizējais lietotājs / Citi lietotāji / Sertifikāti. Visi veikalā instalētie sertifikāti tiks parādīti loga labajā pusē. Citi lietotāji. Izcelt nepieciešamais sertifikāts, ar peles labo pogu noklikšķiniet uz tā un atlasiet Dzēst(skat. 10. att.).

Rīsi. 10. Konsoles logs

Labdien, dārgie emuāra vietnes lasītāji, šī mēneša laikā man ir jautāts vairākas reizes e-pasts kur sertifikāti tiek glabāti Windows sistēmās, zemāk es jums pastāstīšu sīkāk par šo jautājumu, mēs apsvērsim krātuves struktūru, kā atrast sertifikātus un kur tos var izmantot praksē, tas būs īpaši interesanti tiem cilvēkiem, kuri bieži izmanto ciparparakstus (elektroniski digitālais paraksts)

Kāpēc jums jāzina, kur sistēmā Windows tiek glabāti sertifikāti?

Ļaujiet man sniegt jums galvenos iemeslus, kāpēc vēlaties iegūt šīs zināšanas:

  • Jums ir nepieciešams apskatīt vai instalēt saknes sertifikātu
  • Jums ir nepieciešams apskatīt vai instalēt personas apliecība
  • Zinātkāre

Iepriekš es jums teicu, kādi sertifikāti ir un kur tos var iegūt un piemērot, iesaku izlasīt šo rakstu, jo tajā ietvertā informācija ir būtiska šajā tēmā.

Visās operētājsistēmās no Windows Vista līdz Windows 10 Redstone 2 sertifikāti tiek glabāti vienuviet, sava veida konteinerā, kas ir sadalīts divās daļās – viena lietotājam un otra datoram.

Vairumā gadījumu sistēmā Windows varat mainīt noteiktus iestatījumus, izmantojot mmc pievienojumprogrammu, un sertifikātu krātuve nav izņēmums. Un tāpēc nospiediet taustiņu kombināciju WIN + R un atvērtajā logā izpildiet, ierakstiet mmc.

Protams, var ievadīt komandu certmgr.msc, taču tādā veidā var atvērt tikai personīgos sertifikātus

Tagad tukšā mmc papildprogrammā noklikšķiniet uz izvēlnes Fails un atlasiet Pievienot vai noņemt papildprogrammu (īsinājumtaustiņš CTRL+M).

Logā Papildprogrammu pievienošana un noņemšana laukā Pieejamie papildinājumi atrodiet sertifikātus un noklikšķiniet uz pogas Pievienot.

Šeit, sertifikātu pārvaldniekā, varat pievienot papildinājumus:

  • mans lietotāja konts
  • pakalpojuma konts
  • datora konts

Es parasti pievienoju lietotāja kontam

un datoru

Datoram ir papildu iestatījumi, tas ir vai nu lokālais dators, vai attālais dators (tīklā), atlasiet pašreizējo un noklikšķiniet uz Gatavs.

Beigās man sanāca šī bilde.

Nekavējoties saglabāsim izveidoto aprīkojumu, lai nākamreiz šīs darbības nebūtu jāveic. Atveriet izvēlni Fails > Saglabāt kā.

Iestatiet saglabāšanas vietu un viss.

Kā redzat sertifikātu glabāšanas konsoli, savā piemērā es jums parādu operētājsistēmā Windows 10 Redstone, es jums apliecinu, ka loga saskarne visur ir vienāda. Kā jau iepriekš rakstīju šeit, ir divas jomas Sertifikāti - pašreizējais lietotājs un sertifikāti (lokālais dators)

Sertifikāti - pašreizējais lietotājs

Šajā apgabalā ir šādas mapes:

  1. Personiskie > tas ietver personiskos sertifikātus (publiskās vai privātās atslēgas), ko instalējat no dažādiem roottokeniem vai etokeniem
  2. Trusted Root Certification Authorities > Tie ir sertifikācijas iestāžu sertifikāti, kuriem uzticoties jūs automātiski uzticaties visiem to izsniegtajiem sertifikātiem, tie ir nepieciešami, lai automātiski pārbaudītu lielāko daļu sertifikātu pasaulē. Šis saraksts tiek izmantots uzticības attiecību veidošanas ķēdēs starp CA, tas tiek atjaunināts, izmantojot Windows atjauninājumus.
  3. Uzticības attiecības uzņēmumā
  4. Vidēja līmeņa CA
  5. Active Directory lietotāja objekts
  6. Uzticami izdevēji
  7. Sertifikāti, kas nav uzticami
  8. Trešās puses saknes sertifikācijas iestādes
  9. Pilnvarotie
  10. Klientu autentifikācijas sertifikātu nodrošinātāji
  11. Vietējie nenoņemamie sertifikāti
  12. Viedkaršu uzticamie saknes sertifikāti

Personiskajā mapē pēc noklusējuma nav sertifikātu, ja vien jūs tos neesat instalējis. Instalēšana var notikt vai nu no marķiera, vai arī pieprasot vai importējot sertifikātu.

  • PKCS#12 (.PFX, .P12)
  • Kriprogrāfiskās ziņojumu sintakses standarts — PKCS #7 (.p7b) sertifikāti
  • Serializēto sertifikātu veikals (.SST)

Cilnē Uzticamās sertifikācijas iestādes redzēsit iespaidīgu lielāko izdevēju saknes sertifikātu sarakstu, pateicoties kuriem jūsu pārlūkprogramma uzticas lielākajai daļai vietņu sertifikātu, jo, ja uzticaties saknei, tas nozīmē visus, kam tas ir izsniegts.

Veicot dubultklikšķi, jūs varat apskatīt sertifikāta saturu.

No darbībām varat tās tikai eksportēt, lai vēlāk varētu pārinstalēt citā datorā.

Eksports tiek veikts visizplatītākajos formātos.

Vēl viena interesanta lieta būtu to sertifikātu saraksts, kuri jau ir atsaukti vai ir nopludināti.

Lai instalētu sertifikātus, ir jāpievieno USB zibatmiņas disks ar elektronisko parakstu, jāatver tas un jāinstalē sertifikāti

1. Instalējiet galvenās sertifikācijas iestādes sertifikātu uzticamajās saknes iestādēs, lai to izdarītu:

1.1. Veiciet dubultklikšķi uz galvenās CA sertifikāta - faila “Head Certification Authority.cer”.

1.2. Atvērtajā veidlapā noklikšķiniet uz pogas "Instalēt sertifikātu...".

1.3. Atlasiet “Novietot visus sertifikātus nākamajā veikalā” (atzīmējiet izvēles rūtiņu pirms uzraksta) un noklikšķiniet uz pogas “Pārlūkot”.


1.4. Atvērtajā sarakstā atlasiet “Uzticamās saknes sertifikācijas iestādes” un noklikšķiniet uz “OK”.

2. Instalējiet personīgo sertifikātu

Personīgā sertifikāta instalēšana tiek veikta, izmantojot programmu CryptoPro CSP
2.1. Jums ir jāpalaiž CryptoPro CSP programma (poga Sākt -> CryptoPro CSP vai poga Sākt -> Visas programmas -> CRYPTO-PRO -> CryptoPro CSP).

2.2. Atvērtajā logā atlasiet cilni "Pakalpojums" un noklikšķiniet uz pogas "Instalēt personīgo sertifikātu...".

2.3. Atvērtajā logā jānoklikšķina uz pogas “Pārlūkot”, zibatmiņas diskā atlasiet organizācijas sertifikātu - 2. failu ar paplašinājumu “cer” (nevis CA sertifikāta fails (piemērā - “adicom.cer”). )) un noklikšķiniet uz "Tālāk".




2.4. Atvērtajā veidlapā noklikšķiniet uz "Tālāk"


2.5. Atvērtajā veidlapā atzīmējiet izvēles rūtiņu “Atrast konteineru automātiski”. Rezultātā tiks aizpildīts "Atslēgas konteinera nosaukums" un noklikšķiniet uz "Tālāk".


2.6. Atvērtajā veidlapā noklikšķiniet uz "Tālāk"


2.7. Atvērtajā veidlapā noklikšķiniet uz "Pabeigt"


Viss nepieciešamais ģenerēšanai elektroniskais paraksts Programmatūra – varat parakstīt drukātas veidlapas.

3. Instalējiet pārlūkprogrammā paplašinājumu (papildinājumu) CryptoPro Extension for Cades Browser Plug-in.

Lai instalētu pārlūkprogrammas paplašinājumu (papildinājumu) CryptoPro Extension for Cades Browser Plugin, atveriet paplašinājumu veikalu savā pārlūkprogrammā un meklējiet paplašinājumus, izmantojot vārdu Cades / For Yandex.Browser saite -

Pašparakstīto sertifikātu instalēšana ir ļoti izplatīts sistēmas administratora uzdevums. Parasti tas tiek darīts manuāli, bet ja ir desmitiem mašīnu? Un ko darīt, pārinstalējot sistēmu vai pērkot jaunu datoru, jo sertifikāti var būt vairāk nekā viens. Rakstīt krāpšanās lapas? Kāpēc, ja ir daudz vienkāršāks un ērtāks veids - ActiveDirectory grupu politikas. Kad esat konfigurējis politiku, jums vairs nav jāuztraucas par to, vai lietotājiem ir nepieciešamie sertifikāti.

Šodien mēs apskatīsim sertifikātu izplatīšanu, izmantojot piemēru saknes sertifikāts Zimbra, kuru eksportējām uz . Mūsu uzdevums būs šāds - automātiski izplatīt sertifikātu visiem vienībā (OU) iekļautajiem datoriem - Birojs. Tas ļaus jums neuzstādīt sertifikātu tur, kur tas nav nepieciešams: ziemeļos, noliktavu un kases darbstacijās utt.

Atvērsim papildprogrammu un konteinerā izveidosim jaunu politiku Grupas politikas objekti, lai to izdarītu, ar peles labo pogu noklikšķiniet uz konteinera un atlasiet Izveidot. Politika ļauj vienlaikus instalēt vienu vai vairākus sertifikātus, ko darīt, ir atkarīgs no jums, taču mēs dodam priekšroku katram sertifikātam izveidot savu politiku, kas ļauj elastīgāk mainīt to lietošanas noteikumus. Politikai vajadzētu arī dot skaidru nosaukumu, lai, atverot konsoli pēc sešiem mēnešiem, jums nebūtu sāpīgi atcerēties, kam tā paredzēta.

Pēc tam velciet politiku konteinerā Birojs, kas ļaus to lietot šai ierīcei.

Tagad ar peles labo pogu noklikšķiniet uz politikas un atlasiet Mainīt. Atvērtajā grupas politikas redaktorā mēs secīgi izvēršam Datora konfigurācija - Windows konfigurācija - Drošības iestatījumi - Politiķi publiskā atslēga - . Loga labajā pusē izvēlnē ar peles labo pogu atlasiet Importēt un importēt sertifikātu.

Politika ir izveidota, tagad ir laiks pārbaudīt, vai tā tiek pareizi piemērota. Pēc brīža Grupas politikas pārvaldība izvēlamies Grupas politikas simulācija un palaist, ar peles labo pogu noklikšķiniet Simulācijas vednis.

Lielāko daļu iestatījumu var atstāt kā noklusējuma iestatījumus, vienīgais, kas jānorāda, ir lietotājs un dators, kuram vēlaties pārbaudīt politiku.

Pēc simulācijas veikšanas mēs varam pārbaudīt, vai politika ir veiksmīgi piemērota norādītajam datoram citādi izvērsiet vienumu Noraidītie objekti un aplūkojiet iemeslu, kāpēc politika izrādījās nepiemērojama šim lietotājam vai datoru.

Pēc tam mēs pārbaudīsim politikas darbību klienta datorā, lai to izdarītu, mēs atjaunināsim politikas manuāli ar komandu:

Gpupdate

Tagad atveram sertifikātu veikalu. Vienkāršākais veids, kā to izdarīt, ir caur Internet Explorer: Interneta opcijas -Saturs -Sertifikāti. Tvertnē jābūt mūsu sertifikātam Uzticamas saknes sertifikācijas iestādes.

Kā redzams viss strādā un administratoram par vienu galvu mazāk, sertifikāts tiks automātiski izdalīts uz visiem nodaļā novietotajiem datoriem Birojs. Ja nepieciešams, varat iestatīt sarežģītākus nosacījumus politikas piemērošanai, taču tas ir ārpus šī raksta darbības jomas.

Aizpildot dokumentus vai reģistrējot organizāciju, lietotāji saskaras ar kļūdu - “Nav iespējams izveidot sertifikātu ķēdi uzticamai personai. saknes centrs" Ja mēģināt vēlreiz, kļūda tiek parādīta vēlreiz. Ko darīt šajā situācijā, lasiet tālāk rakstā.

Kļūdu cēloņi sertifikātu ķēdē

Kļūdas var rasties dažādu iemeslu dēļ – problēmas ar internetu klienta pusē, bloķēšana programmatūra Windows Defender vai citi pretvīrusi. Turklāt sertifikācijas iestādes saknes sertifikāta trūkums, problēmas kriptogrāfiskā paraksta procesā un citi.

Kļūdas labošana, veidojot sertifikātu ķēdes izveidi uzticamai saknes iestādei

Vispirms pārliecinieties, vai jums nav problēmu ar interneta savienojumu. Kļūda var parādīties, ja nav piekļuves. Tīkla kabelim jābūt savienotam ar datoru vai maršrutētāju.

  1. Noklikšķiniet uz pogas "Sākt" un meklējiet "Command Prompt".
  2. Atlasiet to ar peles labo pogu un noklikšķiniet uz "Palaist kā administratoram".
  3. DOS logā ievadiet šādu komandu “ping google.ru”.

Kad ir izveidots interneta savienojums, jums vajadzētu redzēt datus par nosūtītajām paketēm, pārraides ātrumu un citu informāciju. Ja nav interneta, jūs redzēsiet, ka paketes nesasniedza galamērķi.

Tagad pārbaudīsim sertifikācijas iestādes saknes sertifikāta esamību. Lai to izdarītu:


Ja sertifikāta nav, tas ir jālejupielādē. Vairumā gadījumu tas atrodas saknes sertifikātos, un lietotājam tas ir tikai jāinstalē. Ir arī vērts atcerēties, ka vislabāk ir izmantot pārlūkprogrammu Internet Explorer, lai darba procesā rastos mazāk kļūdu un kļūmju. Mēģiniet atrast CA saknes sertifikātos, pēc tam atliek tikai noklikšķināt uz pogas "Instalēt", restartēt pārlūkprogrammu, un jūs atrisināsit kļūdu ar kļūdu - "Nevar izveidot sertifikātu ķēdi uzticamai saknes iestādei ”.

CA saknes sertifikāta pārbaude pārlūkprogrammā

Pārbaudi var veikt pārlūkprogrammā.

  1. Izvēlnē atlasiet “Pakalpojums”.
  2. Pēc tam noklikšķiniet uz rindas "Interneta opcijas".
  3. Noklikšķiniet uz cilnes Saturs.
  4. Šeit jums jāizvēlas "Sertifikāti".
  5. Nākamā cilne " Uzticami centri sertifikācija". Šeit ir jābūt CA saknes sertifikātam, parasti tas atrodas saraksta apakšā.

Tagad mēģiniet vēlreiz veikt darbības, kas izraisīja kļūdu. Lai iegūtu saknes sertifikātu, jums jāsazinās ar atbilstošo centru, kurā saņēmāt UPC ES.

Citi veidi, kā novērst sertifikātu ķēdes kļūdu

Apskatīsim, kā pareizi lejupielādēt, instalēt un lietot CryptoPro. Lai pārliecinātos, ka programma nav instalēta jūsu datorā (ja datorā ir vairāki lietotāji), jums jāatver izvēlne Sākt. Pēc tam atlasiet “Programmas” un sarakstā atrodiet “CryptoPro”. Ja tas neeksistē, mēs to instalēsim. Programmu var lejupielādēt no saites https://www.cryptopro.ru/downloads. Šeit jums ir nepieciešams “CryptoPro CSP” - atlasiet versiju.

Nākamajā logā jums vajadzētu redzēt iepriekšējas reģistrācijas ziņojumu.

CryptoPro instalēšana

Kad instalācijas fails ir lejupielādēts, tas ir jāpalaiž, lai to instalētu datorā. Sistēma parādīs brīdinājumu, ka programma lūdz atļauju mainīt failus datorā, ļaujiet tai to darīt.

Pirms programmas instalēšanas datorā ir jāizvelk visi marķieri. Pārlūkprogrammai jābūt konfigurētai, lai tā darbotos, izņēmums ir Opera pārlūks, tajā jau ir veikti visi noklusējuma iestatījumi. Vienīgais, kas lietotājam paliek, ir aktivizēt īpašu spraudni darbam. Procesa laikā jūs redzēsiet atbilstošu logu, kurā Opera piedāvā aktivizēt šo spraudni.

Pēc programmas palaišanas logā būs jāievada atslēga.

Programmu palaišanai varat atrast šādā ceļā: “Sākt”, “Visas programmas”, “CryptoPro”, “CryptoPro CSP”. Atvērtajā logā noklikšķiniet uz pogas “Ievadīt licenci” un ievadiet atslēgu pēdējā kolonnā. Gatavs. Tagad programma ir attiecīgi jākonfigurē, lai tā atbilstu jūsu vajadzībām. Dažos gadījumos elektroniskajiem parakstiem tiek izmantotas papildu utilītas - CryptoPro Office Signature un CryptoAKM. Jūs varat labot kļūdu — nav iespējams izveidot sertifikātu ķēdi uzticamam saknes centram — vienkārši pārinstalējot CryptoPro. Izmēģiniet šo, ja citi padomi nepalīdz.

Vai kļūda joprojām parādās? Nosūtiet atbalsta dienestam pieprasījumu, kurā jums jāpublicē secīgo darbību ekrānuzņēmumi un detalizēti jāizskaidro jūsu situācija.