Sertifikatkjeden for den klarerte rotautoriteten kan ikke bygges. Automatisk oppdatering av sertifikatlageret Trusted Root Certification Authorities på Windows-datamaskiner som ikke har direkte tilgang til Internett-listen over klarerte sertifikater


  • "Andre brukere" er et oppbevaringssted for sertifikater fra regulatoriske myndigheter;
  • "Trusted root Certification Authorities" og "Intermediate Certification Authorities" er arkiver forr.

Installasjon av personlige sertifikater utføres kun ved hjelp av Crypto Pro-programmet.

For å starte konsollen må du gjøre følgende:

1. Velg "Start"-menyen > "Kjør" (eller trykk samtidig på "Win+R"-tastene på tastaturet).

2. Angi mmc-kommandoen og klikk på "OK"-knappen.

3. Velg Fil > Legg til eller fjern snap-in.

4. Velg snapin-modulen "Sertifikater" fra listen og klikk på "Legg til"-knappen.

5. I vinduet som åpnes velger du "Min konto bruker" og klikk på "Fullfør"-knappen.

6. Velg utstyret som er lagt til fra listen til høyre og klikk på "OK"-knappen.

Installere sertifikater

1. Åpne det nødvendige depotet (for eksempel Trusted Root Certification Authorities). For å gjøre dette, utvide grenen "Sertifikater - nåværende bruker" > "Trusted Root Certification Authorities" > "Sertifikater".

2. Velg Handling-menyen > Alle oppgaver > Importer.

4. Klikk deretter på "Bla gjennom"-knappen og spesifiser sertifikatfilen for import (rotsertifikater til sertifiseringssenteret kan lastes ned fra nettstedet til sertifiseringssenteret, sertifikater fra tilsynsmyndighetene er plassert på nettstedet til Kontur.Extern-systemet) . Etter å ha valgt sertifikatet, må du klikke på "Åpne"-knappen og deretter på "Neste".

5. I neste vindu må du klikke på "Neste"-knappen (nødvendig lagringsplass velges automatisk).

6. Klikk på "Fullfør"-knappen for å fullføre importen.

Fjerning av sertifikater

For å fjerne sertifikater ved å bruke mmc-konsollen (for eksempel fra butikken for andre brukere), må du gjøre følgende:

Utvid grenen "Sertifikater - nåværende bruker" > "Andre brukere" > "Sertifikater". På høyre side av vinduet vises alle sertifikater som er installert i butikken for andre brukere. Marker nødvendig sertifikat, høyreklikk på den og velg Slett.

For å installere sertifikater må du koble til en USB-flash-stasjon med en elektronisk signatur, åpne den og installere sertifikatene

1. Installer sertifikatet til hovedsertifiseringsmyndigheten i de pålitelige rotmyndighetene, for dette må du:

1.1. Dobbeltklikk på sertifikatet til hoved-CA - filen "Head Certification Authority.cer".

1.2. Klikk på "Installer sertifikat..."-knappen i skjemaet som åpnes.

1.3. Velg "Plasser alle sertifikater i følgende butikk" (merk av i boksen før påskriften) og klikk på "Bla gjennom"-knappen.


1.4. I listen som åpnes, velg "Trusted Root Certification Authorities" og klikk "OK".

2. Installer et personlig sertifikat

Installasjon av et personlig sertifikat gjøres ved hjelp av programmet CryptoPro CSP
2.1. Du må starte CryptoPro CSP-programmet (Start-knapp -> CryptoPro CSP eller Start-knapp -> Alle programmer -> CRYPTO-PRO -> CryptoPro CSP).

2.2. I vinduet som åpnes, velg "Service"-fanen og klikk på "Installer"-knappen personlig sertifikat…».

2.3. I vinduet som åpnes, må du klikke på "Bla gjennom"-knappen, velge organisasjonens sertifikat på flash-stasjonen - den andre filen med utvidelsen "cer" (ikke CA-sertifikatfilen (i eksemplet - "adicom.cer" )) og klikk "Neste".




2.4. I skjemaet som åpnes, klikk "Neste"


2.5. I skjemaet som åpnes, klikker du på "Finn container automatisk". Som et resultat vil "Nøkkelbeholderens navn" fylles ut og klikke "Neste"


2.6. I skjemaet som åpnes, klikk "Neste"


2.7. I skjemaet som åpnes, klikk "Fullfør"


Alt nødvendig for å generere elektronisk signatur Programvare – du kan signere trykte skjemaer.

3. Installer utvidelsen (tillegget) CryptoPro Extension for Cades Browser Plug-in i nettleseren

For å installere nettleserutvidelsen (tillegget) CryptoPro Extension for Cades Browser Plugin, åpne utvidelsesbutikken i nettleseren din og søk etter utvidelser ved å bruke ordet Cades / For Yandex.Browser-lenke -

med problemet med umuligheten av riktig programvaredistribusjon på grunn av det faktum at lageret med sertifikater fra pålitelige rotsertifiseringsmyndigheter ikke er oppdatert på måldatamaskiner som kjører Windows OS (heretter, for korthets skyld, vil vi kalle denne butikken TrustedRootCA). På det tidspunktet ble problemet løst ved å distribuere pakken rootsupd.exe, tilgjengelig i artikkelen KB931125, som er relatert til OS Windows XP. Nå er dette operativsystemet fullstendig trukket tilbake fra Microsoft-støtte, og dette kan være grunnen til at denne KB-artikkelen ikke lenger er tilgjengelig på Microsofts nettsted. Til alt dette kan vi legge til at selv på den tiden ikke var løsningen med distribusjon av en pakke med sertifikater som allerede var utdatert på den tiden den mest optimale, siden systemer med OS på den tiden Windows Vista Og Windows 7, som allerede inkluderte en ny mekanisme for automatisk oppdatering av TrustedRootCA-sertifikatlageret. Her er en av de gamle artiklene om Windows Vista, som beskriver noen aspekter av hvordan en slik mekanisme fungerer -Sertifikatstøtte og resulterende Internett-kommunikasjon i Windows Vista . Nylig ble jeg igjen møtt med det opprinnelige problemet med å måtte oppdatere TrustedRootCA-sertifikatlageret på en rekke Windows-baserte klientdatamaskiner og servere. Alle disse datamaskinene har ikke direkte tilgang til Internett, og derfor utfører ikke den automatiske sertifikatfornyelsesmekanismen sin oppgave som ønsket. Muligheten for å åpne direkte tilgang til Internett for alle datamaskiner, selv til visse adresser, ble i utgangspunktet betraktet som et ekstremt alternativ, og søket etter en mer akseptabel løsning førte meg til artikkelenKonfigurer klarerte røtter og ikke tillatte sertifikater(RU ), som umiddelbart svarte på alle spørsmålene mine. Vel, generelt, basert på denne artikkelen, vil jeg i dette notatet kort skissere spesifikt eksempel hvordan du sentralt kan rekonfigurere den samme automatiske oppdateringsmekanismen for TrustedRootCA-sertifikatlageret på Windows Vista og høyere datamaskiner, slik at den bruker en filressurs eller et nettsted på det lokale bedriftsnettverket som en oppdateringskilde.

Til å begynne med, det du må være oppmerksom på, er at i gruppepolicyer som brukes på datamaskiner, bør ikke parameteren som blokkerer driften av den automatiske oppdateringsmekanismen være aktivert. Dette er en parameter Slå av automatisk oppdatering av rotsertifikater i seksjon Datamaskinkonfigurasjon > Administrative maler > System > administrasjon av Internett-kommunikasjon > Innstillinger for Internett-kommunikasjon. Vi trenger denne parameteren for å være Av, eller bare Ikke konfigurert.

Hvis du ser på TrustedRootCA-sertifikatlageret under Lokal datamaskin, så på systemer som ikke har direkte tilgang til Internett, vil settet med sertifikater være, la oss bare si, lite:

Denne filen er praktisk å bruke, for eksempel når du bare trenger å velge et bestemt sett fra hele undersettet av tilgjengelige sertifikater og laste dem opp til en separat SST-fil for videre lasting, for eksempel ved å bruke den lokale seeller bruke Gr(for import til noen eller domenepolicy gjennom parameteren Datamaskinkonfigurasjon > Retningslinjer > Windows-innstillinger > Sikkerhetsinnstillinger > Retningslinjer for offentlig nøkkel > Pålitelige rotsertifiseringsinstanser).

For metoden for å distribuere rotsertifikater som interesserer oss, ved å modifisere driften av den automatiske oppdateringsmekanismen på sluttklientdatamaskiner, trenger vi en litt annen representasjon av settet med gjeldende rotsertifikater. Du kan få det med samme verktøy Certutil, men med et annet sett med nøkler.

I vårt eksempel vil en delt nettverksmappe på en filserver bli brukt som en lokal distribusjonskilde. Og her er det viktig å være oppmerksom på det faktum at når du forbereder en slik mappe, er det nødvendig å begrense skrivetilgangen slik at det ikke skjer at noen kan endre settet med rotsertifikater, som da vil bli "spredt" over mange datamaskiner.

Certutil-syncWithWU -f -f \\FILSERVER\SHARE\RootCAupd\GPO-Deployment\

Nøkler -f -f brukes til å tvinge frem en oppdatering av alle filer i målkatalogen.

Som et resultat av å utføre kommandoen, vil mange filer med et totalt volum på omtrent en halv megabyte vises i nettverksmappen vi spesifiserte:

I følge de tidligere nevnte artikler , formålet med filene er som følger:

  • Fil autrootstl.cab inneholder tillitslister for tredjepartssertifikater;
  • Fil disallowedcertstl.cab inneholder en sertifikatklareringsliste med ikke-klarerte sertifikater;
  • Fil disallowedcert.sst inneholder et lager med serialiserte sertifikater, inkludert ikke-klarerte sertifikater;
  • Filer med navn som thumbprint.crt inneholder rotsertifikater fra tredjeparter.

Så filene som er nødvendige for driften av den automatiske oppdateringsmekanismen er mottatt, og vi går nå videre til å implementere endringer i operasjonsskjemaet til denne mekanismen. For dette, som alltid, kommer retningslinjer for domenegruppe til hjelp. Active Directory (GPO), selv om du kan bruke andre sentraliserte administrasjonsverktøy, er alt vi trenger å gjøre på alle datamaskiner å endre, eller snarere legge til, bare én registerparameter RootDirURL i tråden HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate, som vil bestemme banen til nettverkskatalogen vår, der vi tidligere plasserte et sett med rotsertifikatfiler.

Når vi snakker om å sette opp en GPO, kan du igjen bruke forskjellige alternativer for å oppnå oppgaven. For eksempel er det et "old-school" alternativ med å lage din egen gruppepolicymal, da dette er beskrevet i den allerede kjente artikkel . For å gjøre dette, opprett en fil i GPO-administrativ malformat ( A.D.M.), for eksempel med navnet RootCAUpdateLocalPath.adm og innholdet:

KLASSE MASKINKATEGORI !!Systemsertifikater NØKKELNAVN " Programvare\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" POLICY !!RootDirURL FORKLAR !!RootDirURL_help PART !!RootDirURL EDITTEXT VALUENAME "RootDirURL " END PART END POLICY END CATEGORY RootDirURL="URL-adresse som skal brukes i stedet for standard ctldl.windowsupdate.com" Root-URL-adresse eller HTTP-hjelp. å bruke som nedlastingssted for CTL-filene." SystemCertificates="Windows AutoUpdate Settings"

La oss kopiere denne filen til domenekontrolleren i katalogen %SystemRoot%\inf (vanligvis katalogen C:\Windows\inf). Etter dette, la oss gå til redigeringsprogrammet for domenegruppepolicy og opprette en egen ny policy, og deretter åpne den for redigering. I seksjonen Datamaskinkonfigurasjon > Administrative maler...åpne kontekstmenyen og velg alternativet for å koble til en ny policymal Legg til/fjern maler

I vinduet som åpnes bruker du bla-knappen for å velge filen som ble lagt til tidligere %SystemRoot%\inf\RootCAUpdateLocalPath.adm, og etter at malen vises i listen, klikker du Lukke.

Etter å ha fullført handlingen i delen Konfigurasjon > Administrative maler > Klassiske administrative maler (A.D.M.) vises en gruppe Windows AutoUpdate-innstillinger, der den eneste parameteren vil være tilgjengelig URL-adresse som skal brukes i stedet for standard ctldl.windowsupdate.com

La oss åpne denne parameteren og angi banen til den lokale ressursen som vi fant de tidligere nedlastede oppdateringsfilene på, i formatet http://server1/mappe eller fil://\\server1\mappe .
For eksempel file://\\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment

La oss lagre endringene som er gjort og bruke den opprettede policyen på domenebeholderen der måldatamaskinene er plassert. Imidlertid har den vurderte metoden for å sette opp GPOer en rekke ulemper, og det er derfor jeg kalte det "old-school".

En annen, mer moderne og mer avansert metode for å sette opp et klientregister er å bruke Gruppepolicyinnstillinger (GPP). Med dette alternativet kan vi opprette det tilsvarende GPP-objektet i Group Policy-delen Datamaskinkonfigurasjon > Preferanser > Register med parameteroppdatering ( Handling: Oppdater) registret RootDirURL(verditype REG_SZ)

Om nødvendig kan vi aktivere en fleksibel målrettingsmekanisme for den opprettede GPP-parameteren (Tab Vanlig>Alternativ Målretting på varenivå) på en bestemt datamaskin eller gruppe med datamaskiner for foreløpig testing av hva vi til slutt vil få etter å ha brukt gruppepolicyer.

Selvfølgelig må du velge ett alternativ, enten ved å koble til ditt eget A.D.M.-mal, eller ved hjelp av GPP.

Etter å ha satt opp gruppepolicyer på en eksperimentell klientdatamaskin, vil vi oppdatere med kommandoen gpupdate /force etterfulgt av en omstart. Etter at systemet har startet opp, sjekk registret for tilstedeværelsen av den opprettede nøkkelen og prøv å sjekke om rotsertifikatlageret er oppdatert. For å sjekke, vil vi bruke et enkelt, men effektivt eksempel beskrevet i notatet.Klarerte røtter og ikke tillatte sertifikater .

La oss for eksempel se om datamaskinens sertifikatlager inneholder et rotsertifikat som brukes til å utstede et sertifikat som er installert på et nettsted som heter buypass.no (men vi går ikke til selve siden ennå :)).

Den mest praktiske måten å gjøre dette på er ved hjelp av verktøy PowerShell:

Get-ChildItem cert:\localmachine\root | Hvor ( $_ .friendlyname -like " *Buypass* " )

Med høy grad av sannsynlighet vil vi ikke ha slike rotsertifikat. I så fall åpner vi den Internet Explorer og få tilgang til URL-en https://buypass.no . Og hvis mekanismen vi konfigurerte for automatisk oppdatering av rotsertifikater fungerer vellykket, så i Windows-hendelsesloggen Søknad en hendelse med en kilde ( Kilde) CAPI2, som indikerer at det nye rotsertifikatet ble lastet ned:

Loggnavn: Applikasjon

Installering av selvsignerte sertifikater er en svært vanlig oppgave for en systemadministrator. Vanligvis gjøres dette manuelt, men hva om det er dusinvis av maskiner? Og hva du skal gjøre når du installerer systemet på nytt eller kjøper en ny PC, fordi det kan være mer enn ett sertifikat. Skrive jukseark? Hvorfor, når det er en mye enklere og mer praktisk måte - ActiveDirectory gruppepolicyer. Når du har konfigurert policyen, trenger du ikke lenger å bekymre deg for om brukerne har de nødvendige sertifikatene.

I dag skal vi se på sertifikatdistribusjon ved å bruke eksemplet på et Zimbra-rotsertifikat som vi eksporterte til . Vår oppgave vil være som følger - å automatisk distribuere sertifikatet til alle datamaskiner som er inkludert i enheten (OU) - Kontor. Dette vil tillate deg å ikke installere sertifikatet der det ikke er nødvendig: i nord, lager- og kontantarbeidsstasjoner, etc.

La oss åpne snapin-modulen og lage en ny policy i beholderen Gruppepolicyobjekter, for å gjøre dette, høyreklikk på beholderen og velg Skape. Policyen lar deg installere ett eller flere sertifikater samtidig. Hva du skal gjøre er opp til deg, men vi foretrekker å lage vår egen policy for hvert sertifikat, dette gjør at vi kan endre reglene for bruken av dem mer fleksibelt. Du bør også gi policyen et klart navn slik at når du åpner konsollen seks måneder senere, trenger du ikke smertefullt å huske hva den er for.

Dra deretter policyen til beholderen Kontor, som gjør at den kan brukes på denne enheten.

La oss nå høyreklikke på policyen og velge Endre. I Group Policy Editor som åpnes, utvider vi sekvensielt Datamaskinkonfigurasjon - Windows-konfigurasjon - Sikkerhetsinnstillinger - Politikere offentlig nøkkel -. I høyre del av vinduet, i menyen med høyre museknapp, velg Import og importer sertifikatet.

Policyen er opprettet, nå er det på tide å sjekke at den brukes riktig. I snappet Group Policy Management la oss velge Gruppepolicysimulering og kjør med høyreklikk Simuleringsveiviser.

De fleste innstillingene kan stå som standard, det eneste du trenger å spesifisere er brukeren og datamaskinen du vil sjekke policyen for.

Etter å ha utført simuleringen, kan vi bekrefte at policyen ble brukt på den angitte datamaskinen, i noe annet utvide elementet Avviste objekter og se på årsaken til at politikken viste seg å være ubrukelig for til denne brukeren eller datamaskin.

Deretter vil vi sjekke driften av policyen på klient-PCen for å gjøre dette, vi vil oppdatere policyene manuelt med kommandoen:

Gpupdate

La oss nå åpne sertifikatlageret. Den enkleste måten å gjøre dette på er gjennom Internet Explorer: Internett-alternativer -Innhold -Sertifikater. Vårt sertifikat må være tilstede i containeren Pålitelige rotsertifiseringsinstanser.

Som du kan se, fungerer alt og administratoren har en hodepine mindre, sertifikatet vil automatisk bli distribuert til alle datamaskiner plassert i avdelingen Kontor. Om nødvendig kan du angi mer komplekse betingelser for å bruke policyen, men dette er utenfor rammen av denne artikkelen.

Når du fullfører dokumenter eller registrerer en organisasjon, støter brukere på en feil - "Det er ikke mulig å bygge en kjede av sertifikater for en pålitelig rotsenter" Hvis du prøver igjen, vises feilen igjen. Hva du skal gjøre i denne situasjonen, les videre i artikkelen.

Årsaker til feil i sertifikatkjeden

Feil kan oppstå av ulike årsaker - problemer med Internett på klientsiden, blokkering programvare Windows Defender eller andre antivirus. Videre mangelen på et rotsertifikat fra sertifiseringsmyndigheten, problemer i den kryptografiske signaturprosessen og andre.

Retting av en feil ved opprettelse av en sertifikatkjede for en pålitelig rotautoritet

Først av alt, sørg for at du ikke har problemer med Internett-tilkoblingen. Feilen kan vises hvis det ikke er tilgang. Nettverkskabelen må kobles til datamaskinen eller ruteren.

  1. Klikk på "Start"-knappen og søk etter "Ledetekst".
  2. Velg den med høyre museknapp og klikk "Kjør som administrator".
  3. Skriv inn følgende kommando i DOS-vinduet "ping google.ru".

Når Internett er tilkoblet, bør du se data om sendte pakker, overføringshastighet og annen informasjon. Hvis det ikke er Internett, vil du se at pakkene ikke nådde målet.

La oss nå sjekke tilstedeværelsen av rotsertifikatet til sertifiseringsmyndigheten. Slik gjør du dette:


Hvis det ikke er noe sertifikat, må du laste det ned. I de fleste tilfeller er det plassert i rotsertifikatene og brukeren trenger bare å installere det. Det er også verdt å huske at det er best å bruke nettleseren Internet Explorer slik at færre feil og feil oppstår under arbeidsprosessen. Prøv å finne CA i rotsertifikatene, etter det trenger du bare å klikke på "Installer" -knappen, starte nettleseren på nytt, og du vil løse problemet med feilen - "Kan ikke bygge en sertifikatkjede for den pålitelige rotautoriteten ."

Kontrollerer CA-rotsertifikatet i nettleseren

Testen kan utføres i en nettleser.

  1. Velg "Service" fra menyen.
  2. Klikk deretter på linjen "Alternativer for Internett".
  3. Klikk på fanen Innhold.
  4. Her må du velge "Sertifikater".
  5. Neste fane " Pålitelige sentre sertifisering". Det bør være et CA-rotsertifikat her, vanligvis er det nederst på listen.

Prøv nå trinnene som forårsaket feilen igjen. For å få et rotsertifikat må du kontakte det aktuelle senteret der du mottok UPC ES.

Andre måter å fikse sertifikatkjedefeil på

La oss se på hvordan du laster ned, installerer og bruker CryptoPro på riktig måte. For å være sikker på at programmet ikke er installert på PC-en din (hvis det er flere brukere på datamaskinen), må du åpne Start-menyen. Velg deretter "Programmer" og se etter "CryptoPro" i listen. Hvis den ikke eksisterer, installerer vi den. Du kan laste ned programmet fra lenken https://www.cryptopro.ru/downloads. Her trenger du "CryptoPro CSP" - velg versjon.

I neste vindu skal du se en forhåndsregistreringsmelding.

Installasjon av CryptoPro

Når installasjonsfilen er lastet ned, må du kjøre den for å installere den på datamaskinen. Systemet vil vise en advarsel om at programmet ber om tillatelse til å endre filer på PC-en, la det gjøre det.

Før du installerer programmet på datamaskinen din, må alle tokens dine trekkes ut. Nettleseren må være konfigurert for å fungere, unntaket er Opera nettleser, alle standardinnstillinger er allerede gjort i den. Det eneste som gjenstår for brukeren er å aktivere en spesiell plugin for arbeid. Under prosessen vil du se et tilsvarende vindu der Opera tilbyr å aktivere denne plugin-en.

Etter å ha startet programmet, må du skrive inn nøkkelen i vinduet.

Du finner programmet som skal startes i følgende bane: "Start", "Alle programmer", "CryptoPro", "CryptoPro CSP". I vinduet som åpnes, klikk på "Skriv inn lisens"-knappen og skriv inn nøkkelen i den siste kolonnen. Ferdig. Nå må programmet konfigureres deretter for å passe dine behov. I noen tilfeller brukes tilleggsverktøy for elektroniske signaturer - CryptoPro Office Signature og CryptoAKM. Du kan fikse feilen - det er ikke mulig å bygge en kjede av sertifikater for et pålitelig rotsenter - ved å installere CryptoPro på nytt. Prøv dette hvis andre tips ikke hjelper.

Dukker feilen fortsatt opp? Send en forespørsel til støttetjenesten, der du må legge ut skjermbilder av sekvensielle handlinger og forklare situasjonen din i detalj.