A cadeia de certificados para a autoridade raiz confiável não pode ser construída. Atualizando automaticamente o armazenamento de certificados de Autoridades de Certificação Raiz Confiáveis ​​em computadores Windows que não têm acesso direto à Internet Lista de certificados confiáveis


  • “Outros utilizadores” é um repositório de certificados de autoridades reguladoras;
  • “Autoridades de certificação raiz confiáveis” e “Autoridades de certificação intermediárias” são repositórios de certificados de Autoridade de Certificação.

A instalação dos certificados pessoais é realizada apenas através do programa Crypto Pro.

Para iniciar o console, você precisa fazer o seguinte:

1. Selecione o menu “Iniciar” > “Executar” (ou pressione simultaneamente as teclas “Win ​​​​+ R” do teclado).

2. Especifique o comando mmc e clique no botão “OK”.

3. Selecione Arquivo > Adicionar ou remover snap-in.

4. Selecione o snap-in “Certificados” da lista e clique no botão “Adicionar”.

5. Na janela que se abre, selecione “Meu conta usuário" e clique no botão "Concluir".

6. Selecione o equipamento adicionado na lista à direita e clique no botão “OK”.

Instalando certificados

1. Abra o repositório necessário (por exemplo, Autoridades de Certificação Raiz Confiáveis). Para fazer isso, expanda o ramo “Certificados - usuário atual” > “Autoridades de certificação raiz confiáveis” > “Certificados”.

2. Selecione o menu Ação > Todas as tarefas > Importar.

4. Em seguida, clique no botão “Navegar” e especifique o arquivo de certificado para importação (os certificados raiz do Centro de Certificação podem ser baixados do site do Centro de Certificação, os certificados das autoridades reguladoras estão localizados no site do sistema Kontur.Extern) . Após selecionar o certificado, deve-se clicar no botão “Abrir” e depois no botão “Avançar”.

5. Na janela seguinte, você deve clicar no botão “Avançar” (o armazenamento desejado é selecionado automaticamente).

6. Clique no botão “Concluir” para finalizar a importação.

Removendo certificados

Para remover certificados usando o console mmc (por exemplo, do armazenamento Outros usuários), você deve fazer o seguinte:

Expanda o ramo “Certificados - usuário atual” > “Outros usuários” > “Certificados”. O lado direito da janela exibirá todos os certificados instalados no armazenamento de Outros Usuários. Destaque certificado necessário, clique com o botão direito nele e selecione Excluir.

Para instalar certificados, você precisa conectar uma unidade flash USB com assinatura eletrônica, abri-la e instalar os certificados

1. Instale o certificado da autoridade de certificação principal nas autoridades raiz confiáveis, para isso você precisa:

1.1. Clique duas vezes no certificado da CA principal - o arquivo “Head Certification Authority.cer”.

1.2. No formulário que se abre, clique no botão “Instalar certificado...”.

1.3. Selecione “Colocar todos os certificados na seguinte loja” (marque a caixa antes da inscrição) e clique no botão “Navegar”.


1.4. Na lista que se abre, selecione “Autoridades de certificação raiz confiáveis” e clique em “OK”.

2. Instale um certificado pessoal

A instalação de um certificado pessoal é realizada através do programa CryptoPro CSP
2.1. Você precisa iniciar o programa CryptoPro CSP (botão Iniciar -> CryptoPro CSP ou botão Iniciar -> Todos os programas -> CRYPTO-PRO -> CryptoPro CSP).

2.2. Na janela que se abre, selecione a guia “Serviço” e clique no botão “Instalar” certificado pessoal…».

2.3. Na janela que se abre, você precisa clicar no botão “Navegar”, selecionar o certificado da organização no pen drive - o 2º arquivo com a extensão “cer” (não o arquivo de certificado CA (no exemplo - “adicom.cer” )) e clique em “Avançar”.




2.4. No formulário que se abre, clique em “Avançar”


2.5. No formulário que é aberto, clique na caixa de seleção “Localizar contêiner automaticamente”. Como resultado, o “Nome do contêiner de chave” será preenchido e clique em “Avançar”


2.6. No formulário que se abre, clique em “Avançar”


2.7. No formulário que se abre, clique em “Concluir”


Tudo o que é necessário para gerar assinatura eletrônica Software – você pode assinar formulários impressos.

3. Instale a extensão (complemento) CryptoPro Extension for Cades Browser Plug-in no navegador

Para instalar a extensão do navegador (complemento) CryptoPro Extension for Cades Browser Plugin, abra o armazenamento de extensões em seu navegador e pesquise as extensões usando a palavra Cades / For Yandex.Browser link -

com o problema da impossibilidade de implantação correta do software devido ao fato de que o armazenamento de certificados de autoridades de certificação raiz confiáveis ​​​​não é atualizado nos computadores de destino que executam o sistema operacional Windows (doravante, por questões de brevidade, chamaremos esse armazenamento de TrustedRootCA). Naquela época, o problema foi resolvido com a implantação do pacote rootupd.exe, disponível no artigo KB931125, que está relacionado ao sistema operacional janelas XP. Agora, este sistema operacional foi completamente retirado do suporte da Microsoft e pode ser por isso que este artigo da base de conhecimento não está mais disponível no site da Microsoft. A tudo isto podemos acrescentar que mesmo naquela altura a solução com a implantação de um pacote de certificados já desatualizado naquela altura não era a mais óptima, visto que naquela altura os sistemas com SO Windows Vista E Janelas 7, que já incluía um novo mecanismo para atualizar automaticamente o armazenamento de certificados TrustedRootCA. Aqui está um dos artigos antigos sobre o Windows Vista, descrevendo alguns aspectos de como esse mecanismo funciona -Suporte a certificados e comunicação resultante pela Internet no Windows Vista . Recentemente, enfrentei novamente o problema original de precisar atualizar o armazenamento de certificados TrustedRootCA em vários computadores e servidores clientes baseados em Windows. Todos esses computadores não possuem acesso direto à Internet e, portanto, o mecanismo automático de renovação de certificados não executa sua tarefa conforme desejado. A opção de abrir o acesso direto à Internet a todos os computadores, mesmo a determinados endereços, foi inicialmente considerada uma opção extrema, e a procura de uma solução mais aceitável levou-me ao artigoConfigurar raízes confiáveis ​​e certificados não permitidos(RU ), que respondeu imediatamente a todas as minhas perguntas. Bem, em geral, com base neste artigo, nesta nota descreverei brevemente o exemplo específico como você pode reconfigurar centralmente esse mesmo mecanismo de atualização automática para o armazenamento de certificados TrustedRootCA no Windows Vista e computadores superiores para que ele use um recurso de arquivo ou site na rede corporativa local como fonte de atualização.

Para começar, o que você precisa prestar atenção é que nas políticas de grupo aplicadas aos computadores, o parâmetro que bloqueia o funcionamento do mecanismo de atualização automática não deve estar habilitado. Este é um parâmetro Desative a atualização automática de certificados raiz na seção Configuração do computador > Modelos Administrativos > Sistema > Gerenciamento de comunicação na Internet > Configurações de comunicação pela Internet. Precisaremos que este parâmetro seja Desligado, ou apenas Não configurado.

Se você observar o armazenamento de certificados TrustedRootCA em Computador local, então em sistemas que não possuem acesso direto à Internet, o conjunto de certificados será, digamos, pequeno:

Este arquivo é conveniente para usar, por exemplo, quando você precisa selecionar apenas um determinado conjunto de todo o subconjunto de certificados disponíveis e carregá-los em um arquivo SST separado para carregamento adicional, por exemplo, usando o console de gerenciamento de certificados local ou usando o Console de gerenciamento de política de grupo (para importar para alguma política de domínio por meio do parâmetro Configuração do computador > Políticas > Configurações do Windows > Configurações de segurança > Políticas de Chave Pública > Autoridades de certificação raiz confiáveis).

Porém, para o método de distribuição de certificados raiz que nos interessa, ao modificar o funcionamento do mecanismo de atualização automática nos computadores clientes finais, precisaremos de uma representação ligeiramente diferente do conjunto de certificados raiz atuais. Você pode obtê-lo usando o mesmo utilitário Certutil, mas com um conjunto diferente de chaves.

Em nosso exemplo, uma pasta de rede compartilhada em um servidor de arquivos será usada como fonte de distribuição local. E aqui é importante atentar para o fato de que ao preparar tal pasta é necessário restringir o acesso de gravação para que não aconteça que alguém possa modificar o conjunto de certificados raiz, que então serão “espalhados” por muitos computadores.

Certutil-syncWithWU -f -f \\SERVIDOR DE ARQUIVOS\SHARE\RootCAupd\GPO-Deployment\

Chaves -f -f são usados ​​para forçar uma atualização de todos os arquivos no diretório de destino.

Como resultado da execução do comando, muitos arquivos com um volume total de aproximadamente meio megabyte aparecerão na pasta de rede que especificamos:

De acordo com o mencionado anteriormente artigos , a finalidade dos arquivos é a seguinte:

  • Arquivo authrootstl.cab contém listas confiáveis ​​de certificados de terceiros;
  • Arquivo disallowedcertstl.cab contém uma lista confiável de certificados com certificados não confiáveis;
  • Arquivo certificado não permitido.sst contém um armazenamento de certificados serializados, incluindo certificados não confiáveis;
  • Arquivos com nomes como impressão digital.crt contêm certificados raiz de terceiros.

Assim, foram recebidos os arquivos necessários ao funcionamento do mecanismo de atualização automática, e agora passamos a implementar alterações no esquema de funcionamento deste mesmo mecanismo. Para isso, como sempre, as políticas de grupo de domínio vêm em nosso auxílio. Diretório Ativo (GPO), embora você possa usar outras ferramentas de gerenciamento centralizado, tudo o que precisamos fazer em todos os computadores é alterar, ou melhor, adicionar apenas um parâmetro de registro RootDirURL no tópico HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate, que determinará o caminho para nosso diretório de rede, no qual colocamos anteriormente um conjunto de arquivos de certificado raiz.

Falando em configurar um GPO, você pode novamente usar diferentes opções para realizar a tarefa. Por exemplo, existe uma opção “old-school” de criar seu próprio modelo de Política de Grupo, conforme descrito no já familiar artigo . Para fazer isso, crie um arquivo no formato de modelo administrativo do GPO ( ADM), por exemplo, com o nome RootCAUpdateLocalPath.adm e o conteúdo:

AULA CATEGORIA DA MÁQUINA !!Certificados do Sistema KEYNAME " Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" POLICY !!RootDirURL EXPLAIN !!RootDirURL_help PART !!RootDirURL EDITTEXT VALUENAME "RootDirURL " END PART END POLICY END CATEGORY RootDirURL="Endereço URL a ser usado em vez do padrão ctldl.windowsupdate.com" RootDirURL_help="Insira um ARQUIVO ou URL HTTP para usar como local de download dos arquivos CTL." SystemCertificates="Configurações do Windows AutoUpdate"

Vamos copiar esse arquivo para o controlador de domínio no diretório %SystemRoot%\inf (geralmente o diretório C:\Windows\inf). Depois disso, vamos ao editor de política de grupo do domínio e criamos uma nova política separada e, em seguida, abrimos para edição. Na seção Configuração do computador > Modelos Administrativos… abra o menu de contexto e selecione a opção para conectar um novo modelo de política Adicionar/remover modelos

Na janela que se abre, use o botão de navegação para selecionar o arquivo adicionado anteriormente %SystemRoot%\inf\RootCAUpdateLocalPath.adm e depois que o modelo aparecer na lista, clique em Fechar.

Depois de concluir a ação na seção Configuração > Modelos Administrativos > Modelos Administrativos Clássicos (ADM) um grupo aparecerá Configurações de atualização automática do Windows, em que o único parâmetro estará disponível Endereço URL a ser usado em vez do padrão ctldl.windowsupdate.com

Vamos abrir este parâmetro e inserir o caminho para o recurso local no qual localizamos os arquivos de atualização baixados anteriormente, no formato http://server1/folder ou file://\\server1\folder .
Por exemplo arquivo://\\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment

Vamos salvar as alterações feitas e aplicar a política criada ao contêiner do domínio no qual os computadores de destino estão localizados. No entanto, o método considerado de configuração de GPOs tem uma série de desvantagens e é por isso que o chamei de “old-school”.

Outro método mais moderno e avançado de configurar um registro de cliente é usar Preferências de Política de Grupo (PPG). Com esta opção, podemos criar o objeto GPP correspondente na seção Política de Grupo Configuração do computador > Preferências > Registro com atualização de parâmetro ( Ação: Atualizar) registro RootDirURL(tipo de valor REG_SZ)

Se necessário, podemos habilitar um mecanismo de segmentação flexível para o parâmetro GPP criado (Tab Comum>Opção Segmentação em nível de item) em um computador ou grupo de computadores específico para testes preliminares do que obteremos após a aplicação das políticas de grupo.

Claro, você precisa escolher uma opção, conectando seu próprio ADM-modelo, ou usando PPG.

Depois de configurar políticas de grupo em qualquer computador cliente experimental, atualizaremos com o comando gpupdate / forçar seguido por uma reinicialização. Após a inicialização do sistema, verifique o registro quanto à presença da chave criada e tente verificar se o armazenamento de certificados raiz foi atualizado. Para verificar, usaremos um exemplo simples, mas eficaz, descrito na nota.Raízes confiáveis ​​e certificados não permitidos .

Por exemplo, vamos ver se existe um certificado raiz no armazenamento de certificados do computador que foi usado para emitir um certificado instalado em um site chamado buypass.no (mas ainda não acessamos o site :)).

A maneira mais conveniente de fazer isso é com a ajuda de ferramentas PowerShell:

Certificado Get-ChildItem:\localmachine\root | Onde ( $_ .friendlyname -like " *Buypass* " )

Com um alto grau de probabilidade não teremos tal certificado raiz. Se sim, vamos abri-lo Internet Explorer e acesse a URL https://buypass.no . E se o mecanismo que configuramos para atualizar automaticamente os certificados raiz funcionar com sucesso, então no log de eventos do Windows Aplicativo um evento com uma origem ( Fonte) CAPI2, indicando que o download do novo certificado raiz foi realizado com êxito:

Nome do log: Aplicativo

A instalação de certificados autoassinados é uma tarefa muito comum para um administrador de sistema. Geralmente isso é feito manualmente, mas e se houver dezenas de máquinas? E o que fazer ao reinstalar o sistema ou comprar um novo PC, pois pode haver mais de um certificado. Escrever folhas de dicas? Por que, quando existe uma maneira muito mais simples e conveniente - políticas de grupo do ActiveDirectory. Depois de configurar a política, você não precisa mais se preocupar se os usuários possuem os certificados necessários.

Hoje veremos a distribuição de certificados usando o exemplo de um certificado raiz Zimbra para o qual exportamos . Nossa tarefa será a seguinte - distribuir automaticamente o certificado para todos os computadores incluídos na unidade (OU) - Escritório. Isto permitirá evitar a instalação do certificado onde não é necessário: no norte, armazéns e postos de caixa, etc.

Vamos abrir o snap-in e criar uma nova política no container Objetos de política de grupo, para fazer isso, clique com o botão direito no contêiner e selecione Criar. A política permite instalar um ou vários certificados ao mesmo tempo. O que fazer fica a seu critério, mas preferimos criar nossa própria política para cada certificado, isso nos permite alterar as regras para seu uso de forma mais flexível. Você também deve dar um nome claro à política para que, ao abrir o console seis meses depois, não precise se lembrar dolorosamente para que serve.

Em seguida, arraste a política para o contêiner Escritório, o que permitirá que seja aplicado a esta unidade.

Agora vamos clicar com o botão direito na política e selecionar Mudar. No Editor de Política de Grupo que é aberto, expandimos sequencialmente Configuração do computador - Configuração do Windows - Configurações de segurança - Políticos chave pública - . À direita da janela, no menu com o botão direito do mouse, selecione Importar e importe o certificado.

A política foi criada, agora é hora de verificar se ela está sendo aplicada corretamente. Na hora Gerenciamento de Política de Grupo vamos escolher Simulação de Política de Grupo e execute-o clicando com o botão direito Assistente de simulação.

A maioria das configurações pode ser deixada como padrão, a única coisa que você precisa especificar é o usuário e o computador para os quais deseja verificar a política.

Após realizar a simulação, podemos verificar se a política foi aplicada com sucesso ao computador especificado, em de outra forma expandir o item Objetos rejeitados e veja a razão pela qual a política acabou sendo inaplicável a para este usuário ou computador.

A seguir verificaremos o funcionamento da política no PC cliente, para isso atualizaremos as políticas manualmente com o comando:

Atualização de Gp

Agora vamos abrir o armazenamento de certificados. A maneira mais fácil de fazer isso é através Internet Explorer: Opções da Internet -Contente -Certificados. Nosso certificado deve estar presente no contêiner Autoridades de certificação raiz confiáveis.

Como você pode ver tudo funciona e o administrador tem uma dor de cabeça a menos, o certificado será distribuído automaticamente para todos os computadores colocados no departamento Escritório. Se necessário, você pode definir condições mais complexas para a aplicação da política, mas isso está além do escopo deste artigo.

Ao preencher documentos ou registrar uma organização, os usuários encontram um erro - “Não é possível construir uma cadeia de certificados para um confiável centro raiz" Se você tentar novamente, o erro aparecerá novamente. O que fazer nesta situação, leia mais no artigo.

Causas de erros na cadeia de certificados

Os erros podem ocorrer por vários motivos - problemas com a Internet do lado do cliente, bloqueio programas Windows Defender ou outros antivírus. Além disso, a falta de certificado raiz da Autoridade Certificadora, problemas no processo de assinatura criptográfica, entre outros.

Corrigindo um erro ao criar uma cadeia de certificados para uma autoridade raiz confiável

Em primeiro lugar, certifique-se de que não tem problemas com a sua ligação à Internet. O erro pode aparecer quando não há acesso. O cabo de rede deve estar conectado ao computador ou roteador.

  1. Clique no botão “Iniciar” e pesquise “Prompt de comando”.
  2. Selecione-o com o botão direito do mouse e clique em “Executar como administrador”.
  3. Digite o seguinte comando na janela do DOS “ping google.ru”.

Quando a Internet estiver conectada, você deverá ver dados sobre pacotes enviados, velocidade de transmissão e outras informações. Se não houver Internet, você verá que os pacotes não chegaram ao destino.

Agora vamos verificar a presença do certificado raiz da autoridade certificadora. Para fazer isso:


Se não houver certificado, você precisará baixá-lo. Na maioria dos casos, ele está localizado nos certificados raiz e o usuário só precisa instalá-lo. Vale lembrar também que o melhor é utilizar o navegador Internet Explorer para que ocorram menos erros e falhas durante o processo de trabalho. Tente encontrar a CA nos certificados raiz, depois disso basta clicar no botão “Instalar”, reiniciar o navegador e você resolverá o problema com o erro - “Não é possível construir uma cadeia de certificados para a autoridade raiz confiável .”

Verificando o certificado raiz da CA no navegador

O teste pode ser realizado em um navegador.

  1. Selecione “Serviço” no menu.
  2. Em seguida, clique na linha “Opções da Internet”.
  3. Clique na guia Conteúdo.
  4. Aqui você precisa selecionar “Certificados”.
  5. Próxima guia " Centros confiáveis certificação". Deve haver um certificado raiz da CA aqui, geralmente no final da lista.

Agora tente novamente as etapas que causaram o erro. Para obter um certificado raiz, você deve entrar em contato com o centro apropriado onde recebeu o UPC ES.

Outras maneiras de corrigir erros na cadeia de certificados

Vejamos como baixar, instalar e usar o CryptoPro corretamente. Para ter certeza de que o programa não está instalado no seu PC (se houver vários usuários no computador), você precisa abrir o menu Iniciar. Em seguida, selecione “Programas” e procure “CryptoPro” na lista. Se não existir, iremos instalá-lo. Você pode baixar o programa no link https://www.cryptopro.ru/downloads. Aqui você precisa do “CryptoPro CSP” - selecione a versão.

Na próxima janela você deverá ver uma mensagem de pré-registro.

Instalação do CryptoPro

Depois que o arquivo de instalação for baixado, você precisará executá-lo para instalá-lo em seu computador. O sistema exibirá um aviso de que o programa está pedindo permissão para alterar arquivos no PC, permita-o.

Antes de instalar o programa no seu computador, todos os seus tokens devem ser extraídos. O navegador deve estar configurado para funcionar, a exceção é Navegador ópera, todas as configurações padrão já estão feitas nele. A única coisa que resta ao usuário é ativar um plugin especial para o trabalho. Durante o processo, você verá uma janela correspondente onde o Opera oferece a ativação deste plugin.

Após iniciar o programa, você precisará inserir a chave na janela.

Você pode encontrar o programa para iniciar no seguinte caminho: “Iniciar”, “Todos os programas”, “CryptoPro”, “CryptoPro CSP”. Na janela que se abre, clique no botão “Inserir licença” e insira a chave na última coluna. Preparar. Agora o programa precisa ser configurado de acordo com suas necessidades. Em alguns casos, utilitários adicionais são usados ​​​​para assinaturas eletrônicas - CryptoPro Office Signature e CryptoAKM. Você pode corrigir o erro - não é possível construir uma cadeia de certificados para um centro raiz confiável - simplesmente reinstalando o CryptoPro. Tente isso se outras dicas não ajudarem.

O erro ainda está aparecendo? Envie uma solicitação ao serviço de suporte, na qual você deverá postar screenshots de suas ações sequenciais e explicar detalhadamente sua situação.