Certifikatkedjan för den betrodda rotmyndigheten kan inte byggas. Automatisk uppdatering av Trusted Root Certification Authorities certifikatarkiv på Windows-datorer som inte har direkt åtkomst till Internetlistan över betrodda certifikat


  • "Andra användare" är ett arkiv med certifikat från tillsynsmyndigheter;
  • "Trusted Root Certification Authorities" och "Intermediate Certification Authorities" är lagringsplatser för certifikat från certifikatutfärdare.

Installation av personliga certifikat utförs endast med hjälp av Crypto Pro-programmet.

För att starta konsolen måste du göra följande:

1. Välj "Start"-menyn > "Kör" (eller tryck samtidigt på "Win+R"-tangenterna på ditt tangentbord).

2. Ange mmc-kommandot och klicka på knappen "OK".

3. Välj Arkiv > Lägg till eller ta bort Snap-In.

4. Välj snapin-modulen "Certifikat" från listan och klicka på knappen "Lägg till".

5. I fönstret som öppnas, välj "My konto användare" och klicka på knappen "Slutför".

6. Välj den tillagda utrustningen från listan till höger och klicka på knappen "OK".

Installerar certifikat

1. Öppna det nödvändiga arkivet (till exempel Trusted Root Certification Authorities). För att göra detta, expandera grenen "Certifikat - nuvarande användare" > "Trusted Root Certification Authorities" > "Certifikat".

2. Välj menyn Åtgärd > Alla uppgifter > Importera.

4. Klicka sedan på knappen "Bläddra" och ange certifikatfilen för import (rotcertifikat från Certification Center kan laddas ner från Certification Centers webbplats, certifikat från tillsynsmyndigheter finns på webbplatsen för Kontur.Extern-systemet) . Efter att ha valt certifikatet måste du klicka på knappen "Öppna" och sedan på knappen "Nästa".

5. I nästa fönster måste du klicka på knappen "Nästa" (önskad lagring väljs automatiskt).

6. Klicka på knappen "Slutför" för att slutföra importen.

Ta bort certifikat

För att ta bort certifikat med mmc-konsolen (till exempel från butiken för andra användare), måste du göra följande:

Expandera grenen "Certifikat - nuvarande användare" > "Andra användare" > "Certifikat". Den högra sidan av fönstret visar alla certifikat som är installerade i butiken för andra användare. Markera krävs certifikat, högerklicka på den och välj Ta bort.

För att installera certifikat måste du ansluta ett USB-minne med en elektronisk signatur, öppna den och installera certifikaten

1. Installera certifikatet för huvudcertifieringsmyndigheten i de betrodda rotmyndigheterna, för detta måste du:

1.1. Dubbelklicka på certifikatet för huvud-CA - filen "Head Certification Authority.cer".

1.2. Klicka på knappen "Installera certifikat..." i formuläret som öppnas.

1.3. Välj "Placera alla certifikat i följande butik" (kryssa i rutan före inskriptionen) och klicka på knappen "Bläddra".


1.4. I listan som öppnas, välj "Trusted Root Certification Authorities" och klicka på "OK".

2. Installera ett personligt certifikat

Installation av ett personligt certifikat utförs med hjälp av programmet CryptoPro CSP
2.1. Du måste starta CryptoPro CSP-programmet (Startknapp -> CryptoPro CSP eller Startknapp -> Alla program -> CRYPTO-PRO -> CryptoPro CSP).

2.2. I fönstret som öppnas, välj fliken "Tjänst" och klicka på knappen "Installera". personligt intyg…».

2.3. I fönstret som öppnas måste du klicka på knappen "Bläddra", välj organisationens certifikat på flashenheten - den andra filen med tillägget "cer" (inte CA-certifikatfilen (i exemplet - "adicom.cer" )) och klicka på "Nästa".




2.4. Klicka på "Nästa" i formuläret som öppnas


2.5. I formuläret som öppnas, klicka på kryssrutan "Hitta behållare automatiskt". Som ett resultat kommer "Nyckelbehållarens namn" att fyllas i och klicka på "Nästa"


2.6. Klicka på "Nästa" i formuläret som öppnas


2.7. Klicka på "Slutför" i formuläret som öppnas


Allt som behövs för att generera elektronisk signatur Programvara – du kan signera tryckta formulär.

3. Installera tillägget (tillägget) CryptoPro Extension for Cades Browser Plug-in i webbläsaren

För att installera webbläsartillägget (tillägg) CryptoPro Extension for Cades Browser Plugin, öppna tilläggsbutiken i din webbläsare och sök efter tillägg med ordet Cades / For Yandex.Browser-länk -

med problemet med omöjligheten av korrekt programvarudistribution på grund av att lagret av certifikat från betrodda rotcertifieringsmyndigheter inte uppdateras på måldatorer som kör Windows OS (hädanefter kallar vi denna butik TrustedRootCA). Vid den tiden löstes problemet genom att distribuera paketet rootsupd.exe, tillgänglig i artikeln KB931125, som relaterade till operativsystemet Windows XP. Nu har detta operativsystem helt tagits bort från Microsofts support, och det kan vara anledningen till att denna KB-artikel inte längre är tillgänglig på Microsofts webbplats. Till allt detta kan vi lägga till att inte ens på den tiden lösningen med distributionen av ett paket med certifikat som redan var föråldrat vid den tiden inte var den mest optimala, eftersom system med OS vid den tiden Windows Vista Och Windows 7, som redan inkluderade en ny mekanism för automatisk uppdatering av TrustedRootCA-certifikatarkivet. Här är en av de gamla artiklarna om Windows Vista, som beskriver några aspekter av hur en sådan mekanism fungerar -Certifikatstöd och resulterande Internetkommunikation i Windows Vista . Nyligen ställdes jag återigen inför det ursprungliga problemet med att behöva uppdatera TrustedRootCA-certifikatarkivet på ett antal Windows-baserade klientdatorer och servrar. Alla dessa datorer har inte direkt tillgång till Internet och därför utför den automatiska certifikatförnyelsemekanismen inte sin uppgift som önskat. Möjligheten att öppna direktåtkomst till Internet för alla datorer, även till vissa adresser, betraktades från början som ett extremt alternativ, och sökandet efter en mer acceptabel lösning ledde mig till artikelnKonfigurera betrodda rötter och otillåtna certifikat(RU ), som omedelbart svarade på alla mina frågor. Tja, i allmänhet, baserat på den här artikeln, kommer jag i denna anteckning kort att beskriva specifikt exempel hur du centralt kan konfigurera om samma automatiska uppdateringsmekanism för TrustedRootCA-certifikatarkivet på Windows Vista och högre datorer så att det använder en filresurs eller webbplats på det lokala företagsnätverket som en uppdateringskälla.

Till att börja med, vad du behöver vara uppmärksam på är att i grupppolicyer som tillämpas på datorer, bör parametern som blockerar driften av den automatiska uppdateringsmekanismen inte vara aktiverad. Detta är en parameter Stäng av automatisk uppdatering av rotcertifikat i avsnitt Datorkonfiguration > Administrativa mallar > System > Internetkommunikationshantering > Inställningar för Internetkommunikation. Vi behöver denna parameter vara Av, eller bara Ej konfigurerad.

Om du tittar på TrustedRootCA-certifikatarkivet under Lokal dator, sedan på system som inte har direkt tillgång till Internet, kommer uppsättningen av certifikat att vara, låt oss bara säga, liten:

Den här filen är praktisk att använda, till exempel när du behöver välja endast en viss uppsättning från hela underuppsättningen av tillgängliga certifikat och ladda upp dem till en separat SST-fil för vidare inläsning, till exempel genom att använda den lokala certifikathanteringskonsolen eller använda Grupprinciphanteringskonsol (för import till en del eller domänpolicy via parametern Datorkonfiguration > Policyer > Windows-inställningar > Säkerhetsinställningar > Policyer för offentliga nyckel > Pålitliga rotcertifikatutfärdare).

Men för metoden att distribuera rotcertifikat som intresserar oss, genom att modifiera funktionen för den automatiska uppdateringsmekanismen på slutklientdatorer, kommer vi att behöva en något annorlunda representation av uppsättningen av aktuella rotcertifikat. Du kan få det med samma verktyg Certutil, men med en annan uppsättning nycklar.

I vårt exempel kommer en delad nätverksmapp på en filserver att användas som en lokal distributionskälla. Och här är det viktigt att uppmärksamma det faktum att när man förbereder en sådan mapp är det nödvändigt att begränsa skrivåtkomsten så att det inte händer att någon kan ändra uppsättningen rotcertifikat, som sedan kommer att "spridas" över många datorer.

Certutil-syncWithWU -f -f \\FILSERVER\SHARE\RootCAupd\GPO-Deployment\

Nycklar -f -f används för att tvinga fram en uppdatering av alla filer i målkatalogen.

Som ett resultat av att köra kommandot kommer många filer med en total volym på cirka en halv megabyte att dyka upp i nätverksmappen som vi angav:

Enligt det tidigare nämnda artiklar , syftet med filerna är följande:

  • Fil autrootstl.cab innehåller förtroendelistor för tredjepartscertifikat;
  • Fil disallowedcertstl.cab innehåller en certifikatförtroendelista med opålitliga certifikat;
  • Fil disallowedcert.sst innehåller ett lager av serialiserade certifikat, inklusive opålitliga certifikat;
  • Filer med namn som thumbprint.crt innehåller rotcertifikat från tredje part.

Så, de filer som är nödvändiga för driften av den automatiska uppdateringsmekanismen har tagits emot, och vi går nu vidare till att implementera ändringar i driftschemat för just denna mekanism. För detta, som alltid, kommer policyer för domängrupp till vår hjälp. Active Directory (GPO), även om du kan använda andra centraliserade hanteringsverktyg, är allt vi behöver göra på alla datorer att ändra, eller snarare lägga till, bara en registerparameter RootDirURL i tråden HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate, som kommer att bestämma sökvägen till vår nätverkskatalog, där vi tidigare placerade en uppsättning rotcertifikatfiler.

På tal om att ställa in ett GPO kan du återigen använda olika alternativ för att uppnå uppgiften. Till exempel finns det ett "old-school"-alternativ med att skapa din egen grupppolicymall, eftersom detta beskrivs i den redan bekanta artikel . För att göra detta, skapa en fil i GPO administrativ mallformat ( A.D.M.), till exempel med namnet RootCAUpdateLocalPath.adm och innehållet:

KLASS MASKINKATEGORI !!Systemcertifikat KEYNAME " Programvara\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" POLICY !!RootDirURL EXPLAIN !!RootDirURL_help PART !!RootDirURL EDITTEXT VALUENAME "RootDirURL " END PART END POLICY END CATEGORY RootDirURL="URL-adress som ska användas istället för standard ctldl.windowsupdate.com" Root-URL eller HTTP-hjälp. att använda som nedladdningsplats för CTL-filerna." SystemCertificates="Windows AutoUpdate Settings"

Låt oss kopiera den här filen till domänkontrollanten i katalogen %SystemRoot%\inf (vanligtvis katalogen C:\Windows\inf). Efter det, låt oss gå till domängrupppolicyredigeraren och skapa en separat ny policy och öppna den för redigering. I avsnittet Datorkonfiguration > Administrativa mallar...öppna snabbmenyn och välj alternativet för att ansluta en ny policymall Lägg till/ta bort mallar

I fönstret som öppnas använder du bläddringsknappen för att välja den tidigare tillagda filen %SystemRoot%\inf\RootCAUpdateLocalPath.adm, och klicka på när mallen visas i listan Nära.

Efter att ha slutfört åtgärden i avsnittet Konfiguration > Administrativa mallar > Klassiska administrativa mallar (A.D.M.) en grupp visas Windows AutoUpdate-inställningar, där den enda parametern kommer att vara tillgänglig URL-adress som ska användas istället för standard ctldl.windowsupdate.com

Låt oss öppna den här parametern och ange sökvägen till den lokala resursen där vi hittade de tidigare nedladdade uppdateringsfilerna, i formatet http://server1/mapp eller fil://\\server1\mapp .
Till exempel file://\\FILSERVER\SHARE\RootCAupd\GPO-Deployment

Låt oss spara ändringarna och tillämpa den skapade policyn på domänbehållaren där måldatorerna finns. Den övervägda metoden att sätta upp GPO har dock ett antal nackdelar och det är därför jag kallade det "old-school".

En annan, modernare och mer avancerad metod för att sätta upp ett klientregister är att använda Grupppolicyinställningar (GPP). Med det här alternativet kan vi skapa motsvarande GPP-objekt i grupprincipsektionen Datorkonfiguration > Inställningar > Register med parameteruppdatering ( Handling: Uppdatera) registret RootDirURL(värdetyp REG_SZ)

Om det behövs kan vi aktivera en flexibel inriktningsmekanism för den skapade GPP-parametern (Tab Gemensam>Alternativ Inriktning på objektnivå) på en specifik dator eller grupp av datorer för preliminära tester av vad vi i slutändan kommer att få efter att ha tillämpat grupppolicyer.

Naturligtvis måste du välja ett alternativ, antingen genom att ansluta ditt eget A.D.M.-mall, eller använda GPP.

Efter att ha ställt in grupppolicyer på en experimentell klientdator kommer vi att uppdatera med kommandot gpupdate /force följt av en omstart. Efter att systemet har startats, kontrollera registret för närvaron av den skapade nyckeln och försök kontrollera om rotcertifikatlagret har uppdaterats. För att kontrollera kommer vi att använda ett enkelt men effektivt exempel som beskrivs i anteckningen.Betrodda rötter och otillåtna certifikat .

Låt oss till exempel se om det finns ett rotcertifikat i datorns certifikatlager som användes för att utfärda ett certifikat som är installerat på en sida som heter buypass.no (men vi går inte till själva sajten än :)).

Det enklaste sättet att göra detta är med hjälp av verktyg PowerShell:

Get-ChildItem cert:\localmachine\root | Var ( $_ .friendlyname -like " *Buypass* " )

Med en hög grad av sannolikhet kommer vi inte att ha sådana rotcertifikat. I så fall öppnar vi den Internet Explorer och komma åt URL:en https://buypass.no . Och om mekanismen vi konfigurerade för automatisk uppdatering av rotcertifikat fungerar framgångsrikt, då i Windows-händelseloggen Ansökan en händelse med en källa ( Källa) CAPI2, vilket indikerar att det nya rotcertifikatet har laddats ned:

Loggnamn: Applikation

Att installera självsignerade certifikat är en mycket vanlig uppgift för en systemadministratör. Vanligtvis görs detta manuellt, men vad händer om det finns dussintals maskiner? Och vad du ska göra när du installerar om systemet eller köper en ny PC, eftersom det kan finnas mer än ett certifikat. Skriva fuskblad? Varför, när det finns ett mycket enklare och bekvämare sätt - ActiveDirectory-grupppolicyer. När du har konfigurerat policyn behöver du inte längre oroa dig för om användarna har de nödvändiga certifikaten.

Idag ska vi titta på certifikatdistribution med exemplet på ett Zimbra-rotcertifikat som vi exporterade till . Vår uppgift blir enligt följande - att automatiskt distribuera certifikatet till alla datorer som ingår i enheten (OU) - Kontor. Detta gör att du slipper installera certifikatet där det inte behövs: i norr, lager- och kassaarbetsstationer etc.

Låt oss öppna snapin-modulen och skapa en ny policy i behållaren Grupppolicyobjekt, för att göra detta, högerklicka på behållaren och välj Skapa. Policyn tillåter dig att installera ett eller flera certifikat samtidigt. Vad du ska göra är upp till dig, men vi föredrar att skapa vår egen policy för varje certifikat, detta gör att vi kan ändra reglerna för deras användning mer flexibelt. Du bör också ge policyn ett tydligt namn så att när du öppnar konsolen sex månader senare behöver du inte smärtsamt komma ihåg vad den är till för.

Dra sedan policyn till behållaren Kontor, vilket gör att den kan appliceras på den här enheten.

Låt oss nu högerklicka på policyn och välja Ändra. I Group Policy Editor som öppnas expanderar vi sekventiellt Datorkonfiguration - Windows-konfiguration - Säkerhetsinställningar - Politiker offentlig nyckel - . I den högra delen av fönstret, i menyn med höger musknapp, välj Importera och importera certifikatet.

Policyn har skapats, nu är det dags att kontrollera att den tillämpas korrekt. I snappet Grupppolicyhantering låt oss välja Gruppolicysimulering och kör den genom att högerklicka Simuleringsguiden.

De flesta av inställningarna kan lämnas som standard, det enda du behöver ange är användaren och datorn som du vill kontrollera policyn för.

Efter att ha utfört simuleringen kan vi verifiera att policyn har tillämpats på den angivna datorn, i annat utöka objektet Avvisade objekt och titta på anledningen till att policyn visade sig vara otillämplig för till denna användare eller dator.

Sedan kommer vi att kontrollera funktionen av policyn på klientdatorn för att göra detta, vi kommer att uppdatera policyerna manuellt med kommandot:

Gpupdate

Låt oss nu öppna certifikatarkivet. Det enklaste sättet att göra detta är genom Internet Explorer: Internetalternativ -Innehåll -Certifikat. Vårt certifikat måste finnas i containern Pålitliga rotcertifikatutfärdare.

Som du kan se fungerar allt och administratören har en huvudvärk mindre, certifikatet kommer automatiskt att distribueras till alla datorer placerade på avdelningen Kontor. Om det behövs kan du ställa in mer komplicerade villkor för att tillämpa policyn, men detta ligger utanför den här artikeln.

När man fyller i dokument eller registrerar en organisation, stöter användare på ett fel - "Det är inte möjligt att bygga en kedja av certifikat för en betrodd rotcentrum" Om du försöker igen visas felet igen. Vad du ska göra i den här situationen, läs vidare i artikeln.

Orsaker till fel i certifikatkedjan

Fel kan uppstå av olika anledningar - problem med Internet på klientsidan, blockering programvara Windows Defender eller andra antivirusprogram. Vidare, avsaknaden av ett rotcertifikat från certifikatutfärdaren, problem i den kryptografiska signaturprocessen och andra.

Åtgärda ett fel när en certifikatkedja skapades för en betrodd rotauktoritet

Först och främst, se till att du inte har problem med din Internetanslutning. Felet kan uppstå när det inte finns någon åtkomst. Nätverkskabeln måste vara ansluten till datorn eller routern.

  1. Klicka på "Start"-knappen och sök efter "Command Prompt".
  2. Välj det med höger musknapp och klicka på "Kör som administratör".
  3. Ange följande kommando i DOS-fönstret "ping google.ru".

När Internet är anslutet bör du se data om skickade paket, överföringshastighet och annan information. Om det inte finns något internet kommer du att se att paketen inte nådde sin destination.

Låt oss nu kontrollera närvaron av certifikatutfärdarens rotcertifikat. Gör så här:


Om det inte finns något certifikat måste du ladda ner det. I de flesta fall finns det i rotcertifikaten och användaren behöver bara installera det. Det är också värt att komma ihåg att det är bäst att använda webbläsaren Internet Explorer så att färre fel och fel uppstår under arbetsprocessen. Försök att hitta CA i rotcertifikaten, efter det behöver du bara klicka på knappen "Installera", starta om din webbläsare och du kommer att lösa problemet med felet - "Kan inte bygga en certifikatkedja för den betrodda rotmyndigheten .”

Kontrollerar CA-rotcertifikatet i webbläsaren

Testet kan utföras i en webbläsare.

  1. Välj "Service" från menyn.
  2. Klicka sedan på raden "Internetalternativ".
  3. Klicka på fliken Innehåll.
  4. Här måste du välja "Certifikat".
  5. Nästa flik " Pålitliga centra certifiering." Det bör finnas ett CA-rotcertifikat här, vanligtvis finns det längst ner i listan.

Försök nu igen stegen som orsakade felet. För att få ett rotcertifikat måste du kontakta lämpligt centrum där du fick UPC ES.

Andra sätt att fixa fel i certifikatkedjan

Låt oss titta på hur du laddar ner, installerar och använder CryptoPro korrekt. För att säkerställa att programmet inte är installerat på din PC (om det finns flera användare på datorn) måste du öppna Start-menyn. Välj sedan "Program" och leta efter "CryptoPro" i listan. Om det inte finns installerar vi det. Du kan ladda ner programmet från länken https://www.cryptopro.ru/downloads. Här behöver du "CryptoPro CSP" - välj version.

I nästa fönster bör du se ett meddelande om förhandsregistrering.

Installation av CryptoPro

När installationsfilen har laddats ner måste du köra den för att installera den på din dator. Systemet kommer att visa en varning om att programmet ber om tillåtelse att ändra filer på datorn, tillåt det att göra det.

Innan du installerar programmet på din dator måste alla dina tokens extraheras. Webbläsaren måste vara konfigurerad för att fungera, undantaget är Opera webbläsare, alla standardinställningar är redan gjorda i den. Det enda som återstår för användaren är att aktivera en speciell plugin för arbete. Under processen kommer du att se ett motsvarande fönster där Opera erbjuder att aktivera denna plugin.

Efter att ha startat programmet måste du ange nyckeln i fönstret.

Du kan hitta programmet som ska startas på följande sökväg: "Start", "Alla program", "CryptoPro", "CryptoPro CSP". I fönstret som öppnas klickar du på knappen "Ange licens" och anger nyckeln i den sista kolumnen. Redo. Nu måste programmet konfigureras för att passa dina behov. I vissa fall används ytterligare verktyg för elektroniska signaturer - CryptoPro Office Signature och CryptoAKM. Du kan åtgärda felet - det är inte möjligt att bygga en kedja av certifikat för ett pålitligt rotcenter - genom att helt enkelt installera om CryptoPro. Prova detta om andra tips inte hjälper.

Uppstår felet fortfarande? Skicka en förfrågan till supporttjänsten, där du måste lägga upp skärmdumpar av dina sekventiella åtgärder och förklara din situation i detalj.