Internetga to'g'ridan-to'g'ri kirish imkoniga ega bo'lmagan Windows kompyuterlarida Ishonchli ildiz sertifikatlashtirish idoralari sertifikat do'konini avtomatik ravishda yangilang. Ishonchli ildiz vakolati uchun sertifikat zanjiri yaratib bo'lmadi. Ildiz sertifikatini qanday qo'shish kerak


Kontur Extern tizimining ishlashida foydalaniladigan sertifikatlar konsol yordamida qo'shilishi yoki o'chirilishi mumkin mmc quyidagi omborlardan:

  • Boshqa foydalanuvchilar(nazorat qiluvchi organlarning sertifikatlari ombori)
  • Ishonchli ildiz sertifikatlash idoralari Va O'rta darajadagi CA(sertifikat do'konlari Sertifikatlash markazi).

Shaxsiy sertifikatlarni o'rnatish faqat Crypto Pro dasturi yordamida amalga oshiriladi.

Konsolni ishga tushirish uchun siz quyidagilarni bajarishingiz kerak:

1. Menyuni tanlang Boshlash/ Bajarish(yoki klaviaturada tugmachalarni bir vaqtning o'zida bosing Win + R).

2. Buyruqni belgilang mmc va tugmani bosing KELISHDIKMI.

3. Menyuni tanlang Fayl/ Qo'shimcha elementni qo'shing yoki o'chiring(1-rasmga qarang).

Guruch. 1. Konsol oynasi

4. Ro'yxatdan uskunani tanlang Sertifikatlar va tugmani bosing Qo'shish(2-rasmga qarang).

Guruch. 2. Uskunalarni qo'shish

5. Ochilgan oynada kalitni o'rnating mening hisob foydalanuvchi va tugmani bosing Tayyor(3-rasmga qarang).

Guruch. 3. Sertifikat menejeri qo'shimcha elementi

6. O'ng tarafdagi ro'yxatdan qo'shilgan uskunani tanlang va tugmani bosing KELISHDIKMI(4-rasmga qarang).

Guruch. 4. Qo'shilgan uskunalarni tanlash


Sertifikatlarni o'rnatish

1. Kerakli omborni oching (masalan, Trusted Root Certification Authorities). Buning uchun ipni oching Sertifikatlar - Joriy foydalanuvchi / Ishonchli ildiz sertifikatlash organlari / Sertifikatlar(5-rasmga qarang).

Guruch. 5. Konsol oynasi

2. Menyuni tanlang Harakat/ Barcha vazifalar / Import(6-rasmga qarang).

Guruch. 6. "Barcha vazifalar / Import" menyusi

3. Ochilgan oynada tugmani bosing Keyingisi.

4. Keyin tugmani bosing Ko‘rib chiqish va import qilinadigan sertifikat faylini belgilang (ildiz sertifikatlari Sertifikatlash markazi saytidan yuklab olish mumkin Sertifikatlash markazi, nazorat qiluvchi organlarning sertifikatlari Kontur-Extern tizimining veb-saytida joylashgan). Sertifikatni tanlagandan so'ng tugmani bosishingiz kerak Ochiq(7-rasmga qarang) va keyin tugmani bosing Keyingisi.

Guruch. 7. Import qilish uchun sertifikat tanlash

5. Keyingi oynada tugmani bosishingiz kerak Keyingisi(kerakli xotira avtomatik ravishda tanlanadi). Rasmga qarang. 8.

Guruch. 8. Saqlash joyini tanlash

6. Tugmasini bosing Tayyor importni yakunlash uchun (9-rasmga qarang).

Guruch. 9. Sertifikat importini yakunlash


Sertifikatlarni olib tashlash

Konsol yordamida sertifikatlarni olib tashlash uchun mmc(masalan, Boshqa foydalanuvchilar xotirasidan) quyidagilarni bajarishingiz kerak:

Ipni kengaytirish Sertifikatlar - joriy foydalanuvchi / Boshqa foydalanuvchilar / Sertifikatlar. Do'konda o'rnatilgan barcha sertifikatlar oynaning o'ng tomonida ko'rsatiladi. Boshqa foydalanuvchilar. Ajratish zarur sertifikat, ustiga o'ng tugmasini bosing va tanlang Oʻchirish(10-rasmga qarang).

Guruch. 10. Konsol oynasi

Xayrli kun, blog saytining aziz o'quvchilari, bu oy davomida mendan bir necha marta so'rashdi elektron pochta, sertifikatlar Windows tizimlarida saqlanadigan joyda, quyida men sizga ushbu masala haqida batafsil aytib beraman, saqlash tuzilishini ko'rib chiqaman, sertifikatlarni qanday topish va undan amalda qayerda foydalanishingiz mumkin, bu ayniqsa tez-tez ishlaydigan odamlar uchun qiziqarli bo'ladi. raqamli imzolardan foydalanish (elektron raqamli imzo)

Nima uchun Windows-da sertifikatlar qaerda saqlanganligini bilishingiz kerak?

Sizga nima uchun bu bilimga ega bo'lishni xohlayotganingizning asosiy sabablarini aytib beraman:

  • Ildiz sertifikatini ko'rishingiz yoki o'rnatishingiz kerak
  • Siz ko'rishingiz yoki o'rnatishingiz kerak shaxsiy guvohnoma
  • Qiziqish

Ilgari men sizga qanday sertifikatlar borligini va ularni qayerdan olishingiz va qo'llashingiz mumkinligini aytdim, men sizga ushbu maqolani o'qishni maslahat beraman, chunki undagi ma'lumotlar ushbu mavzuda asosiy hisoblanadi.

Windows Vista dan Windows 10 Redstone 2 gacha bo'lgan barcha operatsion tizimlarda sertifikatlar bir joyda saqlanadi, biri foydalanuvchi uchun, ikkinchisi kompyuter uchun ikki qismga bo'lingan konteyner turi.

Ko'pgina hollarda, Windows-da mmc qo'shimchasi orqali ma'lum sozlamalarni o'zgartirishingiz mumkin va sertifikat do'koni bundan mustasno emas. Shunday qilib, WIN + R tugmalar birikmasini bosing va ochilgan oynada bajaring, mmc yozing.

Albatta, siz certmgr.msc buyrug'ini kiritishingiz mumkin, ammo bu bilan siz faqat shaxsiy sertifikatlarni ochishingiz mumkin.

Endi bo'sh mmc qo'shimchasida siz "Fayl" menyusini bosing va "Qo'shish yoki o'chirish" -ni tanlang (CTRL + M klaviatura yorlig'i)

Qo'shimcha elementlarni qo'shish va o'chirish oynasida, Mavjud qo'shimcha qurilmalar maydonida Sertifikatlarni toping va Qo'shish tugmasini bosing.

Sertifikat menejerida siz qo'shimcha dasturlarni qo'shishingiz mumkin:

  • mening foydalanuvchi hisobim
  • xizmat hisobi
  • kompyuter hisobi

Men odatda foydalanuvchi hisobi uchun qo'shaman

va kompyuter

Kompyuterda qo'shimcha sozlamalar mavjud, u mahalliy yoki masofaviy (tarmoqda) bo'lib, joriyini tanlang va "Bajarildi" tugmasini bosing.

Oxir-oqibat men bu rasmni oldim.

Kelgusi safar ushbu amallarni bajarmaslik uchun yaratilgan uskunani zudlik bilan saqlaylik. Fayl > Boshqacha saqlash menyusiga o'ting.

Saqlash joyini belgilang va hammasi.

Sertifikatni saqlash konsolini ko'rib turganingizdek, mening misolimda men sizga Windows 10 Redstone-da ko'rsataman, sizni ishontirib aytamanki, deraza interfeysi hamma joyda bir xil. Bu yerda avval yozganimdek, Sertifikatlarning ikkita sohasi mavjud - joriy foydalanuvchi va Sertifikatlar (mahalliy kompyuter)

Sertifikatlar - joriy foydalanuvchi

Ushbu maydon quyidagi papkalarni o'z ichiga oladi:

  1. Shaxsiy > bunga turli roottokenlar yoki etokenlardan oʻrnatadigan shaxsiy sertifikatlar (ommaviy yoki shaxsiy kalitlar) kiradi.
  2. Ishonchli ildiz sertifikatlashtirish idoralari > Bu sertifikatlashtirish organlarining sertifikatlari, ularga ishonish orqali siz ular tomonidan berilgan barcha sertifikatlarga avtomatik ravishda ishonasiz, ular dunyodagi aksariyat sertifikatlarni avtomatik ravishda tekshirish uchun kerak bo'ladi. Ushbu ro'yxat CAlar o'rtasida ishonch munosabatlarini o'rnatish zanjirlarida qo'llaniladi, u Windows yangilanishi bilan yangilanadi.
  3. Korxonada ishonchli munosabatlar
  4. O'rta darajadagi CA
  5. Active Directory foydalanuvchi ob'ekti
  6. Ishonchli nashriyotchilar
  7. Ishonchsiz sertifikatlar
  8. Uchinchi tomonning ildiz sertifikat organlari
  9. Vasiylar
  10. Mijoz autentifikatsiya sertifikati provayderlari
  11. Mahalliy olinmaydigan sertifikatlar
  12. Smart Card ishonchli ildiz sertifikatlari

Shaxsiy papkada siz ularni o'rnatmagan bo'lsangiz, sukut bo'yicha sertifikatlar mavjud emas. O'rnatish tokendan yoki sertifikat so'rash yoki import qilish orqali amalga oshirilishi mumkin.

  • PKCS#12 (.PFX, .P12)
  • Kriprografik xabarlar sintaksisi standarti - PKCS №7 (.p7b) sertifikatlari
  • Seriyalashtirilgan sertifikatlar doʻkoni (.SST)

Ishonchli sertifikatlashtirish idoralari yorlig'ida siz eng yirik nashriyotlarning ildiz sertifikatlarining ta'sirchan ro'yxatini ko'rasiz, ular tufayli brauzeringiz saytlardagi sertifikatlarning ko'piga ishonadi, chunki agar siz ildizga ishonsangiz, bu u berilgan har bir kishini anglatadi.

Ikki marta bosish orqali siz sertifikat mazmunini ko'rishingiz mumkin.

Harakatlardan siz ularni faqat eksport qilishingiz mumkin, shunda ularni keyinchalik boshqa kompyuterga qayta o'rnatishingiz mumkin.

Eksport eng keng tarqalgan formatlarda amalga oshiriladi.

Yana bir qiziq narsa, allaqachon bekor qilingan yoki sizib chiqqan sertifikatlar ro'yxati bo'ladi.

Sertifikatlarni o'rnatish uchun siz USB flesh-diskini elektron imzo bilan ulashingiz, uni ochishingiz va sertifikatlarni o'rnatishingiz kerak

1. Bosh sertifikatlashtirish organining sertifikatini ishonchli ildiz organlariga o'rnating, buning uchun sizga kerak:

1.1. CA rahbari sertifikatiga ikki marta bosing - "Head Certification Authority.cer" fayli.

1.2. Ochilgan shaklda "Sertifikatni o'rnatish ..." tugmasini bosing.

1.3. "Barcha sertifikatlarni quyidagi do'konga joylashtiring" ni tanlang (yozuv oldidagi katakchani belgilang) va "Ko'rish" tugmasini bosing.


1.4. Ochilgan ro'yxatda "Ishonchli ildiz sertifikatlash idoralari" ni tanlang va "OK" tugmasini bosing.

2. Shaxsiy sertifikatni o'rnating

Shaxsiy sertifikatni o'rnatish CryptoPro CSP dasturi yordamida amalga oshiriladi
2.1. Siz CryptoPro CSP dasturini ishga tushirishingiz kerak (Ishga tushirish tugmasi -> CryptoPro CSP yoki Boshlash tugmasi -> Barcha dasturlar -> CRYPTO-PRO -> CryptoPro CSP).

2.2. Ochilgan oynada "Xizmat" yorlig'ini tanlang va "Shaxsiy sertifikatni o'rnatish ..." tugmasini bosing.

2.3. Ochilgan oynada siz "Ko'rib chiqish" tugmasini bosishingiz kerak, flesh-diskdagi tashkilot sertifikatini tanlang - "cer" kengaytmali 2-fayl (CA sertifikat fayli emas (misolda - "adicom.cer") )) va "Keyingi" tugmasini bosing.




2.4. Ochilgan shaklda "Keyingi" tugmasini bosing.


2.5. Ochilgan shaklda "Konteynerni avtomatik ravishda topish" katagiga belgi qo'ying. Natijada, "Kalit konteynerining nomi" to'ldiriladi va "Keyingi" tugmasini bosing.


2.6. Ochilgan shaklda "Keyingi" tugmasini bosing.


2.7. Ochilgan shaklda "Finish" tugmasini bosing.


Ishlab chiqarish uchun zarur bo'lgan hamma narsa elektron imzo Dasturiy ta'minot - siz chop etilgan shakllarga imzo chekishingiz mumkin.

3. Brauzerda Cades Browser Plug-in uchun CryptoPro kengaytmasini (qo‘shimcha) o‘rnating.

Brauzer kengaytmasini (qo'shimcha) o'rnatish uchun CryptoPro Extension for Cades Browser Plugin, brauzeringizda kengaytmalar do'konini oching va Cades / For Yandex.Browser havolasidan foydalanib kengaytmalarni qidiring -

O'z-o'zidan imzolangan sertifikatlarni o'rnatish tizim ma'muri uchun juda keng tarqalgan vazifadir. Odatda bu qo'lda amalga oshiriladi, lekin o'nlab mashinalar bo'lsa-chi? Va tizimni qayta o'rnatish yoki yangi shaxsiy kompyuter sotib olayotganda nima qilish kerak, chunki bir nechta sertifikat bo'lishi mumkin. Cheat varaqlarini yozasizmi? Nima uchun, juda oddiy va qulayroq usul mavjud bo'lganda - ActiveDirectory guruh siyosatlari. Siyosatni sozlaganingizdan so'ng, foydalanuvchilarda kerakli sertifikatlar bor-yo'qligi haqida tashvishlanishingiz shart emas.

Bugun biz misol yordamida sertifikatlarning taqsimlanishini ko'rib chiqamiz ildiz sertifikati Biz eksport qilgan Zimbra. Bizning vazifamiz quyidagicha bo'ladi - sertifikatni birlikka (OU) kiritilgan barcha kompyuterlarga avtomatik ravishda tarqatish - Ofis. Bu sizga sertifikatni kerak bo'lmagan joyda o'rnatishdan qochish imkonini beradi: shimolda, ombor va kassa ish stantsiyalarida va hokazo.

Keling, qo'shimcha komponentni ochamiz va konteynerda yangi siyosat yaratamiz Guruh siyosati ob'ektlari, buni amalga oshirish uchun konteynerni o'ng tugmasini bosing va tanlang Yaratish. Siyosat bir vaqtning o'zida bir yoki bir nechta sertifikatlarni o'rnatishga imkon beradi, nima qilish sizga bog'liq, lekin biz har bir sertifikat uchun o'z siyosatimizni yaratishni afzal ko'ramiz, bu bizga ulardan foydalanish qoidalarini yanada moslashuvchan tarzda o'zgartirish imkonini beradi. Bundan tashqari, siz siyosatga aniq nom berishingiz kerak, shunda olti oydan keyin konsolni ochganingizda, nima uchun ekanligini og'riq bilan eslab qolishingiz shart emas.

Keyin siyosatni konteynerga torting Ofis, bu uni ushbu birlikka qo'llash imkonini beradi.

Endi siyosatni o'ng tugmasini bosing va tanlang O'zgartirish. Ochilgan Guruh siyosati muharririda biz ketma-ket kengaytiramiz Kompyuter konfiguratsiyasi - Windows konfiguratsiyasi - Xavfsizlik sozlamalari - Siyosatchilar umumiy kalit - . Oynaning o'ng qismida sichqonchaning o'ng tugmasi bilan menyuda tanlang Import va sertifikatni import qiling.

Siyosat yaratildi, endi uning to'g'ri qo'llanilishini tekshirish vaqti keldi. Tez orada Guruh siyosatini boshqarish tanlaylik Guruh siyosati simulyatsiyasi va o'ng tugmasini bosib ishga tushiring Simulyatsiya ustasi.

Ko'pgina sozlamalar sukut bo'yicha qoldirilishi mumkin, siz belgilashingiz kerak bo'lgan yagona narsa - bu siyosatni tekshirmoqchi bo'lgan foydalanuvchi va kompyuter.

Simulyatsiyani amalga oshirgandan so'ng, siyosat belgilangan kompyuterga muvaffaqiyatli qo'llanilganligini tekshirishimiz mumkin aks holda elementni kengaytiring Rad etilgan ob'ektlar va siyosat nima uchun qo'llanilishi mumkin emasligi sababini ko'rib chiqing ushbu foydalanuvchiga yoki kompyuter.

Keyin biz mijozning shaxsiy kompyuteridagi siyosatning ishlashini tekshiramiz, biz buyruq bilan siyosatlarni qo'lda yangilaymiz;

Gpdate

Endi sertifikatlar do'konini ochamiz. Buning eng oson yo'li - bu orqali Internet Explorer: Internet opsiyalari -Tarkib -Sertifikatlar. Bizning sertifikatimiz konteynerda bo'lishi kerak Ishonchli ildiz sertifikatlash idoralari.

Ko'rib turganingizdek, hamma narsa ishlaydi va administratorning bosh og'rig'i bitta kam bo'lsa, sertifikat avtomatik ravishda bo'limga joylashtirilgan barcha kompyuterlarga tarqatiladi. Ofis. Agar kerak bo'lsa, siz siyosatni qo'llash uchun yanada murakkab shartlarni belgilashingiz mumkin, ammo bu ushbu maqola doirasidan tashqarida.

Hujjatlarni to'ldirishda yoki tashkilotni ro'yxatdan o'tkazishda foydalanuvchilar xatoga duch kelishadi - “Ishonchli sertifikatlar zanjirini yaratish mumkin emas. ildiz markazi" Agar qayta urinib ko'rsangiz, xato yana paydo bo'ladi. Bunday vaziyatda nima qilish kerak, maqolada batafsilroq o'qing.

Sertifikat zanjiridagi xatolar sabablari

Xatolar turli sabablarga ko'ra yuzaga kelishi mumkin - mijoz tomonida Internet bilan bog'liq muammolar, blokirovka dasturiy ta'minot Windows Defender yoki boshqa antiviruslar. Bundan tashqari, sertifikatlashtirish markazining ildiz sertifikatining yo'qligi, kriptografik imzo jarayonidagi muammolar va boshqalar.

Ishonchli ildiz vakolati uchun sertifikat zanjirini yaratishda xatolikni tuzatish

Avvalo, Internetga ulanish bilan bog'liq muammolar yo'qligiga ishonch hosil qiling. Xato kirish imkoni bo'lmaganda paydo bo'lishi mumkin. Tarmoq kabeli kompyuter yoki routerga ulangan bo'lishi kerak.

  1. "Ishga tushirish" tugmasini bosing va "Buyruqning satri" ni qidiring.
  2. Sichqonchaning o'ng tugmasi bilan uni tanlang va "Administrator sifatida ishga tushirish" tugmasini bosing.
  3. "ping google.ru" DOS oynasida quyidagi buyruqni kiriting.

Internetga ulanganda siz yuborilgan paketlar, uzatish tezligi va boshqa ma'lumotlar haqidagi ma'lumotlarni ko'rishingiz kerak. Agar Internet bo'lmasa, paketlar o'z manziliga etib bormaganligini ko'rasiz.

Endi sertifikatlashtirish markazining ildiz sertifikati mavjudligini tekshiramiz. Buning uchun:


Agar sertifikat bo'lmasa, uni yuklab olishingiz kerak. Ko'pgina hollarda, u ildiz sertifikatlarida joylashgan va foydalanuvchi faqat uni o'rnatishi kerak. Shuni ham yodda tutish kerakki, ish jarayonida kamroq xato va nosozliklar yuzaga kelishi uchun Internet Explorer brauzeridan foydalanish yaxshidir. CA ni ildiz sertifikatlarida topishga harakat qiling, shundan so'ng "O'rnatish" tugmasini bosish kifoya, brauzeringizni qayta ishga tushiring va siz xato bilan muammoni hal qilasiz - "Ishonchli ildiz vakolati uchun sertifikatlar zanjirini yaratib bo'lmaydi. ”.

Brauzerda CA ildiz sertifikatini tekshirish

Sinov brauzerda amalga oshirilishi mumkin.

  1. Menyudan "Xizmat" bandini tanlang.
  2. Keyin, "Internet Options" qatorini bosing.
  3. Tarkib yorlig'ini bosing.
  4. Bu erda siz "Sertifikatlar" ni tanlashingiz kerak.
  5. Keyingi yorliq " Ishonchli markazlar sertifikatlash". Bu erda CA ildiz sertifikati bo'lishi kerak, odatda u ro'yxatning pastki qismida joylashgan.

Endi xatoga sabab bo'lgan qadamlarni qaytadan sinab ko'ring. Ildiz sertifikatini olish uchun siz UPC ESni olgan tegishli markazga murojaat qilishingiz kerak.

Sertifikat zanjiri xatosini tuzatishning boshqa usullari

Keling, CryptoPro-ni qanday qilib to'g'ri yuklab olish, o'rnatish va undan foydalanishni ko'rib chiqaylik. Dastur shaxsiy kompyuteringizda o'rnatilmaganligiga ishonch hosil qilish uchun (agar kompyuterda bir nechta foydalanuvchilar bo'lsa) "Ishga tushirish" menyusini ochishingiz kerak. Keyin "Dasturlar" ni tanlang va ro'yxatda "CryptoPro" ni qidiring. Agar u mavjud bo'lmasa, biz uni o'rnatamiz. Dasturni https://www.cryptopro.ru/downloads havolasidan yuklab olishingiz mumkin. Bu erda sizga "CryptoPro CSP" kerak - versiyani tanlang.

Keyingi oynada oldindan ro'yxatdan o'tish xabarini ko'rishingiz kerak.

CryptoPro-ni o'rnatish

O'rnatish fayli yuklab olingandan so'ng, uni kompyuteringizga o'rnatish uchun uni ishga tushirishingiz kerak. Tizim dastur kompyuterdagi fayllarni o'zgartirish uchun ruxsat so'raganligi haqida ogohlantirishni ko'rsatadi, bunga ruxsat bering.

Dasturni kompyuteringizga o'rnatishdan oldin barcha tokenlaringiz chiqarib tashlanishi kerak. Brauzer ishlash uchun sozlangan bo'lishi kerak, bundan mustasno Opera brauzeri, unda barcha standart sozlamalar allaqachon qilingan. Foydalanuvchi uchun qolgan yagona narsa - bu ish uchun maxsus plaginni faollashtirish. Jarayon davomida siz Opera ushbu plaginni faollashtirishni taklif qiladigan tegishli oynani ko'rasiz.

Dasturni ishga tushirgandan so'ng, kalitni oynaga kiritishingiz kerak bo'ladi.

Siz ishga tushirish uchun dasturni quyidagi yo'lda topishingiz mumkin: "Boshlash", "Barcha dasturlar", "CryptoPro", "CryptoPro CSP". Ochilgan oynada "Litsenziyani kiritish" tugmasini bosing va oxirgi ustunga kalitni kiriting. Tayyor. Endi dastur sizning ehtiyojlaringizga mos ravishda sozlanishi kerak. Ba'zi hollarda elektron imzolar uchun qo'shimcha yordam dasturlari qo'llaniladi - CryptoPro Office Signature va CryptoAKM. Siz xatoni tuzatishingiz mumkin - ishonchli ildiz markazi uchun sertifikatlar zanjirini yaratish mumkin emas - oddiygina CryptoPro-ni qayta o'rnatish orqali. Boshqa maslahatlar yordam bermasa, buni sinab ko'ring.

Xato hali ham ko'rinyaptimi? Qo'llab-quvvatlash xizmatiga so'rov yuboring, unda siz ketma-ket harakatlaringizning skrinshotlarini joylashtirishingiz va vaziyatingizni batafsil tushuntirishingiz kerak.