Установка импортированных сертификатов на веб-сервер в windows server 2003

Приобретение сертифицированных продуктов

Использование сертифицированных продуктов возможно только после приобретения соответствующей лицензии. Лицензии можно приобрести у наших партнеров.

Чтобы получить дистрибутив сертифицированной версии, откройте статью о соответствующем продукте в разделе Сертификаты. В статье размещается информация о действующих сертификатах и актуальный дистрибутив продукта, содержащий:

  • образ диска с файлами инсталляционного комплекта сертифицированной версии;
  • эксплуатационную документацию;
  • формуляр с требованиями по эксплуатации и контрольными суммами файлов инсталляционного комплекта;
  • приложение к формуляру с контрольными суммами исполняемых модулей установленного продукта;
  • копию сертификата.

Подлинность и целостность файлов дистрибутива обеспечивается применением электронной подписи.

Удаление старых сертификатов на Windows

Чтобы файлы смогли обновиться, нужно удалить старые или ненужные сертификаты:

  1. Нажать сочетание клавиш «Win + R». Откроется окно «Выполнить». В поле нужно ввести команду «mmc» (без кавычек). Далее потребуется щелкнуть на «Ок».
  2. Откроется Microsoft Management Console. Это среда для управления операционной системой. В появившемся окне нужно щелкнуть на «Файл». В меню выбрать пункт «Добавить или удалить…». Должно появиться еще одно окно.
  3. В управлении оснастками есть два раздела. Нужно в левой части выбрать сертификаты, после чего нажать на «Добавить». Откроется менеджер по управлению сертификатами. Далее нужно выбрать первый пункт — «Моя учетная запись пользователя», нажать на «Готово».
  4. После этого операционная система опять откроет консоль параметров. В левой части окна нужно раскрыть вкладку «Сертификаты — текущий профиль». Далее понадобится перейти в ветку доверенных корневых центров. Внутри есть папка «Сертификаты». Нужно щелкнуть на нее левой кнопкой мыши. В окне рядом отображены все установленные корневые центры сертификаций.
  5. Если есть несколько файлов, начинающихся с «УЦ» (например, криптопро), то их можно удалить, поскольку они не стандартные. Это файлы удостоверяющих центров.
  6. Нужно выделить все пункты, нажать правую кнопку мыши, щелкнуть по «Удалить». После чего нужно подтвердить действия.

Важно! Если при попытке удалить что-либо высвечивается ошибка, то необходимо авторизоваться с учетной записи, у которой есть права администратора. Далее нужно удалить сертификаты безопасности на Windows 7, XP, 10 для интернет-узла

Для этого нужно вернуться в консоль управления Microsoft, затем сделать следующее:

Далее нужно удалить сертификаты безопасности на Windows 7, XP, 10 для интернет-узла. Для этого нужно вернуться в консоль управления Microsoft, затем сделать следующее:

  1. Выбрать вкладку «Другие пользователи».
  2. Перейти в соответствующую папку.
  3. В списке под графой «Кем выдан» нужно найти то же самое УЦ, затем нажать на «Удалить».
  4. Далее необходимо повторно подтвердить действия.

Удаление сертификата на Windows

Открываем «Хранилище сертификатов»

Чтобы просмотреть сертификаты в Виндовс 7, заходим в ОС с правами администратора.

Необходимость в доступе к сертификатам особенно важна для пользователей, которые часто совершают платежи в интернете. Все сертификаты хранятся в одном месте, так называемом Хранилище, которое разбито на две части.

Способ 1: Окно «Выполнить»

  1. При помощи нажатия комбинации клавиш «Win+R» попадаем в окошко «Выполнить». Вводим в командную строку certmgr.msc .

Цифровые подписи хранятся в папке, которая находятся в директории «Сертификаты – текущий пользователь». Здесь сертификаты находятся в логических хранилищах, которые разделены по свойствам.

В папках «Доверенные корневые центры сертификации» и «Промежуточные центры сертификации» находится основной массив сертификатов Виндовс 7.


Чтобы посмотреть информацию о каждом цифровом документе, наводим на него и кликаем ПКМ. В открывшемся меню выбираем «Открыть».

Переходим во вкладку «Общие». В разделе «Сведения о сертификате» будет отображено предназначение каждой цифровой подписи. Также представлена информация «Кому выдан», «Кем выдан» и сроки действия.

Способ 2: Панель управления

Также есть возможность посмотреть сертификаты в Windows 7 через «Панель управления».

  1. Открываем «Пуск» и переходим в «Панель управления».

В открывшемся окне переходим во вкладку и щелкаем по надписи «Сертификаты».

В открывшемся окошке предоставлен перечень различных сертификатов. Чтобы посмотреть подробную информацию об определённой цифровой подписи, жмём по кнопке «Просмотр».

После прочтения данной статьи вам не составит никакого труда открыть «Хранилище сертификатов» Windows 7 и узнать подробную информацию о свойствах каждой цифровой подписи в вашей системе.

Электронную подпись можно использовать на сколь угодно компьютерах, в том числе и одновременно. Но для того же переноса сертификата необходимо понимать, где он хранится на самом компьютере и каким образом его можно найти. К тому же, для переноса ЭЦП потребуется не только сам личный сертификат, но и удостоверяющего доверенного центра, который электронную подпись и выдал. Так где хранятся сертификаты ЭЦП на компьютере?

Читайте в статье

Действия по обновлению сертификата FNMT

По сути, процесс обновления сертификата состоит из запроса на обновление и загрузку нового сертификата. Поэтому первое, что мы должны сделать, это сделать запрос на продление.

Запрос на ремонт

Благодаря Королевский указ 463/2020 14 марта FNMT-RCM санкционировал возобновление сертификатов с истекшим сроком действия после указанного постановления. Чтобы продлить эти сертификаты в Internet Explorer, вы должны установить дату и время на вашем ПК до истечения срока действия сертификата, после его обновления вы должны сбросить дату для его загрузки.

Чтобы сделать запрос, нам нужно будет перейти на веб-сайт электронной штаб-квартиры Фабрики валюты и марок по этой же ссылке. Теперь, чтобы получить доступ к процессу обновления, нам нужно будет получить к нему доступ из поддерживаемого браузера и идентифицировать себя с действующим сертификатом. В противном случае мы не сможем получить доступ к процессу запроса на продление.

Загрузка сертификата

Примерно через час после с просьбой продления и используя код запроса, который мы получим в нашей учетной записи электронной почты, мы можем приступить к загрузке и установке нашего сертификата FNMT.

Теперь важно знать, что скачать сертификат , мы должны использовать тот же компьютер, браузер и пользователя, с которым мы делаем запрос, и ввести необходимые данные, как указано при установке предыдущего сертификата. Чтобы загрузить сертификат FNMT физического лица, нам нужно будет заполнить форму с данными, идентификатором, именем и кодом запроса, которые мы получим в нашей учетной записи электронной почты

Чтобы загрузить сертификат FNMT физического лица, нам нужно будет заполнить форму с данными, идентификатором, именем и кодом запроса, которые мы получим в нашей учетной записи электронной почты.

Напомним, что в случае запроса сертификата программного обеспечения его установка должна выполняться на том же компьютере, на котором мы делаем запрос. Если мы генерируем наш запрос в криптографической карточке, перед загрузкой мы должны убедиться, что указанная карточка готова к использованию.

После того, как наш сертификат FNMT был загружен, шаги по его установке те же, что и те, которые мы выполняли в первый или предыдущий раз, когда мы делали это в нашем соответствующем браузере, теперь желательно сделать резервную копию нашего сертификата на случай возникновения каких-либо проблем на нашем компьютере.

Таким образом, если мы делаем резервную копию, например, на криптографической карте или USB, даже если наш компьютер поврежден, утерян или украден, мы можем использовать сертификат без проблем. Конечно, помните, что при создании резервной копии нам будет предложено указать пароль для защиты сгенерированного файла и что мы должны сохранить его в безопасном месте, а также запомнить пароль, так как он нам понадобится в случае, если у нас есть, чем переустановить наш сертификат FNMT.

Список корневых сертификатов в формате STL

Есть еще один способ получения списка сертификатов с сайта Microsoft. Для этого нужно скачать файл http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
(обновляется дважды в месяц).С помощью любого архиватора (или проводника Windows) распакуйте содержимое архива authrootstl.cab
. Он содержит один файл .

Создание подмножества доверенных сертификатов

Щелкните правой кнопкой мыши Доверенный корневой центр сертификации и выберите «Импорт». Введите имя и расположение скопированного файла на контроллере домена или используйте кнопку «Обзор», чтобы найти файл. Подтвердите, что вы хотите разместить эти сертификаты в архиве доверенного корневого центра сертификации, нажав Далее. Параметры, описанные в этом документе, позволяют настраивать следующие ключи реестра на клиентских компьютерах. Если вы хотите их изменить, вам необходимо их перенастроить. В этой статье объясняется, как работают сертификаты.

Файл authroot.stl представляет собой контейнер со списком доверенных сертификатов в формате Certification Trust List.

Данный файл можно установить в системе с помощью контекстного меню файла STL ().

Иерархия сертификации и сертификации

Никакие другие гарантии не подразумеваются. Когда вы посещаете безопасный веб-сайт, вы проверяете достоверность сертификата и всего дерева связанных сертификатов до корневого сертификата, признанного доверенным. Эта цепочка отношений между сертификационными органами называется иерархией сертификации.

Сертификат безопасности веб-сайта содержит следующую информацию. Эмитент: определяет выдающий орган, выдающий сертификат. Подпись: информация, подтверждающая, что сертификат выдается органом выдачи. Алгоритм подписи: Алгоритм, используемый для создания Подписи.

Или с помощью утилиты certutil:

certutil -addstore -f root authroot.stl

После выполнения команды, в консоли управления сертификатами (certmgr.msc) в контейнере Trusted Root Certification Authorities
появится новый раздел с именем Certificate Trust List
.

Аналогичным образом можно скачать и установить список с отозванными сертификатами, которые были исключены из программы Root Certificate Program. для этого, скачайте файл disallowedcertstl.cab
(http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
), распакуйте его и добавьте в раздел Untrusted Certificates командой:

Начало: дата, с которой сертификат действителен. Заканчивается: срок действия сертификата. Использование ключа и расширенного использования ключа: укажите способ использования сертификата, например, чтобы подтвердить право собственности на веб-сайт. Открытые и закрытые ключи связаны математически, поэтому данные, зашифрованные открытым ключом, могут быть дешифрованы только с помощью соответствующего закрытого ключа. Алгоритм отпечатков пальцев: Алгоритм, используемый для создания отпечатка пальца.

Щелкните значок, а затем стрелку вправо, чтобы открыть всплывающее окно, которое показывает, кто проверил сертификат, затем нажмите «Дополнительная информация». В новом окне нажмите «Безопасность», а затем «Вид сертификата». Некоторые из наиболее распространенных ошибок перечислены на этой странице. Чтобы просмотреть сертификат проблемы, выполните следующие действия.

certutil -addstore -f disallowed disallowedcert.stl

В это статье мы рассмотрели несколько простейших способов обновления списка корневых сертификатов на изолированной от Интернета системе Windows. В том случае, если возникла задача регулярного обновления корневых сертификатов в отделенном от внешней сети домене, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. Об этом подробнее в одной из ближайших статей.

Общесистемные корневые CA сертификаты

Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.

В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.

Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:

certmgr.msc

Перейдите в раздел «Доверенные корневые центры сертификации» → «Сертификаты»:

Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.

Просмотр сертификатов в PowerShell

Чтобы просмотреть список сертификатов с помощью PowerShell:

Get-ChildItem cert:\LocalMachine\root | format-list

Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):

Get-ChildItem cert:\LocalMachine\root | Where {$_.Subject -Match "HackWare"} | format-list

Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:

Сертификаты уровня пользователей:

  • HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates — содержит настройки сертификатов для текущего пользователя
  • HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates — как и предыдущее расположение, но это соответствует сертификатам пользователей, развёрнутым объектом групповой политики (GPO (Group Policy))
  • HKEY_USERS\SID-User\Software\Microsoft\SystemCertificates — соответствует настройке определённых пользовательских сертификатов. У каждого пользователя есть своя ветка в реестре с SID (идентификатор безопасности).

Сертификаты уровня компьютера:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates — содержит настройки для всех пользователей компьютера
  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates — как и предыдущее расположение, но это соответствует сертификатам компьютера, развёрнутым объектом групповой политики (GPO (Group Policy))

Сертификаты уровня служб:

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Services\ServiceName\SystemCertificates — содержит настройки сертификатов для всех служб компьютера

Сертификаты уровня Active Directory:

HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates — сертификаты, выданные на уровне Active Directory.

И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.

Пользовательские сертификаты (файлы):

  • %APPDATA%\Microsoft\SystemCertificates\My\Certificates
  • %USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\SID
  • %USERPROFILE%\AppData\Roaming\Microsoft\Credentials
  • %USERPROFILE%\AppData\Roaming\Microsoft\Protect\SID

Компьютерные сертификаты (файлы):

C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys

Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.

Получения списка корневых сертификатов с узла Windows Update с помощью Сertutil

Последняя версия утилиты для управления и работы с сертификатам Сertutil
(представленная в Windows 10), позволяет скачать и сохранить в SST файл актуальный список корневых сертификатов.

Поместите сертификаты для импорта на рабочий стол

В противном случае используйте следующую процедуру. Здесь вы увидите всю цепочку, а сверху вниз увидите сертификат, который подписывал ваш сертификат, сертификат, который его подписал, и т.д. если у последнего есть одно и то же поле темы и проблемы, вызывает корневой сертификат. Между вашим сервером и последним может быть несколько сертификатов; они называются промежуточными сертификатами. Вы должны импортировать сертификаты один за другим.

Импортировать сертификат

Вы также можете найти сертификаты, используемые здесь. Промежуточные сертификаты Корневые сертификаты.
. После того, как вы импортировали всю цепочку сертификации в правильные каталоги, перезапустите веб-сервер. Если это не работает, перезагрузите компьютер перед вызовом.

Для генерации SST файла, на компьютере Windows 10 с прямым доступом в Интернет, выполните с правами администратора команду:

certutil.exe -generateSSTFromWU roots.sst

В результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий сертификаты.

В этой статье вы можете настроить автоматическую регистрацию сертификатов для своих пользователей и компьютеров. Чтобы завершить настройку, включите автоматическую регистрацию через клиента служб сертификатов — автоматическая регистрация. Включите автоматическое обновление и обновление сертификатов.

Настроить доверенные корни и сертификаты, которые не разрешены

Эти сертификаты были созданы посредническим органом. В этой короткой статье вы можете настроить автоматическую регистрацию сертификатов. Затем поделитесь им, нажав следующие кнопки. Эта документация архивирована и не обрабатывается. Эти сертификаты считаются доверенными операционной системой и могут использоваться приложениями в качестве ссылки на иерархии открытых ключей и доверенные цифровые сертификаты.

Как вы видите, откроется знакомая оснастка управления сертификатами, из которой вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 358 элементов. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.

Настройка сервера с доступом в Интернет для получения файлов списка доверия сертификатов

Чтобы распространять доверенные корневые сертификаты, вы можете использовать следующие два метода. Неверные сертификаты общеизвестны как мошеннические сертификаты. Как и для списка доверенных целей, существует два механизма для распространения списка ненадежных сертификатов.

Администратор не смог включить или отключить тип обновления или другой, и произошли следующие сценарии. Процедура выполнения этой конфигурации описана в разделе этого документа. Чтобы упростить распространение доверенных или ненадежных сертификатов для отключенной среды, вы должны сначала настроить файл или веб-сервер для загрузки файлов из списка целей, разрешенных механизмом автоматического обновления.

Совет
. Для генерации индивидуальных файлов сертификатов можно использовать команду certutil -syncWithWU. Полученные таким образом сертификаты можно распространить на клиентов с помощью GPO
.

Для установки всех сертификатов, содержащихся в файле, воспользуемся утилитой updroots.
exe
(она содержится в архиве rootsupd.exe, который мы распаковали в предыдущем разделе).

Чтобы настроить сервер, имеющий доступ к Интернету, для извлечения файлов из списка разрешенных целей. В некоторых организациях вам может потребоваться обновить только списки несанкционированных разрешенных целей, а не списки допустимых допустимых целей.

Для выборочной переадресации только списков несанкционированных разрешенных целей

В этом разделе объясняется, как создавать, тестировать и фильтровать доверенный список доверенных объектов, которые вы хотите использовать на компьютерах вашей организации. Это решение доступно как для отключенных сред, так и для подключенных сред. Существует две процедуры для настройки списков доверенных целей.

Установка сертификатов из STT фалйла выполняется командой:

updroots.exe roots.sst

Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority.

Что такое ЭЦП и сертификат закрытого ключа

Электронная цифровая подпись используется во многих программных продуктах: 1С: Предприятие (и другие программы для ведения хозяйственного или бухгалтерского учёта), СБИС++, Контур.Экстерн (и прочие решения для работы с бухгалтерской и налоговой отчётностью) и других. Также ЭЦП нашла применение в обслуживании физических лиц при решении вопросов с государственными органами.

Как и при подписании бумажных документов, процесс подписания электронных носителей информации связан с “редактированием” первичного источника.

Электронная цифровая подпись документов осуществляется путём преобразования электронного документа с помощью закрытого ключа владельца, этот процесс и называется подписанием документа

На сегодняшний день сертификаты закрытого ключа чаще всего распространяются либо на обычных USB-флешках, либо на специальных защищённых носителях с тем же USB интерфейсом (Рутокен, eToken и так далее).

Если вы используете ЭЦП у себя дома, то каждый раз подключать/отключать токен быстро надоедает. Кроме того, носитель будет занимать один USB-порт, которых и так не всегда хватает для подключения всей необходимой периферии.Если же вы используете ЭЦП на работе, то бывает, что ключ удостоверяющим центром выдан один, а подписывать документы должны разные люди. Таскать контейнер туда-сюда тоже не удобно, да ещё бывают и случаи, когда в одно время с сертификатом работают сразу несколько специалистов.

Кроме того, и дома, и, особенно, на работе, случается, что на одном компьютере необходимо производить действия с использованием сразу нескольких ключей цифровой подписи. Именно в тех случаях, когда использование физического носителя сертификата неудобно, можно прописать ключ ЭЦП в реестр КриптоПро и использовать сертификат, не подключая носитель к USB-порту компьютера.

Добавление в КриптоПро CSP

Запускаем программу от имени администратора правой кнопкой мыши или из меню самой утилиты на вкладке Общие

Теперь переходим на вкладку Оборудование и нажимаем на кнопку Настроить считыватели…Если в открывшемся окне нет варианта Реестр, то, чтобы его здесь вывести, жмём на кнопку Добавить…

Далее, следуя командам Мастера установки считывателя поэтапно перемещаемся по окнам:

  1. Жмём кнопку Далее в первом окне.
  2. Из списка считывателей от всех производителей выбираем вариант Реестр и снова жмём Далее.
  3. Вводим произвольное имя считывателя, можно оставить название по умолчанию. Жмём Далее.
  4. В последнем окне видим оповещение, что после завершения настройки считывателя рекомендуется перезагрузить компьютер. Жмём кнопку Готово и самостоятельно перезагружаем машину.

Считыватель Реестр добавлен, о чём свидетельствует соответствующий пункт в окне Управление считывателями (напоминаем, что данное окно вызывается по пути КриптоПро – Оборудование – Настроить считыватели…)

Установка сертификатов — для Windows XP

Шаг 1. Загрузите сертификаты КриптоПро CSP

ssl.croinform.cer — (обновлен 21 сентября 2020 г.) основной сертификат, необходим для устранения ошибки сертификата безопасности для веб-узла croinform.ru.

cacer.p7b — (обновлен 29 сентбяря 2020 г.) контейнер с сертификатами удостоверяющего центра ООО КРИПТО-ПРО, необходимыми для функционирования сертификата ssl.croinform.cer.

Шаг 2. Установка основного сертификата ssl.croinform.cer

Запустите файл корневого сертификата ssl.croinform.cer. При запуске может быть открыто окно предупреждения системы безопасности. Нажмите на кнопку «Открыть».

Будет открыто окно, содержащее сведения о текущем сертификате. Нажмите на кнопку «Установить сертификат….»

Откроется окно «Мастера импорта сертификатов».

В последующих шагах установки нажимайте на кнопку «Далее», не меняя параметров установки. После завершения установки, на экран будет выведено окно оповещения.

Нажмите на кнопку «ОК», окно будет закрыто. Ещё раз нажмите на кнопку «ОК», чтобы закрыть окно сведений о текущем сертификате.

Шаг 3. Установка сертификатов из контейнера cacer.p7b

Запустите файл cacer.p7b. На экран будет выведено окно, содержащее информацию о контейнере.

Раскройте дерево «Сертификаты — текущий пользователь», нажав на «плюсик». Выделите мышью папку «Сертификаты». В правой части окна отобразятся 5 сертификатов. Дважды кликните по первому сертификату в списке. Будет открыто окно, содержащее сведения о текущем сертификате. Нажмите на кнопку «Установить сертификат…»

Откроется окно Мастера импорта сертификатов.

В последующих шагах установки нажимайте на кнопку «Далее» или «Готово», не меняя параметров установки. После завершения установки, на экран будет выведено окно оповещения.

После завершения работы мастера импорта сертификатов, на экране появится окно предупреждения системы безопасности.

Нажмите на кнопку «Да». После завершения установки на экран будет выведено окно оповещения.

Нажмите на кнопку «ОК», окно будет закрыто. Ещё раз нажмите на кнопку «ОК», чтобы закрыть окно сведений о текущем сертификате.

Оставшиеся 4 сертификата устанавливаются аналогичным образом.

Шаг 4. Завершение установки

В последующих шагах установки нажимайте на кнопку «Далее» или «Готово», не меняя параметров установки. По завершении настроек, окно «Мастера импорта сертификатов» будет закрыто. На экране появится окно предупреждения системы безопасности.

Нажмите на кнопку «ОК», окно будет закрыто. Всего окон предупреждения, будет 4 (для каждого сертификата).

После завершения установки, на экран будет выведено окно оповещения.

Нажмите на кнопку «ОК», окно будет закрыто. Вы вернётесь в окно консоли управления Microsoft. Нажмите на крестик в правом верхнем углу консоли.

В открывшемся окне нажмите на кнопку «Нет», окно будет закрыто. Поздравляем! Вы установили все требуемые сертификаты.

Получение сертификата

  1. Укажите список доменов, для которых вам необходимо выпустить сертификат.

  2. Выберите тип проверки прав на домен: или .

    Статус сертификата после создания запроса — .

  3. Для выпуска сертификата пройдите процедуру проверки прав на домены, которые вы указали ранее.

    В зависимости от выбранного типа проверки самостоятельно разместите файл на веб-сервере или добавьте -запись с нужным значением в DNS-сервисе. Подробнее о типах проверки и способах их прохождения читайте в разделе Проверка прав на домен.

  4. После успешного прохождения проверки прав на домены, сертификат будет выпущен, и перейдет в статус . Вы можете использовать сертификат в сервисах, интегрированных с Certificate Manager.

Важно

Если за одну неделю не удастся успешно пройти процедуру проверки прав на домены, то сертификат не будет выпущен, и его статус изменится на .

Управление доверенными корневыми сертификатами для домена

Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы домена
.

Используя службы сертификатов, вы можете создать иерархию сертификации в сети вашей компании. Как правило, сертификаты содержат следующую информацию. Цифровая подпись отправителя, которая подтверждает достоверность ссылки между открытым ключом пользователя и информацией идентификации пользователя.

  • Открытый ключ пользователя.
  • Информация о идентификационной информации пользователя.
  • Срок действия.
  • Информация о личности эмитента сертификата.

Сертификат действителен только в течение указанного в нем срока, то есть срок действия сертификата и должен периодически обновляться.

Чтобы управлять доверенными корневыми сертификатами домена, выполните следующие действия.

Откройте Диспетчер сервера
и в группе Сводка функций
нажмите кнопку Добавить функции
. Установите флажок , нажмите кнопку Далее
, а затем нажмите кнопку Установить
.

После того как на странице Результаты установки
появится сообщение об успешной установке консоли управления групповыми политиками, нажмите кнопку Закрыть
.

Это важная мера для повышения уровня безопасности, поскольку при каждом обновлении создается новая пара ключей. Каждый сертификат содержит даты «Действительный от» и «Действительный до», которые ограничивают срок действия. По завершении срока действия сертификата новый сертификат должен быть запрошен сертификатом истекшего срока действия пользователя.

В ситуациях, когда необходимо отключить сертификат, он может быть отозван эмитентом. Каждый эмитент ведет список отозванных сертификатов, который используется программами, когда проверка подлинности конкретного сертификата проверяется. Сертификаты и сертификационные органы.

Нажмите кнопку Пуск
Администрирование
, а затем щелкните элемент Управление групповой политикой
.

Объекты групповой политики
в лесу и домене, содержащем изменяемый объект групповой политики (GPO) Политика домена по умолчанию
.

Политика домена по умолчанию
и выберите командуИзменить
.

В консоли GPMC перейдите к Конфигурация компьютера
, Параметры Windows
, Настройка безопасности
, а затем щелкните Политики открытого ключа
.

Каждый сертификат выдается сертификационным органом. Например, любой пользователь может запросить сертификат для использования в Интернете. Орган сертификации — это орган, ответственный за выдачу сертификатов физическим лицам, компьютерам или организациям, а сертификаты подтверждают идентификацию и другие атрибуты пользователя сертификата другим субъектам. Орган сертификации принимает запрос сертификата, проверяет информацию запрашивающего, а затем использует свой закрытый ключ для применения цифровой подписи к сертификату.

Затем центр сертификации выдает сертификат для пользователя сертификата для использования в качестве учетной записи безопасности в инфраструктуре открытого ключа. Центр сертификации также несет ответственность за отмену сертификатов и публикацию списка отозванных сертификатов.

Дважды щелкните Параметры подтверждения пути сертификата
, а затем щелкните вкладку Хранилища
.

Установите флажок Определить параметры политики
.

В группе Хранилища сертификатов отдельных пользователей
снимите флажки Разрешить использование корневых ЦС, которым доверяет пользователь, для проверки сертификатов
и Разрешить пользователям доверять сертификатам одноранговой групп
в группе флажков Хранилища сертификатов отдельных пользователей
.

Проверки идентичности, как это обычно, защищают центр сертификации на месте, чтобы организации могли проверять своих сотрудников или членов. Все сертификационные органы имеют сертификат, подтверждающий свою личность, выданную другим доверенным органом по сертификации, или в случае корневых центров сертификации, выданных ими самим

Важно помнить, что любой может создать центр сертификации

С помощью Служб сертификации могут быть созданы следующие типы центров сертификации, которые будут описаны ниже. При создании внутренней структуры для создания и управления цифровыми сертификатами вы должны определить процедуры, которые будут использоваться для проверки достоверности данных пользователей, запрашивающих сертификаты. При этом вам придется составить формальную методологию проверки.

В группе Хранилища корневых сертификатов
выберите корневые центры сертификации, которым могут доверять клиентские компьютеры, а затем нажмите кнопку ОК
, чтобы применить новые параметры.

Как устранить ошибку

1) Обратите внимание на адрес сайта

Первое, что сделайте – просто обратите внимание на адрес сайта (возможно, что вы по ошибке набрали не тот URL). Также иногда такое происходит по вине сервера, на котором расположен сайт (возможно, вообще, сам сертификат просто устарел, ведь его выдают на определенное время)

Попробуйте посетить другие сайты, если с ними все OK – то вероятнее всего, что проблема не в вашей системе, а у того конкретного сайта.

Пример ошибки “Сертификат безопасности сайта не является доверенным”

Однако, отмечу, что если ошибка появляется на очень известном сайте, которому вы (и многие другие пользователи) всецело доверяете – то высока вероятность проблемы в вашей системе.

2) Проверьте дату и время, установленные в Windows

Второй момент – подобная ошибка может выскакивать, если у вас в системе неверно задано время или дата. Для их корректировки и уточнения достаточно щелкнуть мышкой по “времени” в панели задач Windows (в правом нижнем углу экрана). См. скрин ниже.

Настройка даты и времени

После установки правильного времени, перезагрузите компьютер и попробуйте заново открыть браузер и сайты в нем. Ошибка должна исчезнуть.

Также обращаю внимание на то, что, если у вас постоянно сбивается время – вероятно у вас села батарейка на материнской плате. Представляет она из себя небольшую “таблетку”, благодаря которой компьютер помнит введенные вами настройки, даже если вы его отключаете от сети (например, те же дата и время как-то высчитываются?)

Батарейка на материнской плате ПК

3) Попробуйте провести обновление корневых сертификатов

Еще один вариант, как можно попробовать решить эту проблему – установить обновление корневых сертификатов. Обновления можно скачать на сайте Microsoft для разных ОС. Для клиентских ОС (т.е. для обычных домашних пользователей) подойдут вот эти обновления: https://support.microsoft.com/

4) Установка “доверенных” сертификатов в систему

Этот способ хоть и рабочий, но хотелось бы предупредить, что он “может” стать источником проблем в безопасности вашей системы. По крайней мере, прибегать к этому советую только для таких крупных сайтов как Google, Яндекс и т.д.

Для избавления от ошибки, связанной с недостоверностью сертификата, должен подойти спец. пакет GeoTrust Primary Certification Authority .

Кстати, на этой страничке расположено еще несколько сертификатов, их также можно до-установить в систему.

Кстати, чтобы скачать GeoTrust Primary Certification Authority:

Сохранить ссылку как.

далее укажите папку на диске, куда будет скачан сертификат. Это будет файл формата PEM.

Файл с расширением PEM

Теперь необходимо скачанный сертификат установить в систему. Как это делается, по шагам расскажу чуть ниже:

  1. сначала нажимаем сочетание кнопок Win+R, и вводим команду certmgr.msc, жмем OK;
  2. должен открыться центр сертификатов в Windows. Необходимо раскрыть вкладку “Доверенные корневые центры сертификации/сертификаты”, щелкнуть по ней правой кнопкой мышки и выбрать “Все задачи – импорт”.

далее запустится мастер импорта сертификатов. Просто жмем “Далее”.

Мастер импорта сертификатов

после нажмите кнопку “Обзор” и укажите ранее загруженный нами сертификат. Нажмите “Далее” (пример показан ниже);

Указываем сертификат, который загрузили

в следующем шаге укажите, что сертификаты нужно поместить в доверенные центры сертификации и нажмите “Далее”.

Поместить сертификаты в доверенные. Далее

в следующем шаге вы должны увидеть, что импорт успешно завершен. Собственно, можно идти проверять, как будет отображаться сайт в браузере (может потребоваться перезагрузка ПК).

5) Обратите внимание на антивирусные утилиты

В некоторых случаях эта ошибка может возникать из-за того, что какая-нибудь программа (например, антивирус) проверяет https трафик. Это видит браузер, что пришедший сертификат не соответствует адресу, с которого он получен, и в результате появляется предупреждение/ошибка.

Поэтому, если у вас установлен антивирус/брандмауэр, проверьте и на время отключите настройку сканирования https трафика (см. пример настроек AVAST на скрине ниже).

Avast – основные настройки (отключение сканирование https трафика)

На этом у меня всё.

За дополнения по теме – отдельное мерси!

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий