Меню Рубрики

Установка корневого сертификата в хранилище доверенных

Добавление сертификатов в хранилище доверенных корневых центров сертификации для локального компьютера

Чтобы добавить сертификаты в хранилище доверенных корневых центров сертификации локального компьютера, выполните следующие действия.

  1. Первый шаг. Откройте мастер импорта сертификатов одним из описанных далее способом и нажмите «Далее >».

Установка через Internet Explorer:

  • Запустите iexplorer. В главном меню выберите Сервис / Свойства обозревателя.
  • Откройте «Свойства обозревателя» через Пуск / Панель управления.
  • Переключитесь на вкладку «Содержание».
  • Откроется окно «Сертификаты». Переключитесь на вкладку «Доверенные корневые центры сертификации».
  • Нажмите кнопку «Импорт».
  • Запустите файл сертификата как программу. Появится окно «Сертификат».
  • Нажмите кнопку «Установить сертификат».

Через консоль MS Windows

Внимание! Данный вариант — ЕДИНСТВЕННЫЙ работоспособный для Windows 7!

    • Запустите консоль mmc, для этого выполните следующие действия: Войти в «Пуск / Выполнить», в строке «Найти программы и файлы» пропишите mmc, Разрешите внести изменения — кнопка Да.
    • Появится окно консоли. В главном меню выберите Консоль / Добавить или удалить оснастку
    • Появится окно «Добавить или удалить оснастку». Нажмите кнопку «Добавить…»
    • В списке оснастки выберите «Сертификаты» и нажмите «Добавить».
    • В окне «Оснастка диспетчера сертификатов» оставьте значения по умолчанию и нажмите «Готово»
    • Закройте окно «Добавить изолированную оснастку» (кнопка «Закрыть»)
    • В окне «Добавить или удалить оснастку» нажмите «ОК»
    • В дереве консоли появится запись «Сертификаты». Раскройте ее и найдите раздел «Доверенные корневые центры сертификации», «Сертификаты»
    • На строке «Сертификаты» нажмите правую кнопку мыши и в контекстном меню выберите Все задачи / Импорт
  1. На шаге «Импортируемый файл» (Шаг может быть пропущен, в зависимости от варианта запуска мастера) с помощью кнопки «Обзор…» выберите корневой сертификат и нажмите «Далее >».
  2. На шаге «Хранилище сертификатов» установите опцию «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор».
  3. В окне выбора хранилища установите флаг «Показать физические хранилища», раскройте «ветку» (+) «Доверенные корневые центры сертификации» и выберите место хранения сертификата:
    • «Реестр» — для пользования корневым сертификатом только текущим пользователем под данной операционной системой.
    • «Локальный компьютер» — для пользования корневым сертификатом всеми пользователями операционной системой.

  4. После нажатия кнопок «Ок», «Далее >» и «Готово» может появиться предупреждение о безопасности (зависит от внутренних настроек операционной системы) с вопросом «Установить данный сертификат?», нажмите «Да».
  5. Появится сообщение — «Импорт успешно выполнен», корневой сертификат добавлен в доверенные корневые центры сертификации для вашей или для всех учетных записей.

источник

Автоустановка сертификатов в хранилище доверенных корневых центров сертификации

Как-то обратился ко мне товарищ (Серёга с antelecs.ru) с вопросом, можно ли как-то ускорить/автоматизировать рутинный процесс добавления нескольких сертификатов в хранилище доверенных корневых центров сертификации. Задачка мне показалась интересной и подходящей по тематике сайта, поэтому решение я взялся опубликовать здесь. Бесплатный софт предлагаю качать на Киберсофт!

Конечно можно было бы заморочиться с GPO или ещё чем-нибудь тру-админским, но у меня почему-то первой мыслью было использовать подручные средства в виде RAR-архиватора и его функции создания самораспаковывающихся (SFX) архивов.

Делаем автоустановку сертификатов

Нам понадобится утилита certmgr.exe из набора Windows SDK. Информация о том, как ей пользоваться – есть вот на этой странице.

Утилита certmgr.exe из набора Microsoft SDK

В контекстном меню при выделении всех файлов выбираем команду “Добавить в архив…”.

Упаковываем все файлы в архив

Указываем параметры архива. Здесь можно задать произвольное имя выходного исполняемого файла, а также необходимо отметить галочкой пункт “Создать SFX-архив”.

Указываем параметры архива

На вкладке “Дополнительно” нажимаем кнопку “Параметры SFX…”.

Устанавливаем параметры SFX

На вкладке “Общие” указываем путь для распаковки – можно указать текущую папку или её подкаталог.

Самое интересное: на вкладке “Установка” указываем какие команды выполнить после извлечения файлов. Текущим каталогом при этом будет являться тот, куда распакованы файлы. Команда для установки сертификата в хранилище выглядит так:

certmgr.exe -add -c «Имя файла.cer» -s -l localMachine root

где localMachine означает установку для компьютера, а root – название хранилища доверенных корневых центров сертификации.

Для удобства пользования можно скрыть все диалоговые окна (в противном случае будет отображаться диалоговое окно выбора каталога для распаковки и т.д.).

На вкладке Комментарии отображены все действия, совершаемые при распаковке. В принципе сюда можно ввести текст вручную и выполнится то же самое.

Видео по теме

Для лучшего понимания процесса я записал небольшой видеоролик!

Понравилась статья? Не забывай поставить Like, так я буду знать, что это кому-то ещё было интересно или полезно.

источник

Установка корневого сертификата в браузере Internet Explorer

Если при попытке установить защищенное соединение с одним из сервисов WebMoney (например, https://passport.webmoney.ru) в окне браузера Internet Explorer вы видите следующую картинку, то вам необходимо установить корневой сертификат Webmoney.

Для этого загрузите сертификат, сохраните его на жестком диске или запустите с текущего места.

Если вы запустили файл сертификата, то после нажатия кнопки «Установить сертификат. « переходите через начальное окно Мастера импорта сертификатов сразу к выбору хранилища сертификатов (см. далее).

Если вы сохранили сертификат на жестком диске, то в Internet Explorer’е в меню «Настройки» выберите пункт «Свойства обозревателя, а затем в открывшемся окне на вкладке «Содержание» нажмите кнопку «Сертификаты».

Для установки сертификата перейдите на вкладку «Доверенные корневые центры сертификации» и нажмите кнопку «Импорт. «,

и в открывшемся окне «Мастера импорта сертификатов» кнопку «Далее >».

Для выбора файла сертификата нажмите кнопку «Обзор..».

Найдите на жестком диске сохраненный файл сертификата и нажмите кнопку «Открыть»

Обратите внимание, предлагаемое по умолчанию хранилище сертификатов должно совпадать c тем, куда следует поместить корневой сертификат. Если импорт был инициирован из другого раздела хранилища сертификатов, то нужно выбрать по кнопке «Обзор. » хранилище «Доверенные корневые центры сертификации» и нажать кнопку «Далее >».

Затем следует подтвердить завершение работы мастера, нажав кнопку «Готово»,

Для контроля правильности проделанных операций в окне «Сертификаты» откройте вкладку «Доверенные корневые центры сертификации» и в конце списка найдите установленный вами корневой сертификат

и откройте окно информации о сертификате, нажав кнопку «Просмотр». Убедитесь, что сертификат действителен и его срок действия оканчивается 10.03.2035 г.

источник

Установка корневого сертификата в хранилище доверенных

Сертификаты, которые используются в работе системы Контур Экстерн, можно добавить или удалить c помощью консоли mmc из следующих хранилищ:

  • «Другие пользователи» — хранилище сертификатов контролирующих органов;
  • «Доверенные корневые центры сертификации» и «Промежуточные центры сертификации» — хранилища сертификатов Удостоверяющего Центра.

Установка личных сертификатов производится только с помощью программы Крипто Про.

Для запуска консоли необходимо выполнить следующие действия

1. Выбрать меню «Пуск» > «Выполнить» (или на клавиатуре одновременно нажать клавиши «Win+R»).

2. Указать команду mmc и нажать на кнопку «ОК».

3. Выбрать меню «Файл» > «Добавить или удалить оснастку».

4. Выбрать из списка оснастку «Сертификаты» и кликнуть по кнопке «Добавить».

5. В открывшемся окне установить переключатель «Моей учетной записи пользователя» и нажать на кнопку «Готово».

6. Выбрать из списка справа добавленную оснастку и нажать на кнопку «ОК».

Установка сертификатов

1. Открыть необходимое хранилище (например, доверенные корневые центры сертификации). Для этого раскрыть ветку «Сертификаты — текущий пoльзователь» > «Доверенные корневые центры сертификации» > «Сертификаты».

2. Выбрать меню «Действие» > «Все задачи» > «Импорт».

3. В отрывшемся окне нажать на кнопку «Далее».

4. Далее следует нажать на кнопку «Обзор» и указать файл сертификата для импорта (корневые сертификаты Удостоверяющего Центра можно скачать с сайта Удостоверяющего центра, сертификаты контролирующих органов находятся на сайте системы Контур.Экстерн). После выбора сертификата необходимо кликнуть по кнопке «Открыть», а затем по кнопке «Далее».

5. В следующем окне необходимо нажать на кнопку «Далее» (нужное хранилище выбрано автоматически).

6. Нажать на кнопку «Готово» для завершения импорта.

Удаление сертификатов

Чтобы удалить сертификаты с помощью консоли mmc (например, из хранилища Другие пользователи), необходимо проделать следующие действия:

Раскрыть ветку «Сертификаты — текущий пoльзователь» > «Другие пользователи» > «Сертификаты». В правой части окна отобразятся все сертификаты, установленные в хранилище «Другие пользователи». Выделите необходимый сертификат, щелкните по нему правой кнопкой мыши и выберите «Удалить».

источник

Инструкция по установке корневого сертификата удостоверяющего центра (УЦ)

Для проверки подлинности электронной подписи на компьютере, где и используется ЭЦП, обязательно должен устанавливаться корневой сертификат удостоверяющего центра. Это открытый ключ, по которому криптопровайдер понимает, какая именно организация выдала электронную подпись и к чьему реестру необходимо обращаться для проверки актуальности ЭЦП. Более того, только при наличии установленного в системе корневого сертификата на компьютер можно скопировать персональную электронную подпись (в виде открытого ключа, сгенерированного с помощью USB‑токена). Где получить и как установить корневой сертификат удостоверяющего центра?

Где взять корневой сертификат

Если удостоверяющий центр не предоставил необходимый файл при выдаче ЭЦП – следует обращаться к нему за получением информационной помощи. Также нередко корневые сертификаты можно скачать на официальном сайте УЦ (к примеру, кто получал ЭЦП в «Контур», то может скачать их по адресу https://ca.kontur.ru/about/certificates).

Необходимо обратить внимание, что срок действия корневых сертификатов также ограничен и составляет 12 месяцев с даты их регистрации (выдачей занимается Минкомсвязи, его наличие у УЦ подтверждает, что организация аккредитована). Соответственно, в начале нового календарного года необходимо проводить инсталляцию нового ключа удостоверяющего центра, чтобы продолжать нормально пользоваться электронной подписью.

Можно ли установить ЭЦП без корневого сертификата

Без корневого сертификата электронную подпись установить тоже получится, но такой ключ не будет признаваться в качестве действительного. Соответственно, подписать документ не получится (КриптоПро CSP будет выдавать ошибку, ссылаясь на невозможность проверить подлинность ЭЦП).

Это актуально и для онлайн-сервисов, где выполняется авторизация через ЭЦП. Все это работать не будет даже при считывании открытого ключа непосредственно из USB-накопителя через КриптоАРМ (без интеграции корневого ключа в систему). Операционная система точно так же будет выдавать ошибку, ссылаясь на невозможность проверить подлинность подписи.

Какая информация содержится в корневом сертификате

Что такое корневой сертификат удостоверяющего центра? Это файл, где сохранена сервисная информация об удостоверяющем центре с указанием даты его действия, сервисным интернет-адресом (через который можно связаться с реестром организации). Все эти данные предоставляются в шифрованном виде, которые использует КриптоПро CSP для проверки подлинности открытой персональной ЭЦП.

Основное назначение корневого ключа – это именно проверка подлинности открытого ключа ЭЦП. Открытую подпись гражданина в теории можно украсть, но воспользоваться ею без сертификата от удостоверяющего центра – не получится. То есть, вся эта схема сделана так, чтобы предотвратить факты использования чужой ЭЦП мошенниками или просто третьими лицами.

Как установить

  1. Необходимо правой кнопкой кликнуть на файл с расширением .crt;
  2. Выбрать «Установить сертификат», после чего запустится «Мастер импорта»;
  3. Нажать «Далее»,
  4. Выбрать «Поместить все сертификаты в выбранной хранилище»;
  5. Из диалогового окна выбрать «Доверенные корневые центры сертификации», нажать ОК (пункт «Показать только физические хранилища» не должен быть отмечен галкой);
  6. Нажать «Далее», на предупреждение системы об установке ключа неизвестного назначения можно не обращать внимание и просто закрыть данное окно, затем – кликнуть на «Готово».

В том случае, если пользователь попытается провести установку корневого сертификата удостоверяющего центра, срок действия которого уже истек, то при попытке его импорта система выдаст ошибку.

После установки корневого ключа настоятельно рекомендуется перезагрузить компьютер. В противном случае – могут возникать ошибки при запуске КриптоПро CSP (довольно частая проблема при использовании Windows XP устаревших редакций, которые официально уже не поддерживаются разработчиком ПО).

Установка в Linux

В современных дистрибутивах Linux установка корневых сертификатов удостоверяющих центров выполняется ничуть не сложнее, нежели в среде Windows. Потребуется файл с расширением .crt, достаточно по нему дважды кликнуть мышкой и выбрать «Установить» (подтвердить выбор необходимо введением пароля пользователя).

При возникновении каких-либо проблем рекомендуется воспользоваться консольной утилитой certmgr. Установка из терминала ключей удостоверяющего центра выполняется по следующей команде: certmgr -inst -store root -file . После ввода данной команды также необходимо указать пароль Root (так как файл интегрируется в корневой раздел диска).

Возможные проблемы и пути их решения

Первое, на что стоит обратить внимание если не устанавливается корневой сертификат удостоверяющего центра – это на лицензию операционной системы. В пиратских версиях Windows функционал, отвечающий за установку и работу с сертификатами, довольно часто полностью обрезан или нарушена целостность хранилищ (из-за некоторых отключенных служб). Поэтому начать следует именно с установки лицензионной версии Windows.

Если при попытке установки корневого сертификата удостоверяющего центра возникает ошибка на недостаточность полномочий пользователя, то это означает, что в систему необходимо войти под логином администратора и выполнить установку в таком режиме. Если речь идет о компьютере, подключенного к локальной сети предприятия, то сертификат импортируется в хранилище сервера.

Такая ошибка возникает при использовании устаревшей редакции Windows 7. Необходимо обновить ОС до редакции Service Pack 1 и выполнить импорт сертификата удостоверяющего центра ещё раз.

Также следует упомянуть, что разработчики КриптоПро CSP рекомендуют использовать 64-битные версии операционных систем. Это актуально для Windows 7 и выше. Windows XP последней редакции (Service Pack 3) никогда не выходила в 64-битной вариации, но там с установкой сертификатов никаких подобных проблем не возникает.

Данная ошибка также часто встречается в Windows Vista (кроме редакции Service Pack 2). Решение – обновить операционную систему или установить более актуальную версию. Все это относится не только к пользовательским версиям Windows, но и к серверным.

Если Windows выдает ошибку при попытке выполнения импорта сертификата во внутреннее хранилище, то это может указывать на:

  • использование несовместимого дистрибутива криптопровайдера (следует использовать КриптоПро CSP версии 3.5 или выше);
  • копия открытого ключа уже установлена в систему (проверить список можно через КриптоПро CSP из панели управления Windows);
  • ошибки в работе с реестром (рекомендуется выполнить восстановление системы или чистку реестра с помощью специального ПО, типа C&CLeaner);
  • срок действия корневого сертификата удостоверяющего центра истек (необходимо импортировать действующий, а не отозванный);
  • файл ключа поврежден (его целостность проверяется с помощью хеширования, на сайтах удостоверяющих центров может указываться хеш-сумма для проверки).

Если все вышеуказанные причины устранены, но ошибка все равно возникает, то следует выполнить переустановку операционной системы с очисткой всего хранилища ранее установленных пользователем сертификатов.

Обновление корневого сертификата удостоверяющего центра

При наступлении нового календарного года необходимо самостоятельно устанавливать обновленные ключи удостоверяющих центров на компьютеры, где используется ЭЦП (операционная система выдаст соответствующее напоминание при запуске).

Выполнить обновление можно двумя методами:

  1. Вручную загрузить и установить необходимый ключ.
  2. С помощью специального ПО, распространяемого удостоверяющими центрами (таковое есть, к примеру, в «Контур»).

Установка нового сертификата ничем не отличается от описанной выше. Удалять старый ключ удостоверяющего центра не обязательно – он все равно будет считаться системой как недействительный, использоваться он не будет.

Итого, как установить корневой сертификат удостоверяющего центра для КриптоПро? Как и любой другой ключ, потребуется лишь указать в качестве хранилища «Доверенные корневые центры». В противном случае – ключ будет импортирован как персональный, для проверки электронной подписи он использоваться не будет.

источник

Читайте также:  Установка ветровиков на пассат