Sve o tuningu automobila

Kako instalirati root certifikat certifikatora. Automatsko ažuriranje skladišta certifikata pouzdanih korijenskih autoriteta za izdavanje certifikata na Windows računarima koji nemaju direktan pristup Internetu. Instalirajte lični sertifikat

  • "Ostali korisnici" - repozitorijum sertifikata regulatornih organa;
  • „Trusted Root Certification Authorities“ i „Intermediate Certification Authorities“ – skladišta certifikata tijela za sertifikaciju.

Instalacija ličnih certifikata vrši se samo uz pomoć Crypto Pro programa.

Da biste pokrenuli konzolu, potrebno je da uradite sledeće

1. Odaberite meni "Start"> "Run" (ili istovremeno pritisnite tipke "Win + R" na tastaturi).

2. Odredite naredbu mmc i kliknite na dugme "OK".

3. Odaberite File> Add or Remove Snap-in.

4. Odaberite dodatak "Sertifikati" sa liste i kliknite na dugme "Dodaj".

5. U prozoru koji se otvori postavite prekidač „Moj račun korisnika "i kliknite na dugme "Završi".

6. Izaberite dodani dodatak sa liste na desnoj strani i kliknite na dugme "OK".

Instaliranje certifikata

1. Otvorite potrebnu memoriju (na primjer, pouzdana korijenska ovlaštenja za sertifikaciju). Da biste to učinili, otvorite granu "Sertifikati - trenutni korisnik"> "Pouzdani korijenski autoriteti za izdavanje certifikata"> "Sertifikati".

2. Odaberite Akcija > Svi zadaci > Uvezi.

4. Zatim kliknite na dugme "Pregledaj" i odredite datoteku sertifikata za uvoz (osnovni sertifikati Centra za sertifikaciju mogu se preuzeti sa sajta Centra za sertifikaciju, sertifikati regulatornih tela nalaze se na sajtu Kontura. Eksterni sistem). Nakon odabira certifikata, morate kliknuti na dugme "Otvori", a zatim na dugme "Dalje".

5. U sljedećem prozoru kliknite na dugme "Dalje" (potrebna memorija se bira automatski).

6. Kliknite na dugme "Završi" da završite uvoz.

Uklanjanje sertifikata

Da biste izbrisali certifikate pomoću mmc konzole (na primjer, iz trgovine Ostali korisnici), morate učiniti sljedeće:

Proširite granu "Sertifikati - trenutni korisnik"> "Ostali korisnici"> "Sertifikati". Svi sertifikati instalirani u prodavnici "Drugi korisnici" biće prikazani na desnoj strani prozora. Označite traženi certifikat, kliknite desnim tasterom miša na njega i odaberite "Izbriši".

Da biste instalirali sertifikate, potrebno je da povežete USB fleš disk sa elektronskim potpisom, otvorite ga i instalirate sertifikate

1. Instalirajte certifikat glavnog tijela za sertifikaciju u pouzdane root centre, za ovo trebate:

1.1. Dvaput kliknite na certifikat glavnog CA - fajl "Head certification authority.cer".

1.2. U obrascu koji se otvori morate kliknuti na dugme "Instaliraj certifikat...".

1.3. Odaberite "Postavite sve certifikate u sljedeću trgovinu" (stavite kvačicu ispred naljepnice) i kliknite na dugme "Pretraži".


1.4. Na listi koja se otvori odaberite "Trusted Root Certification Authorities" i kliknite "OK".

2. Instalirajte lični sertifikat

Instalacija ličnog sertifikata se vrši pomoću programa CryptoPro CSP
2.1. Potrebno je pokrenuti CryptoPro CSP program (dugme "Start" -> "CryptoPro CSP" ili dugme "Start" -> "Svi programi" -> CRYPTO-PRO -> "CryptoPro CSP").

2.2. U prozoru koji se otvori odaberite karticu "Usluga" i kliknite na "Instaliraj lični sertifikat…».

2.3. U prozoru koji se otvori kliknite na dugme "Pregledaj", izaberite sertifikat organizacije na USB fleš disku - drugu datoteku sa ekstenzijom "cer" (ne fajl CA sertifikata (u primeru - "adicom.cer")) i kliknite na "Dalje".




2.4. U obrascu koji se otvori morate kliknuti "Dalje"


2.5. U obrascu koji se otvori morate kliknuti na potvrdni okvir "Pronađi automatski spremnik". Kao rezultat toga, "Naziv spremnika ključeva" će biti popunjen i kliknite "Dalje"


2.6. U obrascu koji se otvori morate kliknuti "Dalje"


2.7. U obrascu koji se otvori morate kliknuti "Završi"


Na lokalnoj mašini korisnika je instalirano sve što je potrebno za generisanje elektronskog potpisa softvera - možete potpisati štampane formulare.

3. Instalirajte CryptoPro Extension for Cades Browser Plug-in u pretraživač

Da biste instalirali proširenje pretraživača (dodatak) CryptoPro Extension for Cades Browser Plugin, otvorite prodavnicu ekstenzija u svom pretraživaču i potražite ekstenzije po riječi Cades / Za link Yandex.Browser -

Prilikom registracije dokumenata ili registracije organizacije, korisnici nailaze na grešku - „Nije moguće izgraditi lanac certifikata za pouzdanog korijenski centar". Ako pokušate ponovo, greška se ponovo pojavljuje. Što učiniti u ovoj situaciji, pročitajte dalje u članku.

Uzroci greške u lancu certifikata

Greške mogu nastati iz različitih razloga - problemi s internetom na strani klijenta, blokiranje softvera Windows Defender ili drugi antivirusni softver. Dalje, odsustvo root certifikat Certifikacijsko tijelo, problemi u procesu kriptografskog potpisa i drugo.

Riješite grešku prilikom kreiranja kreiranja lanca certifikata za pouzdano korijensko ovlaštenje

Prije svega, uvjerite se da nemate problema sa internet vezom. Greška se može pojaviti kada je pristup odbijen. Mrežni kabl mora biti povezan na računar ili ruter.

  1. Kliknite na dugme "Start" i potražite "Command Prompt".
  2. Odaberite ga desnom tipkom miša i kliknite na "Pokreni kao administrator".
  3. Unesite sljedeću naredbu "ping google.ru" u DOS prozor.

Kada je internet povezan, trebali biste prikazati podatke o poslanim paketima, brzini prijenosa i druge informacije. Ako nema interneta, vidjet ćete da paketi nisu stigli na odredište.

Sada provjerimo prisustvo root certifikata CA. Za ovo:


Ako nema sertifikata, morate ga preuzeti. U većini slučajeva nalazi se u root certifikatima i korisnik treba samo da ga instalira. Također je vrijedno zapamtiti da je najbolje koristiti pretraživač Internet Explorer kako bi se u procesu pojavilo manje grešaka i padova. Pokušajte pronaći CA u root certifikatima, nakon toga ćete morati samo kliknuti na dugme "Instaliraj", ponovo pokrenuti pretraživač i problem ćete riješiti greškom - "Nije moguće izgraditi lanac certifikata za pouzdani root centar ."

Provjera korijenskog certifikata CA u pretraživaču

Provjera se može izvršiti u pretraživaču.

  1. Odaberite "Servis" iz menija.
  2. Zatim kliknite na red "Internet opcije".
  3. Kliknite na karticu "Sadržaj".
  4. Ovdje trebate odabrati "Certifikati".
  5. Sljedeća kartica je "Trusted Certification Authorities". Ovdje bi trebao postojati root CA certifikat, obično se nalazi na dnu liste.

Sada pokušajte ponovo korake koji su generirali grešku. Da biste dobili root certifikat, potrebno je da kontaktirate odgovarajući centar u kojem ste dobili UPC ES.

Drugi načini za popravljanje greške u lancu certifikata

Razmotrimo kako pravilno preuzeti, instalirati i koristiti CryptoPro. Da biste bili sigurni da program nije instaliran na vašem računaru (ako postoji nekoliko korisnika računara), potrebno je da otvorite meni "Start". Zatim odaberite "Programi" i potražite "CryptoPro" na listi. Ako ga nema, onda ćemo ga instalirati. Program možete preuzeti na linku https://www.cryptopro.ru/downloads. Ovdje vam treba "CryptoPro CSP" - odaberite verziju.

U sljedećem prozoru trebali biste vidjeti poruku o predregistraciji.

Instalacija CryptoPro

Kada se instalaciona datoteka preuzme, potrebno je da je pokrenete da biste je instalirali na svom računaru. Sistem će prikazati upozorenje da program traži dozvolu za promjenu datoteka na PC-u, dozvolite mu da to uradi.

Prije instaliranja programa na vaš računar, svi vaši tokeni moraju biti raspakirani. Pregledač mora biti konfigurisan da radi, sa izuzetkom pretraživača Opera, u kojem su već napravljene sve zadane postavke. Jedino što korisniku preostaje je da aktivira poseban dodatak za rad. U procesu ćete vidjeti odgovarajući prozor u kojem Opera nudi aktiviranje ovog dodatka.

Nakon pokretanja programa, morat ćete unijeti ključ u prozor.

Program za pokretanje možete pronaći na sljedećoj putanji: "Start", "Svi programi", "CryptoPro", "CryptoPro CSP". U prozoru koji se otvori kliknite na dugme "Unesite licencu" i unesite ključ u posljednju kolonu. Spreman. Sada je potrebno program konfigurirati na odgovarajući način za vaše zadatke. U nekim slučajevima se koriste dodatni uslužni programi za elektronički potpis - CryptoPro Office Signature i CryptoACM. Možete ukloniti grešku - ne postoji način da se izgradi lanac certifikata za pouzdani root centar - jednostavnom ponovnom instalacijom CryptoPro-a. Pokušajte ovo ako drugi savjeti ne pomognu.

Da li se greška i dalje pojavljuje? Pošaljite zahtjev službi za podršku u kojem trebate objaviti snimke ekrana svojih uzastopnih radnji i detaljno objasniti svoju situaciju.

sa problemom nemogućnosti ispravne implementacije softvera zbog činjenice da se skladište certifikata pouzdanih korijenskih certifikacijskih tijela ne ažurira na ciljnim računarima koji rade pod Windows OS (u daljem tekstu, radi kratkoće, ovo ćemo spremište zvati TrustedRootCA). U to vrijeme, problem je riješen implementacijom paketa rootsupd.exe dostupno u članku KB931125 koji se odnosi na OS Windows XP... Sada je ovaj OS potpuno uklonjen iz Microsoft podrške, i vjerovatno je to razlog zašto ovaj članak iz baze znanja više nije dostupan na Microsoft web stranici. Svemu ovome možemo dodati i činjenicu da ni u tom trenutku rješenje sa uvođenjem paketa certifikata koji je tada već bio zastario nije bilo najoptimalnije, jer su tada bili u upotrebi sistemi sa OS-om. Windows Vista i Windows 7, koji je već imao novi mehanizam za automatsko ažuriranje skladišta certifikata TrustedRootCA. Evo jednog od starih članaka o Windows Visti koji opisuje neke aspekte kako takav mehanizam funkcionira -Podrška za sertifikate i rezultirajuća Internet komunikacija u operativnom sistemu Windows Vista . Nedavno sam naišao na prvobitni problem da moram ponovo ažurirati skladište certifikata TrustedRootCA na brojnim Windows klijentskim računarima i serverima. Svi ovi računari nemaju direktan pristup Internetu, pa samim tim mehanizam za automatsko obnavljanje certifikata ne obavlja svoj zadatak kako bismo željeli. Mogućnost otvaranja direktnog pristupa Internetu svim računarima, pa i određenim adresama, u početku se smatrala ekstremom, a potraga za prihvatljivijim rješenjem dovela me je do člankaKonfigurirajte pouzdane korijene i nedozvoljene certifikate(RU ), koji je odmah odgovorio na sva moja pitanja. Pa, generalno, na osnovu ovog članka, u ovom članku ću ukratko skicirati konkretnim primjerom kako možete centralno rekonfigurirati na Windows Vista i višim računarima upravo ovaj mehanizam za automatsko ažuriranje skladišta certifikata TrustedRootCA tako da se može koristiti kao izvor ažurira za dijeljenje datoteka ili web stranicu na lokalnoj korporativnoj mreži.

Za početak, ono na šta treba da obratite pažnju je da parametar koji blokira rad mehanizma automatskog ažuriranja ne treba da bude omogućen u grupnim smernicama koje se primenjuju na računare. Ovaj parametar Isključite automatsko ažuriranje korijenskih certifikata U poglavlju Konfiguracija računara > Administrativni šabloni > Sistem > Upravljanje Internet komunikacijom > Postavke Internet komunikacije... Trebamo da ovaj parametar bude Isključen ili samo Nije konfigurisano.

Gledajući TrustedRootCA spremište certifikata pod Lokalni kompjuter, onda će na sistemima koji nemaju direktan pristup internetu skup certifikata biti tako mali:

Ova datoteka je zgodna za korištenje, na primjer, kada trebate samo odabrati određeni skup iz cijelog podskupa dostupnih certifikata i prenijeti ih u zasebnu SST datoteku za daljnje učitavanje, na primjer, pomoću lokalne konzole za upravljanje certifikatima ili pomoću Konzola za upravljanje grupnim politikama (za uvoz u neku ili politiku domene putem parametra Konfiguracija računara > Politike > Windows postavke > Sigurnosne postavke > Politika javnog ključa > Pouzdani Root Certification Authorities).

Međutim, za način na koji smo zainteresovani za distribuciju root sertifikata, modifikacijom rada mehanizma automatskog ažuriranja na krajnjim klijentskim računarima, potreban nam je malo drugačiji prikaz skupa stvarnih root sertifikata. Možete ga dobiti koristeći isti uslužni program. Certutil, ali sa drugačijim setom ključeva.

U našem primjeru koristit ćemo zajedničku mrežnu mapu na serveru datoteka kao lokalni izvor distribucije. I ovdje je važno obratiti pažnju na činjenicu da je prilikom pripreme takve mape imperativ ograničiti pristup pisanju kako se ne bi dogodilo da bilo ko može modificirati skup root certifikata, koji će se potom "proliti" na više kompjuteri.

Certutil-syncWithWU -f -f \\ FILE-SERVER \ SHARE \ RootCAupd \ GPO-Deployment \

Ključevi -f -f se koriste za prisilno ažuriranje svih datoteka u odredišnom direktoriju.

Kao rezultat izvršenja naredbe, skup datoteka ukupne veličine oko pola megabajta pojavit će se u mrežnoj mapi koju smo naveli:

Prema prethodno navedenomčlanci , svrha fajlova je sljedeća:

  • File autrootstl.cab Sadrži liste povjerenja certifikata treće strane;
  • File disallowedcertstl.cab sadrži listu pouzdanih certifikata s nepouzdanim certifikatima;
  • File disallowedcert.sst Sadrži skladište serijaliziranih certifikata, uključujući nepouzdane certifikate;
  • Fajlovi sa imenima poput thumbprint.crt sadrže korijenske certifikate treće strane.

Dakle, datoteke potrebne za rad mehanizma automatskog ažuriranja su primljene, a sada prelazimo na implementaciju promjene šeme rada samog ovog mehanizma. Za to nam, kao i uvijek, u pomoć priskaču politike grupe domena. Aktivni direktorij (GPO), iako možete koristiti druge alate za centralizirano upravljanje, sve što trebamo učiniti na svim računarima je da promijenimo, odnosno dodamo samo jedan parametar registra RootDirURL u grani HKLM \ Software \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate, koji će odrediti putanju do našeg mrežnog direktorija, u koji smo prethodno postavili skup datoteka root certifikata.

Govoreći o postavljanju GPO-a, opet, možete koristiti različite opcije da biste izvršili zadatak. Na primjer, postoji "old-school" opcija sa kreiranjem vlastitog predloška grupnih pravila, kao što je opisano u već poznatomčlanak ... Da biste to učinili, kreirajte datoteku u formatu GPO administrativnog predloška ( ADM), na primjer pod nazivom RootCAUpdateLocalPath.adm i sadržaj:

CLASS KATEGORIJA MAŠINE !! Sistemski certifikati KEYNAME " Softver \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate"POLICY !! RootDirURL EXPLAIN !! RootDirURL_help DIO !! RootDirURL EDITTEXT VALUENAME" RootDirURL "END PART END POLICY END CATEGORY RootDirURL =" URL adresa koju treba unijeti umjesto zadane ctldl.windowsupdate "RootDir lokacija za korištenje kao lokacija za preuzimanje. CTL datoteke. "SystemCertificates =" Windows AutoUpdate Settings "

Kopirajte ovu datoteku u kontroler domene u % SystemRoot% \ inf direktorij (po pravilu, ovo je direktorij C: \ Windows \ inf). Nakon toga, idemo na uređivač politike grupe domena i kreiramo posebnu novu politiku, a zatim je otvorimo za uređivanje. U poglavlju Konfiguracija računara > Administrativni šabloni... otvorite kontekstni meni i izaberite tačku veze za novi šablon politike Dodaj/ukloni predloške

U prozoru koji se otvori, pomoću dugmeta za pretraživanje izaberite prethodno dodanu datoteku % SystemRoot% \ inf \ RootCAUpdateLocalPath.adm, a nakon što se predložak pojavi na listi, kliknite Zatvori.

Nakon obavljene radnje u sekciji Konfiguracija > Administrativni šabloni > Klasični administrativni predlošci (ADM) pojavit će se grupa Windows AutoUpdate Settings, u kojem će jedini parametar biti dostupan URL adresa koja će se koristiti umjesto zadane ctldl.windowsupdate.com

Otvorite ovaj parametar i unesite putanju do lokalnog resursa na kojem smo locirali prethodno preuzete datoteke ažuriranja, u formatu http: // server1 / folder ili fajl: // \\ server1 \ folder,
na primjer fajl: // \\ FILE-SERVER \ SHARE \ RootCAupd \ GPO-Deployment

Sačuvajmo promene i primenimo kreiranu politiku na kontejner domena u kojem se nalaze ciljni računari. Međutim, ovaj način postavljanja GPO-a ima niz nedostataka, zbog čega sam ga nazvao "starom školom".

Druga, modernija i naprednija metoda postavljanja klijentskog registra je korištenje Postavke grupne politike (GPP). Sa ovom opcijom, možemo kreirati odgovarajući GPP objekat u odjeljku grupne politike Konfiguracija računara > Preferences > Registry sa ažuriranjem parametara ( Akcija: Ažuriraj) registar RootDirURL(tip vrijednosti REG_SZ)

Ako je potrebno, možemo omogućiti fleksibilni mehanizam ciljanja za kreirani GPP parametar (Bookmark Često> Opcija Ciljanje na nivou stavke) na određenom računaru ili grupi računara za preliminarno testiranje onoga što na kraju dobijamo nakon primene grupnih politika.

Naravno, morate odabrati jednu opciju, bilo da povežete svoju ADM-uzorak ili korištenje GPP.

Nakon konfigurisanja grupnih politika na bilo kom eksperimentalnom klijentskom računaru, ažurirat ćemo ažuriranje naredbom gpupdate / force uz naknadno ponovno pokretanje. Nakon pokretanja sistema, provjerite u registru za kreirani ključ i pokušajte provjeriti da li je ažurirana baza root certifikata. Za provjeru ćemo koristiti jednostavan, ali efikasan primjer opisan u bilješci.Pouzdani korijeni i nedozvoljeni certifikati .

Na primjer, da vidimo da li u skladištu certifikata računara postoji root certifikat koji je korišten za izdavanje certifikata, koji je instaliran na web-stranici pod nazivom buypass.no (ali ne idemo na samu stranicu :)).

Ovo se najpogodnije radi uz pomoć PowerShell:

Get-ChildItem cert: \ localmachine \ root | Gdje ($ _ .friendlyname -kao "* Buypass *")

Vrlo je vjerovatno da nećemo imati takav root certifikat. Ako je tako, onda otvori Internet Explorer i uputite se na URL https://buypass.no ... A ako mehanizam za automatsko obnavljanje korijenskih certifikata koji smo konfigurirali uspješno radi, onda u Windows dnevniku događaja Aplikacija zatim događaj sa izvorom ( Izvor) CAPI2, što ukazuje na uspješno učitavanje novog root certifikata:

Naziv dnevnika: Aplikacija

Instaliranje samopotpisanih certifikata je vrlo čest zadatak za administratora sistema. To se obično radi ručno, ali ako postoji više od desetak mašina? I šta učiniti kada ponovo instalirate sistem ili kupite novi računar, jer može postojati više sertifikata. Napisati podsjetnik jaslice? Zašto, kada postoji mnogo jednostavniji i praktičniji način - Active Directory grupne politike. Nakon što ste konfigurirali politiku, više ne morate brinuti da će korisnici imati potrebne certifikate.

Danas ćemo pogledati distribuciju certifikata na primjeru Zimbra root certifikata u koji smo izvezli. Naš zadatak će biti sledeći - da automatski distribuiramo sertifikat svim računarima uključenim u odeljenje (OU) - Ured... Ovo će vam omogućiti da ne instalirate sertifikat tamo gde nije potreban: na severu, magacinske i kase radne stanice itd.

Otvorimo dodatak i kreiramo novu politiku u kontejneru Objekti grupne politike, da biste to učinili, kliknite desnim tasterom miša na kontejner i odaberite Stvoriti... Politika vam omogućava da instalirate i jedan i više certifikata u isto vrijeme, što ćete učiniti je na vama, ali mi radije kreiramo vlastitu politiku za svaki certifikat, što vam omogućava da fleksibilnije mijenjate pravila za njihovu primjenu. Politici bi također trebali dati prijateljski naziv, tako da kada otvorite konzolu šest mjeseci kasnije, ne morate bolno da se sećate čemu služi.

Zatim prevucite politiku na kontejner Ured, što će omogućiti da se primjenjuje na ovu jedinicu.

Sada kliknite desnim tasterom miša na politiku i izaberite Promjena... U otvorenom uređivaču grupnih politika, uzastopno proširite Konfiguracija računara - Windows konfiguracija - Sigurnosne opcije - Politike javnih ključeva-. Na desnoj strani prozora u meniju, kliknite desnim tasterom miša na Uvoz i uvozi sertifikat.

Politika je kreirana, sada je vrijeme da provjerite da li se ispravno primjenjuje. U trenutku Upravljanje grupnim politikama izabrati Modeliranje grupnih politika i pokrenite desnim klikom Čarobnjak za modeliranje.

Većina parametara se može ostaviti na zadanim, jedino što treba podesiti su korisnik i računar za koji želite provjeriti politiku.

Nakon završetka simulacije, možemo potvrditi da je politika uspješno primijenjena na navedeni računar, u inače otkriti poentu Odbijeni objekti i pogledajte razlog zašto se pokazalo da politika nije primjenjiva na ovog korisnika ili kompjuter.

Zatim ćemo provjeriti rad politike na klijentskom računaru, za to ćemo ažurirati politike ručno naredbom:

Gpupdate

Sada otvorimo skladište certifikata. Najlakši način da to učinite je putem Internet Explorer: Internet opcije -Sadržaj -Certifikati... Naš sertifikat mora biti prisutan u kontejneru Pouzdani Root Certification Authorities.

Kao što vidite, sve radi i manja je glavobolja za administratora, sertifikat će se automatski distribuirati na sve računare postavljene u odjeljenju Ured... Ako je potrebno, možete postaviti složenije uslove za primjenu politike, ali to je izvan okvira ovog članka.