Как корневой сертификат добавить в список доверенных на локальном пк: Установка доверенных(корневых) сертификатов на компьютер

Содержание

Установка доверенных(корневых) сертификатов на компьютер

При проверке Электронной подписи (ЭЦП) ваш компьютер не только должен определить сроки действия Вашей ЭЦП, но также и понимать кем была выпущена Электронная подпись. В каждом сертификате ЭЦП указано каким Удостоверяющем центром(УЦ) была выпущена подпись. После того, как система «прочитала» изготовителя ЭЦП, нужно получить информацию о самом этом изготовителе. Для этого, на компьютер пользователя устанавливается корневой сертификат.

Если на компьютере пользователя установлен корневой сертификат Удостоверяющего центра, то все сертификаты выпущенные этим УЦ считаются действительными (при условии, что срок их действия ещё не истёк).

Учитывая всё вышеизложенное, мы приходим к выводу, что для того, чтобы сертификат электронной подписи воспринимался системой как «действительный», нужно устанавливать корневые сертификаты Удостоверяющего Центра которым была выпущена ЭЦП.

Приступим к установке корневого сертификата:

Прежде чем установить корневой сертификат, скачайте его с сайта удостоверяющего центра, выдавшего Вам ЭЦП или с нашего сайта в разделе: Программы для ЭП .

 1. Дважды кликните по сохранённому сертификату или нажмите правой кнопкой мышки и выберите пункт, как показано на рисунке. 

2. В появившемся окне нажмите кнопку «Далее».

3. В следующем окне, выберите пункт «Поместить все сертификаты в следующее хранилище» и нажмите на кнопку «Обзор…».

 4. Во всплывающем окне, выберите пункт «Доверенные корневые центры сертификации» и нажмите «ОК».

5. Всплывающее окно закроется и у Вас должно быть так, как показано на рисунке. Если информация в поле «Хранилище сертификатов» не появилась, вернитесь к пунктам 3, 4 и повторите эти шаги заново. Если всё отобразилось, как показано на рисунке, нажмите «Далее».

6. По завершении нажмите «Готово».

 7. После закрытия окна «Мастер импорта сертификатов» система может выдать предупреждение об установке сертификатов на Ваш компьютер. Данное сообщение может появиться несколько раз. Каждый раз нажимайте кнопку «ДА».

8. Если предыдущее сообщение не появилось, в следующем окне нажмите «ОК», как показано на рисунке.

Подравляем! Теперь корневой сертицикат Удостоверяющего Центра успешно установлен! 

Установка корневого и промежуточного SSL сертификатов через консоль MMC

В консоли MMC можно добавить или удалить сертификаты как доверенного корневого центра сертификации, так и и промежуточного центра сертификации специально для SSL сертификата UCC (Unified Communications Certificate).

Для установки Вашего сертификата конечного пользователя,Вы можете воспользоваться инструкциями по установке для Exchange 2007 и Exchange 2010.

Важно: перед установкой убедитесь, что у вас есть необходимые сертификаты — Root (корневые) и Intermediates (промежуточные), как правило они высылаются вместе с заказанным Вами SSL сертификатом. 

Добавление SSL сертификатов в консоли

1. Чтобы запустить консоль, в меню Пуск (Start) выберите функцию Выполнить (Run). 

В появившемся окне задайте команду mmc и нажмите кнопку OK (или Enter на клавиатуре).

  

2. В меню консоли Файл (File) выберите функцию Добавить или удалить оснастку (Add/Remove Snap-in) или просто нажмите CTRL+M.

3. Нажмите кнопку Добавить (Add).

4. Из доступных оснасток выберите пункт Сертификаты (Certificates) и нажмите кнопку Добавить (Add)

5. Выберите пункт Учетная запись компьютера (

Computer Account) и нажмите Далее (Next).

6. Выберите Локальный компьютер (Local Computer) и нажмите Готово (Finish)

7. Закройте окно Добавление изолированных оснасток (Add Standalone Snap-in) и в окне Добавление и удаление оснасток (Add/Remove Snap-in) нажмите кнопку OK.

8. Теперь Вы вернетесь к консоли.

Установка/ Импорт корневых и промежуточных сертификатов

Сертификаты доверенных корневых центров сертификации

1. Расширьте раздел Сертификаты (Certificates), нажав на знак плюс (+).

2. Правой кнопкой мыши выберите из списка пункт Доверенные корневые центры сертификации (Trusted Root Certification Authorities). Далее наведите курсор на пункт меню Все задачи (

All Tasks) и выберите появившийся пункт Импорт (Import).  

3. Откроется приветственное окно мастера импорта сертификатов. Нажмите Далее (Next). 

4. Нажмите кнопку Обзор (Browse) и укажите корневой сертификат для импорта. Перейдите к следующему шагу – хранилице будет выбрано автоматически, поэтому ничего не меняя, перейдите к следующему пункту и завершите работу мастера кнопкой Готово (Finish).

 

Сертификаты промежуточных центров сертификации:

5. Импортируйте промежуточные сертификаты. Импорт производится точно так же, как и в случае корневого сертификата, только в этот раз нужно выбрать пункт Промежуточные центры сертификации (Intermediate Certification Authorities) вместо Доверенные корневые центры сертификации, а файлы которые следует импортировать – все те, что остались не установленными для сертификата Вашего домена. 

Эти сертификаты по умолчанию будут сохранены в хранилище «Промежуточных сертификатов». 

6. В появившемся окне нажмите ОК и завершите установку сертификатов. 

7. Перезапустите Ваш веб-сайт с помощью Microsoft IIS. 

Автоустановка сертификатов в хранилище доверенных корневых центров сертификации

Как-то обратился ко мне товарищ (Серёга с antelecs.ru) с вопросом, можно ли как-то ускорить/автоматизировать рутинный процесс добавления нескольких сертификатов в хранилище доверенных корневых центров сертификации. Задачка мне показалась интересной и подходящей по тематике сайта, поэтому решение я взялся опубликовать здесь. Бесплатный софт предлагаю качать на Киберсофт!

Конечно можно было бы заморочиться с GPO или ещё чем-нибудь тру-админским, но у меня почему-то первой мыслью было использовать подручные средства в виде RAR-архиватора и его функции создания самораспаковывающихся (SFX) архивов.

Делаем автоустановку сертификатов

Нам понадобится утилита certmgr.exe из набора Windows SDK. Информация о том, как ей пользоваться – есть вот на этой странице.

Утилита certmgr.exe из набора Microsoft SDK

В контекстном меню при выделении всех файлов выбираем команду “Добавить в архив…”.

Упаковываем все файлы в архив

Указываем параметры архива. Здесь можно задать произвольное имя выходного исполняемого файла, а также необходимо отметить галочкой пункт “Создать SFX-архив”.

Указываем параметры архива

На вкладке “Дополнительно” нажимаем кнопку “Параметры SFX…”.

Устанавливаем параметры SFX

На вкладке “Общие” указываем путь для распаковки – можно указать текущую папку или её подкаталог.

Куда распаковать файлы

Самое интересное: на вкладке “Установка” указываем какие команды выполнить после извлечения файлов. Текущим каталогом при этом будет являться тот, куда распакованы файлы. Команда для установки сертификата в хранилище выглядит так:

certmgr.exe -add -c "Имя файла.cer" -s -l localMachine root

где localMachine означает установку для компьютера, а root – название хранилища доверенных корневых центров сертификации.

Команды для добавления сертификата в хранилище

Для удобства пользования можно скрыть все диалоговые окна (в противном случае будет отображаться диалоговое окно выбора каталога для распаковки и т.д.).

Скрыть окна

На вкладке Комментарии отображены все действия, совершаемые при распаковке. В принципе сюда можно ввести текст вручную и выполнится то же самое.

Вкладка Комментарии

Видео по теме

Для лучшего понимания процесса я записал небольшой видеоролик!

Понравилась статья? Не забывай поставить Like, так я буду знать, что это кому-то ещё было интересно или полезно.

Установка SSL сертификата на все компьютеры домена с помощью групповых политик

Рассмотрим процедуру централизованной установки сертификата на компьютеры домена и добавление его в список доверенных корневых сертификатов с помощью групповых политик. После распространения сертификата все клиентские устройства будут доверять сервисам, которые подписаны данным сертификатом. В нашем случае, мы распространим самоподписанный SSL сертификат Exchange (роль Active Directory Certificate Services в доменен не развернута) на компьютеры пользователей в Active Directory.

Если вы используете самоподписанный SSL сертификат для своего сервера Exchange, то на клиентах, при первом запуске Outlook будет появляться сообщение, что сертификат не доверенный и пользоваться им небезопасно.

Чтобы убрать это предупреждение, нужно на компьютере пользователя добавить сертификат Exchange в список доверенных сертификатов системы. Это можно сделать вручную (либо путем интеграции сертификата в корпоративный образ ОС), но гораздо более проще и эффективнее автоматически распространить сертификат с помощью возможностей групповых политик (GPO). При использовании такой схемы распространения сертификатов, все необходимые сертификат будет автоматически устанавливаться на все старые и новые компьютеры домена.

В первую очередь, нам нужно экспортировать самоподписанный сертификат с нашего Exchange сервера. Для этого на сервере откройте консоль mmc.exe и добавьте в нее оснастку

Certificates (для локального компьютера).

Перейдите в раздел Certificates (Local Computer) -> Trusted Root Certification Authorities -> Certificates.

В правом разделе найдите ваш сертификат Exchange и в контекстном меню выберите All Tasks ->Export.

В мастере экспорта выберите формат DER encoded binary X.509 (.CER) и укажите путь к файлу сертификата.

Также вы можете экспортировать SSL сертификат прямо из браузера. В Internet Explorer откройте HTTPS адрес вашего веб сервера с недоверенным сертификатом (в случае Exchange это обычно адрес вида http://your-ex-cas/owa). Щелкните на значок Certificate Error в адресной строке, нажмите View Certificate, и перейдите на вкладку
Details
. Нажмите кнопку Copy to File чтобы открыть мастер экспорта сертификата в CER файл.

Также вы можете получить SSL сертификат HTTPS сайта и сохранить его в CER файл с из PowerShell с помощью метода WebRequest:

$webRequest = [Net.WebRequest]::Create("https://your-excha-cas-url")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "c:\ps\get_site_cert.cer"

Итак, вы экспортировали SSL сертификат Exchange в CER файл. Нужно поместить сертификат в сетевой каталог, куда у всех пользователей должен быть доступ на чтение (вы можете ограничить доступ к каталогу с помощью NTFS разрешений, или дополнительно скрыть его с помощью ABE). К примеру, пусть путь к файлу сертификата будет таким:

\\msk-fs01\GroupPolicy$\Certificates.

Перейдем к созданию политики распространения сертификата. Для этого, откройте консоль управления доменными политиками Group Policy Management (gpmc.msc). Чтобы создать новую политику, выберите OU на который она будет действовать (в нашем примере это OU с компьютерами, т.к. мы не хотим, чтобы сертификат устанавливался на сервера и технологические системы) и в контекстном меню выберите Create a GPO in this domain and Link it here

Укажите имя политики (Install-Exchange-Cert) и перейдите в режим ее редактирования.

В редакторе GPO перейдите в раздел Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Public Key Policies –> Trusted Root Certification Authorities (Конфигурация компьютера –> Конфигурация Windows –> Параметры безопасности –> Политики открытого ключа –> Доверенные корневые центры сертификации).

В левой части окна редактора GPO щелкните ПКМ и выберите пункт меню Import.

Укажите путь к импортируемому файлу сертификата, который мы разместили в сетевом каталоге.

В соответствующем шаге мастера (Place all certificates in the following store) обязательно укажите, что сертификат нужно разместить в разделе Trusted Root Certification Authorities (Доверенные корневые центры сертификации).

Политика распространения сертификатов создана. Возможно более точно нацелить ( таргетировать) политику на клиентов с помощью Security Filtering (см. ниже) или WMI фильтрации GPO.

Протестируйте политику, выполнив на клиенте обновление политик командой (gpupdate /force). Проверьте что ваш сертификат появился в списке доверенных сертификатов. Это можно сделать в оснастке управления сертификатами (раздел Trusted Root Certification Authorities -> Certificates) или в настройках Internet Explorer (Internet Options -> Content ->Certificates-> Trusted Root Certification Authorities или Свойства обозревателя -> Содержание -> Сертификаты -> Доверенные корневые центры сертификации).

Вы можете проверить, что в браузере при открытии вашего HTTPS сайта (в нашем примере это Exchange OWA) больше не появляется предупреждение о недоверенном SSL сертификате. Теперь при настройке Outlook на ваш почтовый сервер Exchnage (в Outlook 2016 ручная настройки почтового сервера возможна только через реестр) в программе перестанет появляться окно с предупреждением о недоверенном сертификате.

Если вы хотите, чтобы политика распространения сертификата применялась только к компьютерам (пользователям) в определенной группе безопасности, выберите в консоли Group Policy Management вашу политику Install-Exchange-Cert. На вкладке Scope в секции Security Filtering удалите группу Authenticated Users и добавьте вашу группу безопасности (например, AllowAutoDeployExchCert). Если прилинковать эту политику на корень домена, ваш сертификат будет автоматически распространен на все компьютеры, добавленные в группу безопасности.

Одной политикой вы можете распространить сразу несколько клиентских SSL сертификатов. Подробную информацию о сертификатах, которые распространяются вашей политикой можно посмотреть в консоли GPMC на вкладке Settings. Как вы видите, отображаются поля сертификата Issued To, Issued By, Expiration Date и Intended Purposes.

Если на компьютерах нет доступа в интернет, таким образом вы можете распространить на все устройства домена доверенные корневые сертификаты. Но есть более простой и правильный способ обновления корневых и отозванных сертификатов в изолированных доменах.

Итак, вы настроили политику автоматического распространения сертификата на все компьютеры домена (на определенный организационной юнит или группу безопасности домена). Сертификат будет автоматически устанавливаться на все новые компьютеры, не требуя от служб техподдержки никаких ручных действий (в целях безопасности желательно периодически проверять списки доверенных сертификатов на клиентах на поддельные и отозванные).

Установка корневых сертификатов и списка отозванных сертификатов Удостоверяющего центра

Для установки данных сертификатов, необходимо в обозревателе Internet Explorer перейти в «Свойства браузера» («Свойства обозревателя»). Данный пункт находится во вкладке «Сервис» (либо изображение шестеренки в новых версиях обозревателя  –  ) (Рис. 1).

Также можно открыть «Свойства браузера» («Свойства обозревателя») через «Панель управления» (с отображением мелких значков) Вашей операционной системы.

Рис. 1 Расположение раздела «Сервис» — «Свойства браузера» в Internet Explorer.

Далее выберите вкладку «Содержание» и нажмите на кнопку «Сертификаты» (Рис. 2).

Рис. 2 «Содержание» — «Сертификаты»

1) В открывшемся окне следует выбрать используемый сертификат и дважды нажать на него (Рис. 3).

Рис. 3 Список сертификатов, установленных на компьютере

2) Далее в новом окне перейти на вкладку «Состав» (Рис. 4, №1). Для установки списка отозванных сертификатов найти строку «Точки распространения сп…» (Рис. 4, №2).

В информационном окне, расположенном ниже, в графе «Полное имя» скопировать при помощи клавиатуры (горячих клавиш Ctrl+C) ссылку (начиная с букв “http” до конца строки) (Рис. 4, №3).

При работе в окне «Сертификат» обычные способы копирования не работают. Для копирования применяйте горячие клавиши клавиатуры (Ctrl+C – копировать, Ctrl+V – вставить).

Рис. 4 Состав сертификата

3) В окне Internet Explorer, в адресную строку вставляется ранее скопированная ссылка (Рис. 5).

Рис. 5 Адресная строка интернет-обозревателя

4)          После перехода по ссылке браузер предложит три варианта действия для данного объекта. Необходимо выбрать пункт «Сохранить» (Рис. 6).

Рис. 6 Окно загрузки

5) После загрузки нажмите на «Открыть папку». Откроется окно Windows, где загруженный файл будет подсвечен синим цветом.

6) Для установки списка отозванных сертификатов на ранее загруженном файле необходимо нажать правой кнопкой мыши и выбрать строку «Установить список отзыва (CRL)» (Рис. 7, №2).
При установке корневого сертификата выбираем строку «Установить сертификат».

Рис. 7 Установка списка отзыва

7) В появившемся окне нажмите копку «Далее».

8) Из предложенных вариантов выберите «Поместить все сертификаты в следующее хранилище», и нажмите «Обзор» (Рис. 8).

Рис. 8 Выбор места установки сертификата

9) В новом появившемся окне поставьте галочку напротив надписи «Показать физические хранилища» (Рис. 9, №1). Откройте раздел «Доверенные корневые центры сертификации» (Рис. 9, №2).

Рис. 9 Выбор хранилища сертификата

 

Если в составе раздела есть «Локальный компьютер» выберите его и нажмите «ОК». В противном случае выберите весь раздел.

10) Нажмите кнопку «Далее», а затем «Готово».

11) Дождитесь информационного сообщения «Импорт успешно выполнен».

Повторите аналогичную процедуру с пункта 2.4 для установки Корневого сертификата удостоверяющего центра. На данном этапе вместо «Точек распространения..» выберите «Доступ к информации о центрах…».

12) Перезагрузите браузер.


Как открыть «Хранилище сертификатов» в Windows 7


Сертификаты являются одним из вариантов безопасности для Виндовс 7. Это цифровая подпись, которая проверяет достоверность и подлинность различных веб-узлов, служб и всевозможных устройств. Выдача сертификатов осуществляется сертификационным центром. Они хранятся в специализированном месте системы. В данной статье мы рассмотрим, где находится «Хранилище сертификатов» в ОС Windows 7.

Открываем «Хранилище сертификатов»

Чтобы просмотреть сертификаты в Виндовс 7, заходим в ОС с правами администратора.

Подробнее: Как получить права администратора в Windows 7

Необходимость в доступе к сертификатам особенно важна для пользователей, которые часто совершают платежи в интернете. Все сертификаты хранятся в одном месте, так называемом Хранилище, которое разбито на две части.

Способ 1: Окно «Выполнить»

  1. При помощи нажатия комбинации клавиш «Win+R» попадаем в окошко «Выполнить». Вводим в командную строку certmgr.msc.
  2. Цифровые подписи хранятся в папке, которая находятся в директории «Сертификаты – текущий пользователь». Здесь сертификаты находятся в логических хранилищах, которые разделены по свойствам.

    В папках «Доверенные корневые центры сертификации» и «Промежуточные центры сертификации» находится основной массив сертификатов Виндовс 7.

  3. Чтобы посмотреть информацию о каждом цифровом документе, наводим на него и кликаем ПКМ. В открывшемся меню выбираем «Открыть».

    Переходим во вкладку «Общие». В разделе «Сведения о сертификате» будет отображено предназначение каждой цифровой подписи. Также представлена информация «Кому выдан», «Кем выдан» и сроки действия.

Способ 2: Панель управления

Также есть возможность посмотреть сертификаты в Windows 7 через «Панель управления».

  1. Открываем «Пуск» и переходим в «Панель управления».
  2. Открываем элемент «Свойства обозревателя».
  3. В открывшемся окне переходим во вкладку «Содержание» и щелкаем по надписи «Сертификаты».
  4. В открывшемся окошке предоставлен перечень различных сертификатов. Чтобы посмотреть подробную информацию об определённой цифровой подписи, жмём по кнопке «Просмотр».

После прочтения данной статьи вам не составит никакого труда открыть «Хранилище сертификатов» Windows 7 и узнать подробную информацию о свойствах каждой цифровой подписи в вашей системе.

Мы рады, что смогли помочь Вам в решении проблемы.
Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.
Помогла ли вам эта статья?
ДА НЕТ
Поделиться статьей в социальных сетях:

Как установить корневой сертификат удостоверяющего центра

Корневой сертификат — файл, которой содержит в себе информацию об удостоверяющем центре. Эта информация содержится в зашифрованном виде и используется криптопровайдерами для проверки подлинности личных сертификатов пользователя. Многие пользователи имеют электронные цифровые подписи, но даже не догадываются, как установить корневой сертификат удостоверяющего центра и где его взять.

Где взять корневой сертификат

Корневые сертификаты удостоверяющего центра выдаются организацией, которая изготавливает электронно-цифровые подписи (ЭЦП). Обычно они идут в комплекте с личными электронными подписями пользователя на usb-носителе или cd/dvd диске. Так же некоторые удостоверяющие центры предлагают скачать корневые сертификаты с их официальных сайтов.

Пример корневых сертификатов:

  • Единая государственная информационная система социального обеспечения (ЕГИССО)  — Скачать
  • Удостоверяющий Центр ПНК — скачать
  • Федеральное Казначейство и Минкомсвязь — скачать

Как установить корневой сертификат удостоверяющего центра.

  1. Если скачанный корневой сертификат находится в заархивированном виде, то первым делом его нужно извлечь. Для этого открываем архив любым архиватором, например 7zip. Нажимаем кнопку «извлечь», выбираем папку для разархивации и жмём «ОК».
  2. Открываем извлеченный файл и жмём кнопку «Установить сертификат«. Выбираем между «Текущий пользователь» и «Локальный компьютер». Если за компьютером обычно работает один пользователь и имеет одну учетную запись Windows, то смело выбираем «Текущий пользователь». Если на компьютере несколько учетных записей, то для того чтобы корневой сертификат установился для всех выбираем «Локальный компьютер».
  3. В следующем окне Мастер импорта сертификатов спросит, в какое хранилище сертификатов установить Ваш сертификат. Жмем кнопку «Обзор» и выбираем «Доверенные корневые центры сертификации«.  Т.к. данный сертификат устанавливается на компьютер в первый раз, система безопасности Windows сообщит о том, что ей не удается проверить действительность сертификата. Жмём кнопку «Да» и получаем окошко, в котором сообщается о том, что Импорт выполнен успешно.

Заключение

На этом установка корневого сертификата закончена. Для проверки можно ещё раз открыть только что установленный корневой сертификат или личный сертификат пользователя. Во вкладке «путь сертификации» не должно быть никаких красных крестиков или желтых восклицательных знаков.
Если Вы всё сделали правильно, то в поле «состояние сертификата» должно быть значение: «Этот сертификат действителен«.

Мне нравится6Не нравится1

Понравилась статья? Поделиться с друзьями:

Как опубликовать новый список отозванных сертификатов (CRL) из автономного корневого центра сертификации в Active Directory и Inetpub — Статьи TechNet — США (английский)


Настоятельно рекомендуется при создании Microsoft PKI (инфраструктуры открытых ключей) отключать корневой ЦС после выдачи сертификатов Суб ЦС предприятия. Рекомендуется минимизировать доступ к автономному корневому ЦС, насколько это возможно. Корневой ЦС не является машиной, присоединенной к домену, и ее можно отключить без каких-либо проблем.

Одной из ключевых проблем является CRL, сгенерированный из корневого центра сертификации, вам необходимо установить интервал CRL для большого значения, чтобы нам не нужно было часто копировать CRL в онлайн-расположение и не реализовывать дельта-списки CRL, потому что публикация каждой дельты Для CRL потребуется доступ к автономному корневому ЦС, чтобы скопировать разностный CRL в расположение онлайн-публикации. Чтобы изменить интервал CRL, вам необходимо:

  1. Включите машину с автономным корневым центром сертификации и войдите в систему с локальной учетной записью администратора.
  2. Откройте консоль центра сертификации.
  3. Щелкните правой кнопкой мыши «Отозванные сертификаты» и выберите «Свойства».
  4. Установите «Интервал публикации CRL» на большое значение (по умолчанию 26 недель) и снимите флажок «Опубликовать разностный CRL».

Чтобы опубликовать новый список отзыва сертификатов из автономного корневого ЦС в подчиненный ЦС предприятия, необходимо сделать следующее:

  1. Опубликуйте новый список отзыва сертификатов в корневом ЦС, это можно сделать, щелкнув правой кнопкой мыши «Отозванные сертификаты» — «Все задачи» — «Опубликовать».

  2. Скопируйте файл CRL из корневого центра сертификации, расположенного в папке% systemroot% \ system32 \ certsrv \ certenroll, на вспомогательный сервер CA
  3. Выключите корневой CA
  4. Скопируйте указанный выше файл в папку InetPub (путь HTTP) на сервере Sub CA, который по умолчанию расположен в папке C: \ inetpub \ wwwroot \ Certdata
  5. Откройте командную строку администратора и выполните следующую команду, чтобы опубликовать ее в Active Directory (путь LDAP).certutil -f -dspublish «C: \ Inetpub \ wwwroot \ certdata \ RootCA.crl»

Этот процесс обновления CRL и публикации нового выполняется вручную, поскольку корневой ЦС отключен, и поэтому лучше сделать интервал публикации CRL больше, чем значение по умолчанию, чтобы вы не делали это часто. Вы также можете настроить автоматический напоминание перед следующей датой продления.


Для получения дополнительных статей и подробностей посетите мой блог по адресу http: // itcalls.blogspot.com/

http://itcalls.blogspot.com/2013/08/how-to-publish-new-certificate.html

.

Offline Root Certification Authority (CA) — Статьи TechNet — США (английский)

Корневой центр сертификации (CA) является вершиной инфраструктуры открытых ключей (PKI) и генерирует самозаверяющий сертификат. Это означает, что корневой ЦС проверяет себя (самопроверка). Тогда этот корневой ЦС может иметь подчиненные ЦС, которые эффективно доверять этому. Подчиненные ЦС получают сертификат, подписанный корневым ЦС, поэтому подчиненные ЦС могут выдавать сертификаты, которые проверяются корневым ЦС.Это устанавливает иерархию CA и путь доверия.


Если корневой ЦС каким-либо образом скомпрометирован (взломан, взломан, украден или получен доступ неавторизованного или злонамеренного лица), то все сертификаты, выданные этим ЦС, также будут скомпрометированы. Поскольку сертификаты используются для защиты данных, идентификации, и авторизации, компрометация CA может поставить под угрозу безопасность всей сети организации. По этой причине многие организации, использующие внутренние PKI, устанавливают свой корневой ЦС в автономном режиме.То есть ЦС никогда не подключается к сети компании, что делает корневой ЦС автономным корневым ЦС. Убедитесь, что вы держите все центры сертификации в безопасных зонах с ограниченным доступом.

Чтобы гарантировать надежность инфраструктуры ЦС, укажите, что все корневые и промежуточные ЦС, не выдающие сертификаты, должны быть отключены. Не выдающий ЦС — это центр сертификации, который не должен предоставлять сертификаты клиентским компьютерам, сетевым устройствам и т. Д. Это сводит к минимуму риск того, что закрытые ключи ЦС будут скомпрометированы, что, в свою очередь, поставит под угрозу все сертификаты, выданные ЦС.

↑ Вернуться к началу


Автономные корневые центры сертификации могут выдавать сертификаты на съемные носители (например, гибкие диски, USB-накопители, CD / DVD), а затем физически переносятся в подчиненные центры сертификации, которым этот сертификат нужен для выполнения своих задач. Если подчиненный ЦС не выдаёт промежуточное звено, находящееся в автономном режиме, то оно также будет использоваться для создания сертификата, и этот сертификат будет помещен на съемный носитель. Каждый ЦС получает разрешение на выпуск сертификатов от ЦС, находящегося непосредственно над ним в иерархии ЦС.Однако вы может иметь несколько центров сертификации на одном уровне иерархии центров сертификации. Центры сертификации обычно находятся в сети и используются для выдачи сертификатов клиентским компьютерам, сетевым устройствам, мобильным устройствам и т. Д.

↑ Вернуться к началу


Большинство организаций сочтут целесообразным двухуровневую (обычно называемую двухуровневой) иерархию CA. В двухуровневой иерархии ЦС будет один автономный корневой ЦС и любое количество выдающих ЦС, авторизованных этим корневым ЦС.Корневой ЦС никогда не размещался в сети, как описано ранее. В некоторых организациях иерархия CA может иметь три или более уровней. Дополнительные сведения о планировании иерархии ЦС см. В ресурсах, перечисленных в разделе «Планирование» справочной документации по PKI Windows. и библиотека.

↑ Вернуться к началу


Поскольку автономные центры сертификации не должны подключаться к сети, не имеет смысла присоединять их к домену доменных служб Active Directory (AD DS), даже с Возможность автономного присоединения к домену появилась в Windows 7 и Windows Server 2008 R2.Кроме того, установка автономного ЦС на сервере, который является членом домена, может вызвать проблемы с безопасным каналом, когда вы переводите ЦС обратно в оперативный режим после длительного автономного режима. период. Это связано с тем, что пароль учетной записи компьютера меняется каждые 30 дней. Вы можете обойти это проблемой и лучше защитить свой центр сертификации, сделав его членом рабочей группы, а не домена. Поскольку корпоративные ЦС необходимо присоединить к домену AD DS, не пытайтесь установить автономный ЦС в качестве ЦС Windows Server Enterprise.

↑ Вернуться к началу


Следующие ниже контрольные списки предназначены для оказания помощи в создании иерархии ЦС с автономным корневым ЦС и подчиненным ЦС в сети.

Контрольный список установки автономного корневого ЦС

Контрольный список
Завершено? Товар Примечания и ссылки
Убедитесь, что вы понимаете основные концепции PKI. Концепции сертификатов
Спланируйте иерархию ЦС. Иерархии центров сертификации
Настройте сервер под управлением Windows, который вы будете использовать в качестве корневого центра сертификации. Сервер не должен быть членом какого-либо домена, должен быть отключен от сети и должен быть физически безопасным. : выполнение новой установки

Спланируйте стратегию обновления, которую вы собираетесь использовать для корневого центра сертификации.

Убедитесь, что вы публикуете новый сертификат ЦС после его обновления.

Продление удостоверяющего центра
Войдите на сервер как администратор и установите службы сертификации, чтобы создать автономный корневой центр сертификации. Установите автономный корневой центр сертификации
В новом корневом ЦС измените действие по умолчанию при получении запроса на сертификат, чтобы все запрошенные сертификаты были установлены в состояние ожидания.Это необходимо для того, чтобы ЦС верхнего уровня отправлял только авторизованные запросы. Установить действие по умолчанию при получении запроса на сертификат

В новом корневом ЦС измените расположение URL-адреса точки распространения списка отзыва сертификатов (CRL) на расположение по вашему выбору, доступное для всех пользователей в сети вашей организации.

Вы можете ввести несколько URL-адресов, что может потребоваться, если включены дельта-списки отзыва сертификатов (не рекомендуется для корневого ЦС) или если было обновление сертификата ЦС с новым ключом.

Укажите точки распространения списка отзыва сертификатов в выданных сертификатах

В новом корневом ЦС измените URL-адрес точек распространения доступа к авторитетной информации (AIA) на расположение по вашему выбору, доступное для всех пользователей в сети вашей организации.

Вы можете ввести несколько URL-адресов.

Укажите точки доступа сертификата ЦС в выданных сертификатах
Настройте автономный корневой центр сертификации для поддержки отзыва сертификатов с помощью Active Directory. Настройте автономный корневой центр сертификации для поддержки отзыва сертификатов с помощью Active Справочник
В корневом центре сертификации опубликуйте список отзыва сертификатов. Публикация списка отзыва сертификатов вручную

В проводнике Windows в корневом ЦС найдите только что опубликованный список отзыва сертификатов. Расположение CRL по умолчанию: % systemroot % \ system32 \ CertSrv \ CertEnroll \ < CAname >.crl. Щелкните правой кнопкой мыши файл CRL и отправьте его на накопитель с переносным носителем.

Получите сертификат центра сертификации и сохраните его на диске с переносным носителем. Получить сертификат центра сертификации
Скопируйте файл списка отзыва сертификатов и сертификат ЦС в каждое расположение URL-адресов, которое вы указали в качестве точки распространения CRL в параметрах политики корневого ЦС.
Скопируйте файл сертификата ЦС в каждое расположение URL-адреса, которое вы указали в качестве точки распространения доступа к авторитетной информации в параметрах политики корневого ЦС.

Опубликуйте корневой сертификат в корневом хранилище предприятия и добавьте сертификат в обычные точки доступа к информации о полномочиях (AIA) в каталоге. Вам нужно использовать certutil.исполняемый файл. Вы также можете использовать эту команду, чтобы поставить сертификат CA от третьего сторонний корневой ЦС в Active Directory.

certutil -dspublish -f < Имя файла > .crt < RootCA >

Для сред доменных служб Active Directory (AD DS)

Опубликуйте CRL в обычном расположении в Active Directory. Для этого используйте certutil.exe. Вы также можете использовать эту команду для помещения CRL из стороннего корневого центра сертификации в Active Directory.

certutil -dspublish -f . <Имя файла> .crl

Для сред доменных служб Active Directory (AD DS)

↑ Вернуться к началу

Установка подчиненного центра сертификации в автономном режиме в корневой центр сертификации в автономном режиме

Контрольный список
Завершено? Товар Примечания и ссылки
Настройка сервера под управлением Windows для использования в подчиненном центре сертификации : выполнение новой установки
Установите подчиненные центры сертификации, как того требует запланированная иерархия сертификации.Это могут быть автономные центры сертификации или, если вы используете Active Directory, центры сертификации предприятий. Во время настройки для каждого подчиненного ЦС выберите сохранение запроса сертификата ЦС в файл, который будет запросом PKCS # 10. Установить автономный подчиненный центр сертификации; Установить подчиненный центр сертификации предприятия
Скопируйте файл запроса сертификата CA из подчиненного центра сертификации на какой-нибудь переносной носитель.Передайте запрос сертификата CA в корневой центр сертификации.
С помощью консоли управления Microsoft (MMC) сертификатов в автономном ЦС отправьте запрос сертификата ( requestfilename ) в ЦС и скопируйте новый сертификат ( newcertname ) в переносное хранилище. СМИ. Управление сертификатами для компьютера
Отнесите переносной носитель обратно в подчиненный центр сертификации.В проводнике Windows найдите только что скопированные файлы сертификата и пути сертификации, затем щелкните каждый файл правой кнопкой мыши и выберите Установить сертификат . Мастер импорта сертификатов автоматически размещает сертификаты в магазинах в зависимости от типа сертификата. Импорт сертификата

↑ Вернуться к началу


Есть несколько соображений, связанных с построением автономного корневого центра сертификации. Следующие разделы содержат ссылки на дополнительную информацию, связанную с проектированием PKI, автономной установкой корневого центра сертификации, а также на часто задаваемые вопросы (FAQ).

ИПК Дизайн

Установка автономного корневого центра сертификации

Часто задаваемые вопросы: автономные корневые центры сертификации

↑ Вернуться к началу


.

store — как зарегистрировать сертификат для порта, когда сертификат находится в произвольном месте, используя netsh

Переполнение стека
  1. Около
  2. Продукты
  3. Для команд
  1. Переполнение стека Общественные вопросы и ответы
  2. Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
  3. Вакансии Программирование и связанные с ним технические возможности карьерного роста
  4. Талант Нанимайте технических специалистов и создавайте свой бренд работодателя
  5. Реклама Обратитесь к разработчикам и технологам со всего мира
  6. О компании

Загрузка…

    .

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *