Сертификат windows: Где хранятся сертификаты в windows системах

Что такое сертификат? | windows

Работа с сертификатами через консоль — Работа с сертификатами

Сертификаты, которые используются в работе системы, можно добавить или удалить c помощью консоли mmc из следующих хранилищ:

• «Другие пользователи» — хранилище сертификатов контролирующих органов.
• «Доверенные корневые центры сертификации» и «Промежуточные центры сертификации» — хранилища сертификатов Удостоверяющего Центра.

Установка личных сертификатов производится только с помощью программы КриптоПро.

Запуск консоли

Для запуска консоли выполните следующие действия:

1. Выберите меню «Пуск» → «Выполнить» (или на клавиатуре одновременно нажмите на клавиши «Win+R»).
2. Введите mmc и нажать на кнопку «ОК».
3. Выберите меню «Файл» → «Добавить или удалить оснастку».
4. Выберите из списка оснастку «Сертификаты» и нажмите на кнопку «Добавить».
5. В открывшемся окне выберите  «Моей учетной записи пользователя» и нажмите на кнопку «Готово».
6. Выберите из списка справа добавленную оснастку и нажмите на кнопку «ОК».

Установка сертификатов

Чтобы установить сертификат:

1. Откройте хранилище (например, доверенные корневые центры сертификации). Для этого раскройте ветку «Сертификаты — текущий пoльзователь» → «Доверенные корневые центры сертификации» → «Сертификаты».
2. Выберите меню «Действие» → «Все задачи» → «Импорт».
3. Нажмите «Далее».
4. Нажмите на кнопку «Обзор» и выберите файл сертификата для импорта (корневые сертификаты Удостоверяющего Центра можно скачать с сайта Удостоверяющего центра, сертификаты контролирующих органов находятся на сайте системы Контур.Экстерн). После выбора сертификата нажмите на кнопку «Открыть», затем «Далее».
5. Нажмите на кнопку «Далее» (нужное хранилище выбрано автоматически).
6. Нажмите на кнопку «Готово» для завершения импорта.

Удаление сертификатов

Чтобы удалить сертификаты с помощью консоли mmc (например, из хранилища Другие пользователи), выполните следующие действия:

1. Раскройте ветку «Сертификаты — текущий пoльзователь» → «Другие пользователи» → «Сертификаты». В правой части окна отобразятся все сертификаты, установленные в хранилище «Другие пользователи».
2. Выделите сертификат, нажмите на нем правой кнопкой мыши и выберите «Удалить».

Корневой сертификат Microsoft истекает в этом месяце, но компания просит его не удалять

По информации Bleeping Computer, в конце этого месяца закончится срок действия корневого сертификата некоторых версий Windows, включая XP/2000/Server 2003/Windows 7/Vista/Server 2008/Server 2008 R2. Microsoft просит системных администраторов не удалять корневые сертификаты Windows с истекшими сроками действия. Они необходимы для корректной работы ОС, а их отсутствие может вызвать сбой системы.

Эта просьба компании также относится к корневому сертификату Microsoft Root Authority, который закончится 31 декабря 2020 года.

Проверить срок действия корневых сертификатов в Windows можно в хранилище сертификатов (панель управления, вкладка «Содержимое», кнопка «Сертификаты). В Windows 7/10 это можно также сделать с помощью утилиты Certmgr.exe (средство диспетчера сертификатов) или Certmgr.msc.

У всех корневых сертификатов есть срок действия, по истечению которого они и все полученные на их основе сертификаты становятся недействительными. Но обычно это не проблема, так как производители ПО и устройств своевременно выпускают обновление, заменяющее истекший корневой сертификат на новый с другим сроком действия. Если это не произойдет, то пользовательские устройства, например, больше не смогут устанавливать безопасные интернет-соединения, поскольку защита, обеспечиваемая корневым сертификатом, была нарушена.

Microsoft не пояснила, когда будет выпущен новый корневой сертификат взамен текущего. Компания предупредила, что в любом случае сертификаты с истекшим сроком действия все еще используются Windows для обратной совместимости и никогда не должны удаляться из системы. Даже если в системе есть доверенный корневой сертификат с истекшим сроком действия, то все, что было подписано с использованием этого сертификата до даты истечения срока действия, требует, чтобы этот доверенный корневой сертификат был подтвержден в системе.

Microsoft уточнила, что если сертификаты с истекшим сроком действия не отозваны, то их можно использовать для проверки всего, что было подписано ими до истечения срока их действия.

14 января 2020 года закончился период расширенной поддержки операционной системы Windows 7. Компьютеры под ее управлением продолжат работать, но производитель ОС не гарантирует их безопасность и советует перейти на Windows 10. Microsoft будет до 10 января 2023 года платно поддерживать Windows 7 для участников программы расширенных обновлений безопасности (Extended Security Updates program — ESU).

См. также:

Не удаляйте истекающий корневой сертификат Windows 10

Coinhive, сервис для майнинга криптовалюты, прекративший своё существование ещё пару лет назад, теперь используется в благих целях. Исследователь в области кибербезопасности перепрофилировал домены бывшего Coinhive, которые отныне будут отображать уведомления о взломанных сайтах, добывающих за счёт посетителей цифровую валюту.

Если кто не в курсе, Coinhive представлял собой платформу, позволяющую веб-сайтам встраивать в свои страницы JavaScript-код для майнинга криптовалюты Monero. Другими словами, за счёт вычислительных мощностей процессора и видеокарты посетителя владельцы ресурса могли заработать немного Monero.

Ходили даже разговоры о том, чтобы заменить рекламу на сайтах такими вот скриптами. Дескать, это бы сделало и веб-станицы почище, и на хлеб владельцам интернет-проектов при этом бы хватало.

Иногда Coinhive использовался вполне легитимно, однако чаще всего его задействовали киберпреступники, которые просто размещали соответствующий код на взломанных сайтах. В результате Coinhive стал настолько вездесущ, что его добавили во множество расширений для браузеров, внедрили более чем в 200 тыс. маршрутизаторов, в приложения, размещённые в Microsoft Store, и даже добавили на государственные сайты.

Тем не менее антивирусные компании решили бороться с этим скриптом, настраивая свои программы на блокировку JavaScript-кода Coinhive. Это привело к существенному падению прибыли. В итоге в марте 2019 года сервис решили прикрыть.

Однако благодаря идее Троя Ханта, создателя знаменитого Have I Been Pwned, coinhive.com и все связанные с ним домены обрели новую жизнь.

«В мае 2020 года я получил доступ к домену coinhive.com и коротким версиям вроде cnhv.co. Я не заплатил за них ни цента, а теперь планирую использовать в благих целях», — пишет Хант в блоге.

По словам специалиста, теперь coinhive.com будет редиректить пользователей на TroyHunt. com. Что касается JavaScript, Хант переписал его. Теперь посетителям взломанных веб-сайтов будет выдаваться предупреждение о попытке майнить криптовалюту за их счёт.

Windows 10 — Проверка хранилища сертификатов Windows на наличие недоверенных корневых сертификатов

Пользователям Windows все более тщательное внимание стоит уделать установленным на компьютере сертификатам. Недавние скандалы с сертификатами Lenovo Superfish, Dell eDellRoot и Comodo PrivDog лишний раз свидетельствуют о том, что пользователю нужно быть внимательным не только при установке новых приложений, но и четко понимать, какое ПО и сертификаты предустановлены в системе производителем оборудования. Через установку поддельных или специально сгенерированных сертификатов злоумышленники могут осуществить атаки MiTM (man-in-the-middle), перехватывать трафик (в том числе HTTPS), разрешать запуск вредоносного ПО и скриптов и т.п.

Как правило такие сертификаты устанавливаются в хранилище доверенных корневых сертификатов Windows (Trusted Root Certification Authorities). Разберемся, каким образом можно проверить хранилище сертификатов Windows на наличие сторонних сертификатов.

В общем случае в хранилище сертификатов Trusted Root Certification Authorities должны присутствовать только доверенные сертификаты, проверенные и опубликованные Microsoft в рамках программы Microsoft Trusted Root Certificate Program. Для проверки хранилища сертификатов на наличия сторонних сертификатом можно воспользоваться утилитой Sigcheck (из набора утилит Sysinternals).

1. Скачайте утилиту Sigcheck с сайта Microsoft (Sigcheck)
2. Распакуйте архив Sigcheck.zip в произвольный каталог (например, C:\install\sigcheck\)
3. Откройте командную строку и перейдите в каталог с утилитой: cd C:\install\sigcheck\
4. В командной строке выполните команду sigcheck. exe–tv, или sigcheck64.exe –tv (на 64 битных версиях Windows)
5. При первом запуске утилита sigcheck попросит принять условия использования
6. После этого утилита скачает с сайта Microsoft и поместит свой каталог архив authrootstl.cab со списком корневых сертификатов MS в формате Certification Trust List[/URL].

   [INFORMATION]Совет. Если на компьютере отсутствует прямое подключение к Интернету, файл authrootstl.cab можно скачать самостоятельно по ссылке http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab и вручную поместить в каталог с утилитой SigCheck[/INFORMATION]

7. Утилита сравнит список сертификатов установленных на компьютере со списком корневых сертификатов MSFT в файле authrootstl.cab. В том случае, если в списке коревых сертификатов компьютера присутствуют сторонние сертификаты, SigCheck выведет их список. В нашем примере на компьютере имеется один сертификат с именем test1 (это самоподписанный сертификат созданный с помощью командлета New-SelfSignedCertificate, который я создавал для подписывания кода PowerShell скрипта
8. Каждый найденный сторонний сертификат стоит проанализировать на предмет необходимости его присутствуя в списке доверенных. Желательно также понять какая программа установила и использует его.
   [INFORMATION]Совет. В том случае, если компьютер входит в домен, скорее всего в списке «сторонних» окажутся корневые сертификаты внутреннего центра сертификации CA, и другие сертификаты, интегрированные в образ системы или распространенные групповыми политиками, которые с точки зрения MSFT могут оказаться недоверенными.[/INFORMATION]
9. Чтобы удалить данный сертификат их списка доверенных, откройте консоль управления сертификатами (certmgr.msc) и разверните контейнер Trusted Root Certification Authorities (Доверенные корневые центры сертификации) -> Certificates и удалите сертификаты, найденные утилитой SigCheck.

   [/URL]

Таким образом, проверку хранилища сертификатов с помощью утилиты SigCheck стоит обязательно выполнять на любых системах, особенно на OEM компьютерах с предустановленной ОС и различных сборках Windows, распространяемых через популярные торрент-трекеры.

Заметки IT профессионала

[ELMA3] Windows Server 2008. Создание и настройка центра сертификации

Обязательные условия для наличия возможности работы с ЭЦП в системе ELMA:

• наличие установленного веб-браузера Internet Explorer;
• наличие установленного приложения CAPICOM;
• наличие активированного приложения ECM+;
• в веб-приложении в разделе Администрирование – Система – Настройки системы в блоке Настройки ЭЦП в качестве криптопровайдера должен быть выбран Внутренний ;
• в веб-приложении в разделе Администрирование – Документооборот – Настройка шаблонов ЭЦП должны быть заполнены и сохранены все шаблоны подписи;
• пользователь должен иметь права на подписание документов. Права назначаются администратором системы в разделе Администрирование – Документооборот — Права доступа к модулю «Документооборот».

Основные требования к системе:

1. Работа с сертификатами обязательно должна осуществляться в веб-браузере Internet Explorer.
2. Для обеспечения возможности настройки шаблона сертификата, добавления ролей, а также для выполнения дополнительных настроек системы необходимо членство в группе Администраторы домена, Администраторы предприятия или в эквивалентной группе.
3. Для обеспечения возможности работы с ЭЦП в системе ELMA всем пользователям Windows необходимо состоять в одном домене.

Создание и настройка центра сертификации состоит из нескольких этапов.

Добавление ролей Windows Server

Добавление ролей состоит из нескольких шагов.

1. Запуск Диспетчера служб . Для этого необходимо нажать на кнопку Пуск – Все программы – Администрирование – Диспетчер сервера.

2. В дереве консоли (в левой части окна) необходимо вызвать контекстное меню пункта Роли и нажать на пункт меню Добавить роли (рис. 1).

Рис. 1. Дерево консоли. Кнопка контекстного меню «Добавить роли»

3. В открывшемся диалоговом окне Мастер добавления ролей (рис. 2), необходимо нажать на кнопку Далее .

Рис. 2. Диалоговое окно «Мастер добавления ролей»

4. В окне Выбор ролей сервера (рис. 3) необходимо установить флажок Службы сертификации Active Directory . После этого в дереве консоли (в левой части окна Диспетчер сервера ) будут отображены дополнительные пункты меню. Для продолжения работы необходимо нажать на кнопку Далее .

Рис. 3. Диалоговое окно «Выбор ролей сервера»

5. В окне Знакомство со службами сертификации Active Directory (рис. 4) необходимо нажать на кнопку Далее .

Рис. 4. Диалоговое окно «Знакомство со службами сертификации Active Directory»

6. В окне Выбор служб ролей (рис. 5) необходимо установить флажок Служба регистрации в центре сертификации через Интернет . При этом будут автоматически определены необходимые службы ролей и компоненты (такие как IIS) и будет предложено их добавить.

Рис. 5. Диалоговое окно «Выбор служб ролей»

При нажатии на флажок Служба регистрации в центре сертификации через Интернет будет открыто диалоговое окно (рис. 6), в котором необходимо нажать на кнопку Добавить требуемые службы роли . После этого в окне Выбор служб ролей необходимо нажать на кнопку Далее .

Рис. 6. Диалоговое окно добавления требуемых служб ролей

7. В окне Задание типа установки (рис. 7) необходимо установить переключатель в положение Предприятие и нажать на кнопку Далее .

Рис. 7. Диалоговое окно «Задание типа установки»

8. В окне Задание типа ЦС (рис. 8) необходимо установить переключатель в положение Корневой ЦС и нажать на кнопку Далее .

Рис. 8. Диалоговое окно «Задание типа ЦС»

9. В окне Установка закрытого ключа (рис. 9) необходимо установить переключатель в положение Создать новый закрытый ключ и нажать на кнопку Далее .

Рис. 9. Диалоговое окно «Установка закрытого ключа»

10. В окне Настройка шифрования для ЦС (рис. 10) необходимо нажать на кнопку Далее .

Рис. 10. Диалоговое окно «Настройка шифрования для ЦС»

11. В окне Задание имени ЦС (рис. 11) необходимо ввести требуемое имя и нажать на кнопку Далее .

Рис. 11. Диалоговое окно «Задание имени ЦС»

12. В окне Установить срок действия (рис. 12) необходимо выбрать требуемый срок и нажать на кнопку Далее .

Рис. 12. Диалоговое окно «Установить срок действия»

13. В окне Настройка базы данных сертификатов (рис. 13) необходимо выбрать требуемое расположение хранения сертификатов и нажать на кнопку Далее .

Рис. 13. Диалоговое окно «Настройка базы данных сертификатов»

14. В окне Веб-сервер (IIS) (рис. 14) необходимо нажать на кнопку Далее .

Рис. 14. Диалоговое окно «Веб-сервер (IIS)»

15. В окне Выбор служб ролей (рис. 15) необходимо нажать на кнопку Далее .

Рис. 15. Диалоговое окно «Выбор служб ролей»

16. В окне Подтверждение выбранных элементов для установки (рис. 16) необходимо проверить выбранные для установки элементы и нажать на кнопку Установить . При необходимости данные параметры могут быть изменены путем перехода к требуемой настройке с помощью кнопки Назад .

Рис. 16. Диалоговое окно «Подтверждение выбранных элементов для установки»

17. Ход выполнения установки будет отображен в соответствующем окне (рис. 17).

Рис. 17. Диалоговое окно «Ход выполнения установки»

После завершения установки необходимо нажать на кнопку Закрыть (рис. 18).

Рис. 18. Диалоговое окно «Результаты установки»

18. В дереве консоли (в левой части экрана) будет отображен пункт Службы сертификации Active Directory (рис. 19) с установленным центром сертификации (ЦС).

Рис. 19. Дерево консоли

19. Далее необходимо подключить расширения в настройках созданного ЦС. Для этого необходимо вызвать контекстное меню данного ЦС и выбрать пункт Свойства . Далее необходимо перейти на вкладку Расширения , в списке отзыва сертификата выбрать пункт http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl и установить ниже него все доступные флажки (рис. 20).

Рис. 20. Свойства ЦС. Вкладка «Расширения»

Далее в списке отзыва сертификата необходимо выбрать пункт file://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>. crl и установить ниже него флажки № 3 и 4 (рис. 21).

Рис. 21. Свойства ЦС. Вкладка «Расширения»

Для сохранения изменений необходимо нажать на кнопку Применить . В открывшемся диалоговом окне (рис. 22) необходимо нажать на кнопку ДА .

Рис. 22. Диалоговое окно «Центр сертификации»

После выполнения перезапуска службы сертификации необходимо нажать на кнопку ОК . Далее необходимо перезагрузить компьютер для применения внесенных изменений.

Создание шаблона сертификата

Создание шаблона сертификата состоит из нескольких шагов.

1. В  Диспетчере сервера необходимо перейти в раздел Шаблоны сертификатов и выполнить команду Скопировать шаблон (рис. 23) на существующем шаблоне (например, скопировать шаблон Пользователь) .

Рис. 23. Диспетчер сервера. Раздел «Шаблоны сертификатов». Пункт контекстного меню «Скопировать шаблон»

2. В открывшемся диалоговом окне (рис. 24) обязательно необходимо установить переключатель в положение Windows Server 2003 Enterprise. Для подтверждения выбора необходимо нажать на кнопку ОК .

Рис. 24. Диалоговое окно копирования шаблона

3. В открывшихся свойствах шаблона (рис. 25) необходимо на вкладке Общие указать имя шаблона и снять флажок Опубликовать сертификат в  Active Directory .

Рис. 25. Свойства шаблона. Вкладка «Общие»

4. Необходимо перейти на вкладку Обработка запроса (рис. 26) и в поле Цель выбрать пункт Подпись .

Рис. 26. Свойства шаблона. Вкладка «Обработка запроса»

5. Необходимо перейти на вкладку Имя субъекта (рис. 27) и сверить ее заполнение с приведенным ниже изображением.

Рис. 27. Свойства шаблона. Вкладка «Имя субъекта»

6. Необходимо перейти на вкладку Безопасность (рис. 28) и для группы Прошедшие проверку требуется установить флажок Заявка в колонке «Разрешить».

Рис. 28. Свойства шаблона. Вкладка «Безопасность»

7. Необходимо перейти на вкладку Расширения (рис. 29) и изменить настройки Политики применения . Для этого необходимо нажать на кнопку Изменить .

Рис. 29. Свойства шаблона. Вкладка «Расширения»

8. В открывшемся диалоговом окне (рис. 30) необходимо выбрать политику Подписывание документа и нажать на кнопку ОК . В том случае, если данный пункт отсутствует, необходимо нажать на кнопку Добавить .

Рис. 30. Диалоговое окно «Изменение расширения политик применения»

9. В открывшемся диалоговом окне (рис. 31) необходимо выбрать Подписывание документа и нажать на кнопку ОК .

Рис. 31. Диалоговое окно «Добавление политики применения»

10. После выполнения всех требуемых настроек необходимо нажать на кнопку Применить – ОК (в окне создания шаблона).

Далее следует добавить шаблон в настроенный ранее ЦС. Для этого:

1. В  Диспетчере сервера необходимо вызвать контекстное меню пункта Шаблоны сертификатов , в котором необходимо нажать на кнопку Создать – Выдаваемый шаблон сертификата (рис. 32).

Рис. 32. Диспетчер сервера. Пункт меню «Шаблоны». Кнопка контекстного меню «Создать – Выдаваемый шаблон сертификата»

2. В открывшемся диалоговом окне (рис. 33) необходимо выбрать ранее созданный шаблон и нажать на кнопку ОК .

Рис. 33. Диалоговое окно «Включение шаблонов сертификатов»

Установка и настройка шаблона сертификатов закончена.

Далее необходимо осуществить проверку состояния службы Служба состояний ASP. NET (рис. 34). Данная служба не должна быть остановлена. В том случае, если служба остановлена, необходимо нажать на кнопку Пуск .

Рис. 34. Диспетчер сервера. Служба состояний ASP.NET

Проверка работы ЦС

Для первоначальной проверки работоспособности ЦС необходимо запустить оснастку Центр сертификации ( Пуск – Администрирование – Центр Сертификации ). В том случае, если все настроено верно, будет отображено следующее окно (рис. 35).

Рис. 35. Центр сертификации

Получение корневого сертификата

Для этого необходимо запустить веб-браузер Internet Explorer, в адресной строке которого следует указать адрес http://имя_сервера/certsrv , где имя_сервера – имя сервера ЦС. В случае попытки подключения на том же компьютере, где установлен ЦС, может быть указан адрес http://localhost/certsrv. Будет открыта главная страница (рис. 36) центра сертификации.

Рис. 36. Главная страница центра сертификации

Прежде всего необходимо загрузить сертификат ЦС и поместить его в хранилище доверенных корневых центров сертификации. Если в вашей сети несколько ЦС, следует загрузить и установить цепочку сертификатов. Для этого следует выбрать: Загрузка сертификата ЦС, цепочки сертификатов или CRL , затем Загрузка сертификата ЦС и сохранить сертификат в любую папку на данном компьютере.

Теперь перейдем к установке. Для этого необходимо в контекстном меню сертификата нажать на кнопку Установить сертификат (рис. 37) . Будет открыт мастер импорта.

Рис. 37. Контекстного меню сертификата. Кнопка «Установить сертификат»

В открывшемся диалоговом окне (рис. 38) необходимо нажать на кнопку Далее .

Рис. 38. Диалоговое окно «Мастер импорта сертификатов»

В открывшемся диалоговом окне (рис. 39) необходимо установить переключатель Поместить все сертификаты в следующее хранилище и нажимаем на кнопку Обзор… .

Рис. 39. Диалоговое окно ручного выбора хранилища сертификатов

В открывшемся диалоговом окне (рис. 40) необходимо выбрать пункт Доверенные корневые центры сертификации и нажать на кнопку ОК.

Рис. 40. Диалоговое окно выбора хранилища сертификатов

В окне Мастер импорта сертификатов (рис. 41) нажимаем на кнопку Далее . В следующем окне нажимаем на кнопку Готово .

Рис. 41. Диалоговое окно «Завершение мастера импорта сертификатов»

Будет открыто диалоговое окно (рис. 42) с уведомлением о результате импорта. Необходимо нажать на кнопку ОК .

Рис. 42. Диалоговое окно с уведомлением о результате импорта

Теперь данный ПК будет доверять всем сертификатам, выданным данным ЦС.

Получение клиентского сертификата

Для получения клиентского сертификата необходимо открыть сайт ЦС в браузере в Internet Explorer и выбрать Запрос сертификата – расширенный запрос сертификата – Создать и выдать запрос к этому ЦС .

При попытке создать запрос сертификата может быть отображено следующее предупреждение (рис. 43), в котором необходимо нажать на кнопку ОК . В данном случае необходимо добавить текущий узел в зону Надежные узлы и установить низкий уровень безопасности для этой зоны.

Рис. 43. Уведомление о необходимости добавления текущего узла в зону «Надежные узлы»

Для этого необходимо перейти к настройкам веб-браузера Internet Explorer и нажать на кнопку Свойства обозревателя (рис. 44).

Рис. 44. Настройки веб-браузера Internet Explorer. Кнопка «Свойства обозревателя»

В открывшемся диалоговом окне (рис. 45) необходимо перейти на вкладку Безопасность и для зоны Надежные узлы установить переключатель уровня безопасности в положение Ниже среднего .

Рис. 45. Диалоговое окно «Свойства обозревателя». Вкладка «Безопасность»

Далее требуется добавить текущий сайт к надежным узлам. Для этого необходимо на данной вкладке ( Безопасность ) нажать на кнопку Узлы и в открывшемся диалоговом окне (рис. 46) нажать на кнопку Добавить , а также снять флажок Для всех узлов этой зоны требуется проверка серверов ( https:). Для сохранения изменений необходимо нажать на кнопку Закрыть .

Рис. 46. Диалоговое окно «Свойства обозревателя». Вкладка «Безопасность». Диалоговое окно «Надежные узлы»

Также необходимо разрешить загрузку неподписанных ActiveX . Для этого необходимо на вкладке Безопасность нажать на кнопку Другой… и в окне Параметры безопасности (рис. 47) в группе Элементы ActiveX и модули подключения установить все переключатели в положение Включить . Для сохранения внесенных изменений необходимо нажать на кнопку ОК .

Рис. 47. Диалоговое окно «Свойства обозревателя». Вкладка «Безопасность». Диалоговое окно «Параметры безопасности»

Далее будет отображено предупреждение (рис. 48), в котором необходимо нажать на кнопку Да .

Рис. 48. Диалоговое окно с предупреждением о изменении настроек зоны

Далее необходимо нажать на кнопку Применить – ОК .

Далее необходимо перейти в веб-браузер Internet Explorer и заполнить форму запроса (рис. 49).

В поле Шаблон сертификата необходимо выбрать пункт Только подпись пользователя и нажать на кнопку Выдать .

Рис. 49. Веб- браузер Internet Explorer. Форма расширенного запроса сертификата

Будет отображено сообщение о выдаче сертификата (рис. 50), в котором необходимо нажать на кнопку Установить этот сертификат .

Рис. 50. Веб- браузер Internet Explorer. Сообщение о выдаче сертификата

Будет отображено сообщение об установке сертификата (рис. 51).

Рис. 51. Веб- браузер Internet Explorer. Сообщение об установке сертификата

Следует отметить, что по истечении срока действия клиентского сертификата его необходимо удалить, а затем получить и установить заново.

Если все сделано правильно, то сертификат успешно установится в хранилище личных сертификатов. Все успешно выданные сертификаты отображаются в  Центре сертификации в разделе Выданные сертификаты (рис. 52).

Рис. 52. Центр сертификации. Раздел «Выданные сертификаты»

При необходимости все выданные сертификаты могут быть отозваны.

Для просмотра всех полученных личных сертификатов в веб-браузере Internet Explorer необходимо перейти к настройкам веб-браузера Internet Explorer и нажать на кнопку Свойства обозревателя (рис. 53).

Рис. 53. Настройки веб-браузера Internet Explorer. Кнопка «Свойства обозревателя»

В открывшемся диалоговом окне (рис. 54) необходимо перейти на вкладку Содержание и в блоке настроек Сертификаты нажать на кнопку Сертификаты .

Рис. 54. Диалоговое окно «Свойства обозревателя». Вкладка «Содержание»

В открывшемся диалоговом окне (рис. 55) на вкладке Личные будут отображены все личные сертификаты, полученные текущим пользователем.

Рис. 55. Диалоговое окно «Свойства обозревателя». Вкладка «Содержание». Диалоговое окно «Сертификаты»

После выполнения всех описанных выше настроек необходимо загрузить с официального сайта Microsoft свободно распространяемый набор средств разработки CAPICOM. Данное ПО будет необходимо для осуществления подписания документа в веб-приложении ELMA с использованием ЭЦП.

Microsoft призвала не удалять истекший корневой сертификат Windows 10

Microsoft призвала не удалять истекший корневой сертификат Windows 10

09:50 / 23 Декабря, 20202020-12-23T10:50:17+03:00

Alexander Antipov

Срок действия корневого сертификата заканчивается 31 декабря, но он по-прежнему необходим для корректной работы ОС.

В конце декабря истекает срок действия цифрового сертификата Microsoft, но компания призывает не удалять его, поскольку это может вызвать сбои в работе операционной системы.

Срок действия корневого цифрового сертификата (Microsoft Root Authority), выданного Корневым удостоверяющим центром Microsoft (Trusted Root Certification Authorities), истекает 31 декабря 2020 года. Хотя действие других, более новых сертификатов Microsoft не заканчивается в нынешнем году, некоторые пользователи опасаются, что истекший сертификат может негативно сказаться на работе ПО, аппаратного обеспечения и операционной системы.

Как пояснила Microsoft на странице техподдержки, удалять доверенные корневые сертификаты после истечения их срока действия ни в коем случае нельзя, так как это может вызвать проблемы с Windows.

«Однако корневые сертификаты, перечисленные в разделе «Необходимые и доверенные корневые сертификаты» данной статьи, необходимы для правильной работы операционной системы. Поскольку удаление следующих сертификатов может ограничить функциональность операционной системы или привести к сбою компьютера, удалять их не следует», — сообщила Microsoft.

Дело в том, что истекшие сертификаты по-прежнему могут использоваться операционной системой для обеспечения обратной совместимости.

«Срок действия некоторых сертификатов, перечисленных в предыдущих таблицах, истек. Однако эти сертификаты необходимы для обратной совместимости. Даже если существует доверенный корневой сертификат с истекшим сроком действия, все, что было подписано с использованием этого сертификата до даты истечения его срока действия, требует, чтобы доверенный корневой сертификат был подтвержден. Пока сертификаты с истекшим сроком действия не отозваны, их можно использовать для проверки всего, что было подписано до истечения срока их действия», — сообщается на странице поддержки Microsoft.

Угрозы разрушения критической инфраструктуры в основном идут от спецслужб, а у спецслужб нет друзей — они ломают любые страны, подробнее в десятом выпуске на нашем Youtube канале.

Поделиться новостью:

Практическое руководство. Просмотр сертификатов с помощью оснастки MMC — WCF

• 25.02.2019
• 2 минуты на чтение

В этой статье

Когда вы создаете безопасный клиент или службу, вы можете использовать сертификат в качестве учетных данных. Например, распространенным типом учетных данных является сертификат X. 509, который вы создаете с помощью X509CertificateInitiatorClientCredential.SetCertificate метод.

Существует три различных типа хранилищ сертификатов, которые вы можете исследовать с помощью консоли управления Microsoft (MMC) в системах Windows:

• Локальный компьютер: хранилище является локальным для устройства и глобальным для всех пользователей на устройстве.

• Текущий пользователь: хранилище является локальным для текущей учетной записи пользователя на устройстве.

• Учетная запись службы: хранилище является локальным для определенной службы на устройстве.

Просмотр сертификатов в оснастке MMC

Следующая процедура демонстрирует, как проверить магазины на вашем локальном устройстве, чтобы найти соответствующий сертификат:

1. Выберите Run из меню Start , а затем введите mmc .

   Появляется MMC.

2. В меню Файл выберите Добавить / удалить привязку .

   Откроется окно Добавить или удалить оснастки .

3. Из списка Доступные оснастки выберите Сертификаты , затем выберите Добавить .

4. В окне оснастки «Сертификаты» выберите Учетная запись компьютера , а затем выберите Далее .

   При желании вы можете выбрать Моя учетная запись пользователя для текущего пользователя или Учетная запись службы для конкретной службы.

   Примечание

   Если вы не являетесь администратором своего устройства, вы можете управлять сертификатами только для своей учетной записи.

5. В окне Выбор компьютера оставьте Локальный компьютер выбранным, а затем выберите Завершить .

6. В окне Добавить или удалить оснастку выберите OK .

7. Необязательно: в меню Файл выберите Сохранить или Сохранить как , чтобы сохранить файл консоли MMC для дальнейшего использования.

8. Чтобы просмотреть свои сертификаты в оснастке MMC, выберите Корень консоли на левой панели, затем разверните Сертификаты (локальный компьютер) .

   Появится список каталогов для каждого типа сертификата. Из каждого каталога сертификатов вы можете просматривать, экспортировать, импортировать и удалять его сертификаты.

Вы также можете просматривать, экспортировать, импортировать и удалять сертификаты с помощью инструмента «Диспетчер сертификатов».

Для просмотра сертификатов для локального устройства

1. Выберите Run из меню Start , а затем введите certlm.msc .

   Появится инструмент диспетчера сертификатов для локального устройства.

2. Чтобы просмотреть свои сертификаты, в разделе Сертификаты — Локальный компьютер на левой панели разверните каталог для типа сертификата, который вы хотите просмотреть.

Для просмотра сертификатов текущего пользователя

1. Выберите Run из меню Start , а затем введите certmgr.msc .

   Появится инструмент диспетчера сертификатов для текущего пользователя.

2. Чтобы просмотреть свои сертификаты, в разделе «Сертификаты — текущий пользователь » на левой панели разверните каталог для типа сертификата, который вы хотите просмотреть.

См. Также

Как: получить отпечаток сертификата — WCF

• 000Z» data-article-date-source=»ms.date»> 30.03.2017
• 2 минуты на чтение

В этой статье

При написании приложения Windows Communication Foundation (WCF), использующего сертификат X.509 для аутентификации, часто бывает необходимо указать утверждения, найденные в сертификате. Например, вы должны предоставить утверждение отпечатка при использовании перечисления FindByThumbprint в методе SetCertificate. Для определения суммы претензии требуется два шага. Сначала откройте оснастку консоли управления Microsoft (MMC) для сертификатов. (См. Как просмотреть сертификаты с помощью оснастки MMC.) Во-вторых, как описано здесь, найдите соответствующий сертификат и скопируйте его отпечаток (или другие значения утверждений).

Если вы используете сертификат для аутентификации службы, важно отметить значение столбца « выдано на » (первый столбец в консоли). При использовании Secure Sockets Layer (SSL) в качестве защиты транспорта одна из первых проверок заключается в сравнении унифицированного идентификатора ресурса (URI) базового адреса службы со значением Issued To . Значения должны совпадать, иначе процесс аутентификации будет остановлен.

Вы также можете использовать командлет PowerShell New-SelfSignedCertificate для создания временных сертификатов для использования только во время разработки.Однако по умолчанию такой сертификат не выдается центром сертификации и не может использоваться в производственных целях. Дополнительные сведения см. В разделе «Как создать временные сертификаты для использования во время разработки».

Для получения отпечатка сертификата

1. Откройте оснастку консоли управления Microsoft (MMC) для сертификатов. (См. Как просмотреть сертификаты с помощью оснастки MMC.)

2. На левой панели окна Корень консоли щелкните Сертификаты (локальный компьютер) .

3. Щелкните папку Personal , чтобы развернуть ее.

4. Щелкните папку Certificates , чтобы развернуть ее.

5. В списке сертификатов обратите внимание на заголовок Предполагаемые цели . Найдите сертификат, в котором указано Client Authentication как предполагаемое назначение.

6. Дважды щелкните сертификат.

7. В диалоговом окне Сертификат щелкните вкладку Подробности .

8. Прокрутите список полей и щелкните Отпечаток .

9. Скопируйте шестнадцатеричные символы из поля. Если этот отпечаток используется в коде для X509FindType , удалите пробелы между шестнадцатеричными числами. Например, отпечаток пальца «a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b» следует указать в коде как «a

   2dd82ae41433e6f83886b00d4277a32a7b».

См. Также

Как создать временные сертификаты для использования во время разработки — WCF

• 30.03.2017
• 4 минуты на чтение

В этой статье

При разработке защищенной службы или клиента с использованием Windows Communication Foundation (WCF) часто необходимо предоставить сертификат X.509, который будет использоваться в качестве учетных данных. Сертификат обычно является частью цепочки сертификатов с корневым центром сертификации, находящимся в хранилище доверенных корневых центров сертификации компьютера. Наличие цепочки сертификатов позволяет вам охватить набор сертификатов, где обычно корневой центр принадлежит вашей организации или бизнес-подразделению. Чтобы имитировать это во время разработки, вы можете создать два сертификата в соответствии с требованиями безопасности. Первый — это самозаверяющий сертификат, который помещается в хранилище доверенных корневых центров сертификации, а второй сертификат создается из первого и помещается либо в личное хранилище локального компьютера, либо в личное хранилище текущего пользователя. расположение.В этом разделе описаны действия по созданию этих двух сертификатов с помощью командлета PowerShell New-SelfSignedCertificate).

Важно

Сертификаты, создаваемые командлетом New-SelfSignedCertificate, предоставляются только в целях тестирования. При развертывании службы или клиента обязательно используйте соответствующий сертификат, предоставленный центром сертификации. Это может быть сервер сертификатов Windows Server в вашей организации или сторонний поставщик.

По умолчанию командлет New-SelfSignedCertificate создает сертификаты, которые являются самоподписанными, и эти сертификаты небезопасны.Размещение самозаверяющих сертификатов в хранилище доверенных корневых центров сертификации позволяет создать среду разработки, более точно имитирующую среду развертывания.

Для получения дополнительной информации о создании и использовании сертификатов см. Работа с сертификатами. Дополнительные сведения об использовании сертификата в качестве учетных данных см. В разделе «Защита служб и клиентов». Учебное пособие по использованию технологии Microsoft Authenticode см. В разделе Обзоры и руководства Authenticode.

Для создания самозаверяющего сертификата корневого центра сертификации и экспорта закрытого ключа

Следующая команда создает самозаверяющий сертификат с именем субъекта «RootCA» в личном хранилище текущего пользователя.

  $ rootCert = New-SelfSignedCertificate -CertStoreLocation Cert: \ CurrentUser \ My -DnsName "RootCA" -TextExtension @ ("2.5.29.19 = {text} CA = true") -KeyUsage CertSign, CrlSign, DigitalSignature
  

Нам нужно экспортировать сертификат в файл PFX, чтобы его можно было импортировать туда, где он понадобится, на более позднем этапе.При экспорте сертификата с закрытым ключом требуется пароль для его защиты. Мы сохраняем пароль в SecureString и используем командлет Export-PfxCertificate для экспорта сертификата со связанным закрытым ключом в файл PFX. Мы также сохраняем только общедоступный сертификат в файл CRT с помощью командлета Export-Certificate.

  [System.Security.SecureString] $ rootCertPassword = ConvertTo-SecureString -String «пароль» -Force -AsPlainText
[Строка] $ rootCertPath = Join-Path -Path 'cert: \ CurrentUser \ My \' -ChildPath "$ ($ rootCert.Отпечаток) "
Export-PfxCertificate -Cert $ rootCertPath -FilePath 'RootCA.pfx' -Password $ rootCertPassword
Экспорт-сертификат -Cert $ rootCertPath -FilePath 'RootCA.crt'
  

Для создания нового сертификата, подписанного сертификатом корневого центра

Следующая команда создает сертификат, подписанный RootCA с именем субъекта «SignedByRootCA» с использованием закрытого ключа эмитента.

  $ testCert = New-SelfSignedCertificate -CertStoreLocation Cert: \ LocalMachine \ My -DnsName "SignedByRootCA" -KeyExportPolicy Exportable -KeyLength 2048 -KeyUsage DigitalSignature, KeyEncipherment -Signer $ rootC
  

Точно так же мы сохраняем подписанный сертификат с закрытым ключом в файл PFX и только открытый ключ в файл CRT.

  [String] $ testCertPath = Join-Path -Path 'cert: \ LocalMachine \ My \' -ChildPath "$ ($ testCert.Thumbprint)"
Export-PfxCertificate -Cert $ testCertPath -FilePath testcert.pfx -Password $ rootCertPassword
Экспорт-сертификат -Cert $ testCertPath -FilePath testcert.crt
  

Установка сертификата в хранилище доверенных корневых центров сертификации

После создания самозаверяющего сертификата его можно установить в хранилище доверенных корневых центров сертификации.Компьютер доверяет всем сертификатам, подписанным этим сертификатом. По этой причине удалите сертификат из магазина, как только он вам больше не понадобится. Когда вы удаляете этот сертификат корневого центра, все остальные сертификаты, подписанные им, становятся неавторизованными. Сертификаты корневого центра сертификации — это просто механизм, с помощью которого группа сертификатов может быть ограничена по мере необходимости. Например, в одноранговых приложениях обычно нет необходимости в корневом центре сертификации, потому что вы просто доверяете личности человека по его предоставленному сертификату.

Для установки самозаверяющего сертификата в доверенных корневых центрах сертификации

1. Откройте оснастку сертификата. Дополнительные сведения см. В разделе Как просмотреть сертификаты с помощью оснастки MMC.

2. Откройте папку для хранения сертификата: Локальный компьютер или Текущий пользователь .

3. Откройте папку Доверенные корневые центры сертификации .

4. Щелкните правой кнопкой мыши папку Certificates и выберите All Tasks , затем щелкните Import .

5. Следуйте инструкциям мастера на экране, чтобы импортировать RootCA.pfx в магазин.

Использование сертификатов с WCF

После того, как вы настроили временные сертификаты, вы можете использовать их для разработки решений WCF, которые определяют сертификаты как тип учетных данных клиента. Например, следующая конфигурация XML определяет безопасность сообщений и сертификат в качестве типа учетных данных клиента.

Чтобы указать сертификат в качестве типа учетных данных клиента

1. В файле конфигурации для службы используйте следующий XML-код, чтобы установить режим безопасности для сообщения и тип учетных данных клиента для сертификата.

     <привязки>
     
       <имя привязки = "CertificateForClient">
         <безопасность>
           
         
       
     
   
     

2. В файле конфигурации для клиента используйте следующий XML-код, чтобы указать, что сертификат находится в хранилище пользователя и может быть найден путем поиска в поле SubjectName значения «CohoWinery.«

     <поведение>
     
       
         
           
         
       
     
   
     

Дополнительные сведения об использовании сертификатов в WCF см. В разделе Работа с сертификатами.

Безопасность .NET Framework

Обязательно удалите все временные сертификаты корневых центров сертификации из папок Trusted Root Certification Authorities и Personal , щелкнув сертификат правой кнопкой мыши и выбрав Удалить .

См. Также

Как просмотреть установленные сертификаты в Windows 10/8/7

12 сентября 2018 по Admin

Оставьте ответ »

Как мне получить список установленных сертификатов в Windows? Есть ли способ проверить, прикреплен ли к моему сертификату закрытый ключ? В этом руководстве мы покажем вам простые способы просмотра всех сертификатов, установленных на вашем компьютере с Windows 10/8/7, чтобы вы могли проверить статус сертификата, экспортировать, импортировать, удалить или запросить новые сертификаты.

Метод 1. Просмотр установленных сертификатов для текущего пользователя

1. Нажмите клавиши Windows + R, чтобы вызвать команду «Выполнить», введите certmgr.msc и нажмите Enter.

2. Когда откроется консоль диспетчера сертификатов, разверните любую папку сертификатов слева. На правой панели вы увидите подробную информацию о своих сертификатах. Щелкните их правой кнопкой мыши, и вы можете экспортировать или удалить его.

   По умолчанию сертификат EFS можно найти в папке « Personal » -> « Certificates ».Дважды щелкните сертификат EFS, и вы сможете узнать, прикреплен ли к нему закрытый ключ. Без закрытого ключа вы не сможете расшифровать файлы EFS.

Метод 2: Просмотр установленных сертификатов для локального компьютера

1. Нажмите клавиши Windows + R, чтобы вызвать команду «Выполнить», введите mmc и нажмите Enter, чтобы открыть консоль управления Microsoft.

2. Щелкните меню File и затем выберите Add / Remove Snap-in .

3. Выберите Сертификаты из списка оснасток и щелкните Добавить .

4. В следующем диалоговом окне выберите Учетная запись компьютера и нажмите Далее .

5. Выберите Локальный компьютер и нажмите Готово .

6. Теперь вы вернетесь в окно «Добавить или удалить оснастки», просто нажмите ОК .

7. Когда вы откроете любую папку сертификатов, вы увидите, что сертификаты отображаются на правой панели.

Управление сертификатами с помощью диспетчера сертификатов Windows и PowerShell [Учебное пособие]

Если вы системный администратор Windows, возможно, вам пришлось работать с сертификатами Windows. Работа с сертификатами в Windows обычно является одной из тех дополнительных задач, которые должен взять на себя системный администратор. Используя диспетчер сертификатов Windows в качестве инструмента, вы можете это сделать!

Сертификаты

, как известно, сложны и трудны для понимания, но в этой статье вы узнаете, что сертификаты не так страшны в Windows!

В этой статье в основном рассматривается работа с сертификатами в Windows.Если вы хотите узнать больше о том, как работают сертификаты в целом, ознакомьтесь с сопутствующей статьей X.509 Certificate Tutorial к этой статье.

Общие сведения о хранилищах сертификатов

В диспетчере сертификатов Windows все сертификаты находятся в логических хранилищах, называемых хранилищами сертификатов . Хранилища сертификатов — это «корзины», в которых Windows хранит все сертификаты, которые в настоящее время установлены, и сертификат может находиться более чем в одном хранилище.

К сожалению, хранилища сертификатов — не самая интуитивно понятная концепция для работы.О том, как различать эти магазины и как с ними работать, вы прочитаете ниже.

Каждое хранилище находится в реестре Windows и в файловой системе. См. Подробную информацию в таблице ниже. При работе с сертификатом в хранилище вы взаимодействуете с логическим хранилищем; не изменяя напрямую реестр или файловую систему. Этот более простой способ позволяет вам работать с одним объектом, в то время как Windows заботится о том, как представить этот объект на диске.

Иногда можно встретить хранилища сертификатов, называемые физическими или логическими хранилищами.Физические хранилища ссылаются на фактическую файловую систему или место в реестре, где хранятся разделы и / или файлы реестра. Логические хранилища — это динамические ссылки, которые ссылаются на одно или несколько физических хранилищ. С логическими хранилищами намного проще работать, чем с физическими хранилищами для наиболее распространенных случаев использования.

Windows хранит сертификаты в двух разных областях — в контексте пользователя и компьютера. Сертификат помещается в один из этих двух контекстов в зависимости от того, должен ли сертификат использоваться одним пользователем, несколькими пользователями или самим компьютером.В остальной части этой статьи сертификат в контексте пользователя и компьютера будет неофициально называться сертификатами пользователей и сертификатами компьютеров.

Сертификаты пользователя

Если вы хотите, чтобы сертификат использовался одним пользователем, то хранилище сертификатов пользователя внутри диспетчера сертификатов Windows является идеальным решением. Это общий вариант использования процессов аутентификации на основе сертификатов, таких как проводной IEEE 802.1x.

Сертификаты пользователей находятся в профиле текущего пользователя и логически отображаются только в контексте этого пользователя.Сертификаты пользователей «сопоставлены» и уникальны для каждого пользователя даже в одних и тех же системах.

Компьютерные сертификаты

Если сертификат будет использоваться всеми пользователями компьютера или системного процесса, он должен быть помещен в хранилище в контексте компьютера. Например, если сертификат будет использоваться на веб-сервере для шифрования связи для всех клиентов, размещение сертификата в хранилище в контексте компьютера было бы идеальным.

Вы увидите, что хранилище сертификатов компьютера логически отображено для всех пользовательских контекстов.Это позволяет всем пользователям использовать сертификаты в хранилище сертификатов компьютера в зависимости от разрешений, настроенных для закрытого ключа.

Для получения дополнительной информации о закрытых ключах обязательно ознакомьтесь со статьей Руководство по сертификатам X.509: Руководство системного администратора.

Сертификаты компьютеров находятся в кустах реестра локальных компьютеров и в папке Program Data. Сертификаты пользователей находятся в кустах текущего реестра пользователей и в папке данных приложения.Ниже вы можете увидеть, где каждый тип хранилища находится в реестре и файловой системе.

SOFTWARE

\ Пользовательские открытые ключи

E

Policies \ Microsoft \ SystemCertificates \

9054 4 HKLM: \ SOFTWARE \ Microsoft \ EnterpriseCertificates \

Предварительные требования

В оставшейся части этой статьи вы найдете несколько примеров, демонстрирующих взаимодействие с хранилищами сертификатов Windows.Чтобы воспроизвести эти примеры, убедитесь, что выполняются следующие требования:

• Windows Vista, Windows Server 2008 или более новая операционная система. В показанных примерах используется Windows 10 Enterprise версии 1903.
• Знакомство с PowerShell. Хотя это и не обязательно, этот язык будет использоваться для ссылки на сертификаты, где это необходимо. Все показанные примеры были созданы с помощью Windows PowerShell 5.1.
• Вам не потребуется устанавливать какие-либо специальные сертификаты, но использование самозаверяющего сертификата полезно.

Управление сертификатами в Windows

В Windows есть три основных способа управления сертификатами:

• Оснастка консоли управления Microsoft (MMC) сертификатов ( certmgr.msc )
• PowerShell
• Средство командной строки certutil

В этой статье вы узнаете, как управлять сертификатами через Сертификаты оснастки MMC и PowerShell. Если вы хотите узнать больше о том, как использовать certutil , ознакомьтесь с документацией Microsoft.

PowerShell против диспетчера сертификатов безопасности Windows

Поскольку в Windows можно управлять сертификатами несколькими способами, какой из них выбрать? Что лучше: использовать GUI (MMC) или командную строку с PowerShell?

Примечание. Эта статья актуальна как для диспетчера сертификатов Windows 7, так и для оснасток MMC диспетчера сертификатов Windows 10.

Сначала рассмотрим жизненный цикл сертификата. Если вы собираетесь установить или удалить один сертификат только один раз, рассмотрите возможность использования MMC.Но если вы управляете несколькими сертификатами или выполняете одну и ту же задачу снова и снова, путь из командной строки может оказаться правильным решением. Даже если вы не умеете писать сценарии PowerShell, вам стоит научиться, если у вас есть много разных сертификатов, которыми нужно управлять.

Давайте сначала посмотрим, как обнаружить сертификаты, установленные в Windows, с помощью диспетчера сертификатов и PowerShell.

Использование диспетчера сертификатов Windows (

certmgr.msc)

Чтобы просмотреть сертификаты с помощью MMC, откройте диспетчер сертификатов, откройте меню «Пуск» и введите certmgr.msc . Это вызовет Windows Certificates MMC. Это начальное представление предоставит обзор всех логических хранилищ, отображаемых в левом окне.

На снимке экрана ниже показано, что Trusted Root Certification Authorities выбрано логическое хранилище .

Магазин доверенных корневых центров сертификации

Просмотр физических магазинов

По умолчанию диспетчер сертификатов Windows не отображает фактические физические хранилища. Чтобы показать магазины, щелкните View , а затем Options .Затем вы увидите варианты отображения физических хранилищ сертификатов. Включение этого параметра упрощает определение конкретных путей в Windows.

Рисунок 2 — Параметры просмотра MMC сертификатов с выбранными физическими хранилищами сертификатов.

Теперь вы можете видеть, что дополнительные контейнеры показаны в примере логического хранилища Trusted Root Certification Authorities , показанного ранее. Сертификаты по-прежнему сгруппированы относительно их логических хранилищ, но теперь вы можете увидеть физическое хранилище «Реестр».

Проверка физических хранилищ сертификатов

Проверка атрибутов в диспетчере сертификатов Windows

Есть много атрибутов сертификата, которые вы можете увидеть при просмотре их с помощью MMC. Например, вы, вероятно, захотите выбрать определенные сертификаты.

Самый простой способ сделать это — сослаться на значение расширения Serial Number или Thumbprint сертификата. Если сертификат был подписан центром сертификации (ЦС), при выдаче он будет иметь серийный номер.Отпечаток вычисляется каждый раз при просмотре сертификата.

Вы можете увидеть некоторые атрибуты сертификата, открыв его в MMC, как показано ниже.

Проверка сертификата Windows

Следует отметить одну важную особенность — встроенные закрытые ключи. Сертификаты в Windows также могут иметь соответствующий закрытый ключ. Эти закрытые ключи хранятся в соответствующих физических хранилищах в виде зашифрованных файлов.

Чтобы быстро отличить сертификат с соответствующим закрытым ключом и без него, посмотрите на значок сертификата.В диспетчере сертификатов Windows, если значок просто выглядит как лист бумаги с лентой, соответствующий закрытый ключ отсутствует. Если у сертификата есть закрытый ключ, вы увидите ключ на значке MMC, и вы увидите ключ в нижней части вкладки «Общие» при открытии сертификата.

Сертификат без встроенного закрытого ключа

Использование PowerShell

Как и в случае с MMC, вы можете просматривать сертификаты и управлять ими с помощью PowerShell. Давайте сначала проверим сертификаты в их физических хранилищах (реестр и файловая система).

В физическом магазине

С помощью командлета PowerShell Get-ChildItem можно перечислить все ключи и значения внутри родительского пути к ключу реестра HKCU: \ Software \ Microsoft \ SystemCertificates \ CA \ Certificates \ .

Приведенная ниже команда перечислит все сертификаты вошедшего в систему пользователя в логическом хранилище промежуточных центров сертификации .

  Get-ChildItem -Path HKCU: \ Software \ Microsoft \ SystemCertificates \ CA \ Certificates \  

Каждая запись в кусте реестра, который вы видите, будет соответствовать отпечатку сертификата доверенного центра сертификации и его сертификату в соответствующем свойстве.Вы можете увидеть пример вывода этого ниже.

Результаты установленных сертификатов из примеров команд, ограниченные первыми 5 записями.

Другой распространенный магазин — Personal store. Ваши сертификаты для этого магазина находятся в файловой системе, а не в реестре. В следующих командах мы покажем эти различные физические пути и их цели.

Каждый файл в каталоге, возвращенный приведенной ниже командой, соответствует сертификату, установленному в личном хранилище текущего пользователя.

  Get-ChildItem -Path $ env: APPDATA \ Microsoft \ SystemCertificates \ My \ Certificates \  

Каждый файл, возвращаемый в приведенной ниже команде, является ссылкой на объект для закрытого ключа, созданный поставщиком хранилища ключей (KSP). Имя файла соответствует идентификатору ключа субъекта сертификата. К каждому устанавливаемому закрытому ключу будет добавлен соответствующий файл.

  Get-ChildItem -Path $ env: APPDATA \ Microsoft \ SystemCertificates \ My \ Keys \  

Каждый файл в каталоге, возвращаемый следующей командой, является уникальным контейнером для зашифрованного закрытого ключа, созданного KSP.Нет прямой связи между именем файла и сертификатом, но файл является целью указателя в предыдущей команде.

  Get-ChildItem -Path $ env: APPDATA \ Microsoft \ Crypto \ Keys  

По логическому магазину

Поскольку работа с сертификатами на их физических путях встречается редко, в остальных примерах вы будете работать с логическими хранилищами.

PowerShell может получить доступ к логическим хранилищам Windows с помощью Cert: PSDrive. Cert: PSDrive сопоставляет сертификаты с физическими хранилищами так же, как это делает MMC.

К сожалению, MMC и Cert PSDrive не маркируют логические хранилища одинаково. Ниже вы можете увидеть сравнительную таблицу обычных магазинов и их названий как в MMC, так и в Cert PSDrive.

Доверенные центры сертификации

Центры сертификации

Доверенные корневые центры сертификации

  Get-ChildItem -Path Cert: \ CurrentUser \ Root \  

  Get-ChildItem -Path Cert: \ CurrentUser \ Root \ | Get-Member -MemberType Свойства  

  ((Get-ChildItem -Path Cert: \ CurrentUser \ Root \ | select -First 1) .Extensions | Where-Object {$ _. Oid.FriendlyName -eq "Использование ключа"}). Format ($ true)  

  $ thumb = "cdd4eeae6000ac7f40c3802c171e30148030c072"
Get-ChildItem -Path Cert: \ CurrentUser \ Root \ | Where-Object {$ _. Thumbprint -eq $ thumb}  

  PS51> New-SelfSignedCertificate -Subject 'User-Test' -CertStoreLocation 'Cert: \ CurrentUser \ My'
PS51> New-SelfSignedCertificate -Subject 'Computer-Test' -CertStoreLocation 'Cert: \ LocalMachine \ My'  

Импорт сертификатов

Функция импорта одинакова для всех поддерживаемых типов файлов сертификатов.Единственная разница в том, что если файл содержит закрытый ключ, вы можете «Отметить этот ключ как экспортируемый», о чем вы узнаете подробнее ниже. Windows будет использовать мастер импорта сертификатов.

Рисунок 12 — Мастер импорта сертификата с файлом PFX.

При использовании мастера импорта сертификатов для PFX вам потребуется ввести пароль, используемый для шифрования закрытого ключа. Вот еще один обзор вариантов импорта.

Сертификаты подписи кода PowerShell — хороший вариант использования для надежной защиты закрытого ключа .

Автоматическое размещение сертификатов требует осторожности. Скорее всего, вы получите наилучшие результаты, выбрав хранилище сертификатов вручную.

Использование PowerShell

Теперь с помощью PowerShell экспортируйте один из самозаверяющих сертификатов, которые вы создали ранее. В этом примере используется текущий пользователь, но вы можете использовать любой из них.

Ниже вы выбираете сертификат в личном логическом хранилище текущего пользователя, который был самоподписанным, то есть там, где издатель совпадает с субъектом.

  $ certificate = Get-Item (Get-ChildItem -Path Cert: \ CurrentUser \ My \ | Where-Object {$ _. Subject -eq $ _. Issuer}). PSPath  

Теперь, когда вы выбрали сертификат, вы можете использовать команду Export-Certificate , чтобы сохранить файл в кодировке DER, используя команду ниже.

  Export-Certificate -FilePath $ env: USERPROFILE \ Desktop \ certificate.cer -Cert $ certificate  

Теперь давайте посмотрим на экспорт закрытого ключа. Ниже вы проверяете, что у выбранного сертификата есть закрытый ключ. Если он не возвращает истину, то команда Get-Item , вероятно, выбрала неправильный сертификат.

  $ сертификат.HasPrivateKey  

Ниже вы установите пароль, который будет использоваться для шифрования закрытого ключа. Затем экспортируйте выбранный сертификат в файл PFX и используйте пароль, который вы ввели ранее, чтобы зашифровать файл.

  $ pfxPassword = "ComplexPassword!" | ConvertTo-SecureString -AsPlainText -Force
Export-PfxCertificate -FilePath $ env: USERPROFILE \ Desktop \ certificate.pfx -Password $ pfxPassword -Cert $ certificate  

Как и при экспорте, есть две команды.Одна команда для импорта сертификатов и одна для импорта файлов PFX.

Под командой Import-Certificate импортирует файл в формате DER, который вы экспортировали ранее, в личное хранилище текущего пользователя.

  Импорт-сертификат -FilePath $ env: USERPROFILE \ Desktop \ certificate.cer -CertStoreLocation Cert: \ CurrentUser \ My  

Допустим, вы хотите также установить закрытый ключ этого сертификата.

  $ pfxPassword = "ComplexPassword!" | ConvertTo-SecureString -AsPlainText -Force
Import-PfxCertificate -Exportable -Password $ pfxPassword -CertStoreLocation Cert: \ CurrentUser \ My -FilePath $ env: USERPROFILE \ Desktop \ certificate.pfx  

Имейте в виду, что пароль должен быть защищенной строкой. Кроме того, если вы импортируете в хранилище локального компьютера (например, Cert: \ LocalMachine \ ), вам нужно будет запустить команду из командной строки администратора с повышенными привилегиями.

В приведенном выше примере вы также используете параметр Exportable с командой, отмечая закрытый ключ как экспортируемый в будущем. По умолчанию экспорт не поддерживается. Экспортируемые закрытые ключи — еще одно соображение безопасности, и заслуживает дальнейшего внимания, как вы их защищаете.

С сертификатами в Windows можно делать много других вещей, так что вам стоит изучить их подробнее.

Удаление сертификатов с помощью PowerShell

При удалении сертификатов помните, что корзина отсутствует. Как только вы удалите сертификат, он исчезнет. Это означает, что очень важно подтвердить, что вы удаляете правильный сертификат, путем проверки уникального идентификатора, такого как серийный номер или значение расширения отпечатка пальца.

Как и выше, в приведенной ниже команде мы выбираем самозаверяющий сертификат из личного хранилища текущего пользователя.

  $ certificate = Get-Item (Get-ChildItem -Path Cert: \ CurrentUser \ My \ | Where-Object {$ _. Subject -eq $ _. Issuer}). PSPath  

Ниже вы можете увидеть свойства отпечатка, серийного номера и темы для выбранного сертификата, чтобы убедиться, что это именно тот сертификат, который вы собираетесь выбрать.

  $ сертификат.
$ certificate.SerialNumber
$ certificate.Subject  

Убедитесь, что вы выбрали правильный сертификат, который собираетесь удалить.

Приведенная ниже команда удаляет все выбранные объекты сертификата, используйте с осторожностью.Передав объект $ certificate через конвейер в командлет Remove-Item в приведенной ниже команде, вы удалите все содержимое сертификата без каких-либо запросов на проверку.

  $ сертификат | Remove-Item  

Сводка

На протяжении всей этой статьи вы работали с сертификатами в Windows, изучая, как получить к ним доступ, и некоторые инструменты, которые можно использовать при работе с ними. По этой теме можно изучить гораздо больше, в том числе о том, как связать установленные сертификаты с конкретными службами или даже о том, как реализовать инфраструктуру закрытого открытого ключа (PKI) путем развертывания собственных центров сертификации (CA).

Дополнительная литература

Связанные

Использование сертификатов в Windows 10

Введение

Доверие — одна из самых важных вещей, которые могут быть установлены между двумя сторонами. Это процесс, при котором обе стороны приостанавливают свое неверие в возможность предательства друг друга и движутся к какой-то общей цели. Это распространяется и на мир компьютеров, где сертификаты использовались в течение многих лет для установления доверия между, в данном случае, пользователями и компьютерами.

В этой статье подробно рассказывается об использовании сертификатов в контексте Windows 10. Она проливает свет на то, что сертификаты делают в Windows 10, и исследует, как ими управлять в Windows 10. Для ИТ-специалистов сертификаты в Windows 10 являются жизненно важным аспектом. информационной безопасности и их понимание может быть определяющим фактором в поддержке конечных пользователей организации.

Немного о сертификатах

Сертификаты

подтверждают, что веб-сайты являются подлинными, а пользователи являются законными, и могут обеспечить определенный уровень шифрования для онлайн-коммуникаций с помощью технологии Secure Socket Layer (SSL).Корневой центр сертификации (CA) выдает так называемые корневые сертификаты, которые являются верхним уровнем цепочки доверия. Доверенный корневой сертификат выдается доверенным корневым центром сертификации.

Сертификаты

используют инфраструктуру открытого ключа (PKI), где есть пара закрытый ключ / открытый ключ. Общий цикл сертификатов, известный как асимметричная криптография, выглядит следующим образом: сертификат подписывается центром сертификации с использованием закрытого ключа, который хранится у пользователя. Открытый ключ встроен в браузер, который отправляет пользователю зашифрованные сообщения, содержащие симметричный ключ.Этот ключ используется браузером для шифрования связи между пользователем и браузером для соответствующего сеанса. Открытые ключи также можно использовать для проверки программного обеспечения распределенной организации.

Сертификаты

имеют ограниченный срок службы — обычно максимум от одного до двух лет. Когда сертификаты отозваны, сведения о сертификате добавляются в список отзыва сертификатов (CRL). Когда срок действия отозванных сертификатов истекает, они просто выпадают из списка отзыва сертификатов.

Несмотря на важность сертификатов, средний пользователь будет очень редко (если вообще когда-либо) взаимодействовать с сертификатами, за исключением, возможно, установки сертификатов для просмотра определенных сайтов.Сертификаты с большей вероятностью будут использоваться администраторами организации и теми, кто оказывает поддержку в области информационных технологий и информационной безопасности. Однако все организации разные, и вашей может потребоваться значительно больше контактов с сертификатами.

Как управлять сертификатами в Windows 10

Сертификаты хранятся как у пользователя, так и на компьютере, и для проверки того, какие сертификаты установлены для каждого из них, используется другой метод. В Windows 10 есть факел, который уступил Windows 8 в управлении сертификатами.Обратите внимание, что консоль управления Microsoft (MMC) по-прежнему может использоваться для управления сертификатами пользователей и компьютеров. Этот метод слишком изношен, чтобы использовать его специально для Windows 10, и есть более прямые способы управления им.

Управление сертификатами, хранящимися на локальном компьютере

Сертификаты, хранящиеся на компьютере с Windows 10, находятся в хранилище сертификатов локального компьютера. Windows 10 предлагает диспетчер сертификатов в качестве инструмента управления сертификатами как для компьютерных, так и для пользовательских сертификатов.Диспетчер сертификатов является частью MMC, но с момента его включения в семейство ОС Windows в Windows 7 диспетчер сертификатов является предпочтительным методом управления сертификатами.

Чтобы открыть диспетчер сертификатов для просмотра сертификатов, хранящихся на локальном компьютере, введите cert в строке поиска Windows 10 Cortana. Это приведет к появлению на панели управления результатов под названием «Управление сертификатами компьютеров». Щелкните по нему, и вы увидите окно диспетчера сертификатов Windows 10 для сертификатов, хранящихся на локальном компьютере.Это будет отличаться от стандартного окна диспетчера сертификатов, которое управляет сертификатами пользователей, и будет называться certlm , что означает сертификаты на локальном компьютере. Он предлагает те же функции, что и диспетчер сертификатов.

Диспетчер сертификатов

упрощает управление сертификатами для начинающих и средних пользователей Windows 10. Он позволяет пользователям добавлять (импортировать), экспортировать, удалять, изменять и запрашивать новые сертификаты.

Управление сертификатами, хранящимися в учетной записи пользователя

Управление сертификатами, хранящимися в учетной записи пользователя в Windows 10, осуществляется с помощью стандартной версии диспетчера сертификатов.Чтобы открыть диспетчер сертификатов, введите , запустите в строку поиска Windows 10 Cortana и нажмите Enter. Когда появится окно запуска, введите certmgr.msc и нажмите Enter. Вам будет представлено окно диспетчера сертификации, и вы сможете просматривать сертификаты, хранящиеся в учетной записи пользователя.

Учетная запись пользователя наследует корневые сертификаты от локального компьютера / машины и имеет собственные установленные сертификаты, что делает ее более обширной библиотекой сертификатов, чем то, что хранится на локальном компьютере.

Заключение

Сертификаты являются важными аспектами в цепочке доверия между компьютерами и пользователями и преобладают в Windows 10. От Windows 8 до Windows 10 мало что изменилось, но с появлением Cortana управление сертификатами, хранящимися на локальном компьютере / компьютере, стало быстрее без необходимость настройки MMC для управления сертификатами.

Источники

1. Certmgr.msc или диспетчер сертификатов в Windows 10/8/7, TheWindowsClub
2. Как сертификаты Windows 10 создают цепочку доверия, TechTarget
3. Опасности цифровых сертификатов и способы борьбы с ними, eSecurity Planet

Как проверить, установлены ли правильные сертификаты в Windows — NMI

Содержание

1. Обзор
2. Проверка сертификатов (MMC)
3. Серийный номер сертификата и отпечаток
4. Импорт отсутствующих сертификатов

Обзор

Правильные сертификаты должны автоматически устанавливаться и управляться Microsoft во время регулярных обновлений Windows; однако можно вручную проверить, установлены ли правильные сертификаты, с помощью консоли управления Microsoft (MMC).

Обратите внимание, установка сертификата, показанная ниже, используется в качестве примера. Ознакомьтесь с этой статьей для получения информации о нашем текущем корневом сертификате.

Проверка сертификатов (MMC)

Ниже приведены шаги, необходимые для проверки установленных сертификатов с помощью консоли управления Microsoft (MMC).

1. Найдите MMC в стартовом меню и запустите исполняемый файл
2. Щелкните «Файл» -> «Добавить / удалить оснастку ..».. ‘
3. Выберите оснастку «Сертификаты», затем нажмите «Добавить», как показано ниже.
4. Выберите «Учетная запись компьютера», затем нажмите «Далее»
5. Выберите «Локальный компьютер» и нажмите «Готово».
6. Закройте экран оснастки, нажав «ОК» в правом нижнем углу экрана.
7. Разверните «Доверенные корневые центры сертификации», а затем «Сертификаты», как показано ниже:
8. Убедитесь, что текущий корневой сертификат NMI Live Services находится в списке установленных корневых сертификатов.
   

   No related posts.