Сертификаты на виндовс 7: Как обновить корневые сертификаты на Windows 7, XP и 10: пошаговая инструкция
Как обновить корневые сертификаты на Windows 7, XP и 10: пошаговая инструкция
Практически во всех версиях операционной системы Виндовс есть функция автоматического обновления сертификата. Однако некоторые уже не поддерживаются разработчиком, поэтому компания Microsoft перестала выпускать новые файлы. При установке старого пакета Windows есть вероятность, что сертификаты устарели, их придется устанавливать вручную. Чтобы не рисковать собственной безопасностью и не ограничивать себя в софте и сайтах, связанных с доверенными центрами, рекомендуется обновить сертификаты безопасности Windows 7, XP или 10.
Что такое корневые сертификаты Windows 7, 10 и XP
Сами по себе сертификаты — это меры безопасности. Они показывают, настоящее ли сообщение или запрос пришел пользователю, серверу или же это подделка. Корневые сертификаты являются основными.
Как удалить или обновить сертификаты на Windows
К сведению! Существуют также сертификаты для подделки подтверждения, например, SuperFish.
Эти записи учитываются в первую очередь при установке связи через Интернет. Они свидетельствуют о том, что сообщение, переданное с одного устройства на другое, настоящее, то есть оно основано на технологии, выдаваемой органом по сертификации. В операционной системе есть список этих самых сертификатов. Они по умолчанию становятся доверенными. Google Chrome, Opera, Mozilla Firefox и другие браузеры постоянно используют их для подключения к различным сайтам.
Они также служат шифром, когда пользователь передает информацию какому-либо ресурсу. Соответственно, если сертификат недостоверный, то соединение не установится в целях безопасности. Например, определенная группа сертификатов разработана для обмена данными и запросами между браузером и сайтом. С их помощью система шифрует пароли, важные файлы, исходные коды при передаче информации.
Обратите внимание! Эти удостоверения, как правило, делятся на отрасли. Одни отвечают за безопасность внутри электронных почт, другие работают с передачей и принятием данных запросов и т. д.
Еще одна функция — определение важности установки связи. Система автоматически определяет, для чего сайту нужны какие-либо данные, чтобы разрешить или отказать в доступе. Кстати, некоторые вредоносные программы могут подставлять в список свои договоренности, после чего перенаправить пользователя на вирусный сайт, где успешно украсть его информацию. Поэтому важно не устанавливать сторонний софт и ничего не подтверждать без прочтения.
Следовательно, сертификаты выполняют следующие функции:
- они шифруют данные, что предотвращает их перехват и расшифровку во время прохождения http/https запроса;
- определяют необходимость установки связи веб-браузера с сайтом;
- устанавливают соединение только с надежными источниками.
Список с папками сертификатов ОС Windows
Если бы их не существовало вообще, то все устройства доверяли бы друг другу. Из-за этого было бы множество незащищенных соединений и терабайтов перехваченной, украденной информации. Если удалить все нужные сертификаты с компьютера, то в браузере будет написано, что соединение небезопасное. В таком случае не будут работать даже самые простые программы, требующие Интернет, к примеру, карта. Даже не удастся посмотреть погоду.
К сведению! Если с компьютера вынуть батарейку, и после включения сбросится дата, то практически ни один сайт не разрешит соединение. Похожее происходит при некачественных сертификатах
Для чего это нужно
Это своего рода документы, поэтому у них есть срок годности. Всё программное обеспечение развивается, добавляются новые строчки кода, расширяется функционал, исправляются баги. Это касается сертификатов. Поскольку они напрямую работают с Интернетом, то зависят от нововведений. Если меняется технология, нужно изменить все, что работает вместе с ней. Также некоторые договоренности теряют актуальность. Их нужно вовсе удалить. Кроме того, пользователи часто устанавливают ОС Windows 7, скачанную с Интернета. Есть вероятность, что сертификаты встроены еще с 2009 г.
Что же будет, если не обновлять файлы? Во-первых, теряется вся безопасность. Информация не сможет шифроваться, потому что не будет соответствующего инструмента. И есть риск стать жертвой злоумышленников. Во-вторых, сейчас 99 % всех сайтов в Интернете использует удостоверения. При установке соединения гаджеты (клиент и сервер) обмениваются данными. Если у одного не будет сертификатов, либо файлы устаревшие, то в браузере высветится соответствующая ошибка — небезопасное подключения. То же самое случится при наличии неполадок со стороны сайта. Естественно, существуют способы обойти это, но не рекомендуется это делать.
Важно! После установки новой операционной системы нужно снести старые файлы и поставить новые удостоверения, чтобы не возникло неполадок при использовании Интернета. Также желательно избавиться от неизвестных доверенностей, поскольку система нуждается только в базовых сертификатах.
Отказано в доступе при подключении
Удаление старых сертификатов на Windows
Чтобы файлы смогли обновиться, нужно удалить старые или ненужные сертификаты:
- Нажать сочетание клавиш «Win + R». Откроется окно «Выполнить». В поле нужно ввести команду «mmc» (без кавычек). Далее потребуется щелкнуть на «Ок».
- Откроется Microsoft Management Console. Это среда для управления операционной системой. В появившемся окне нужно щелкнуть на «Файл». В меню выбрать пункт «Добавить или удалить…». Должно появиться еще одно окно.
- В управлении оснастками есть два раздела. Нужно в левой части выбрать сертификаты, после чего нажать на «Добавить». Откроется менеджер по управлению сертификатами. Далее нужно выбрать первый пункт — «Моя учетная запись пользователя», нажать на «Готово».
- После этого операционная система опять откроет консоль параметров. В левой части окна нужно раскрыть вкладку «Сертификаты — текущий профиль». Далее понадобится перейти в ветку доверенных корневых центров. Внутри есть папка «Сертификаты». Нужно щелкнуть на нее левой кнопкой мыши. В окне рядом отображены все установленные корневые центры сертификаций.
- Если есть несколько файлов, начинающихся с «УЦ» (например, криптопро), то их можно удалить, поскольку они не стандартные. Это файлы удостоверяющих центров.
- Нужно выделить все пункты, нажать правую кнопку мыши, щелкнуть по «Удалить». После чего нужно подтвердить действия.
Важно! Если при попытке удалить что-либо высвечивается ошибка, то необходимо авторизоваться с учетной записи, у которой есть права администратора.
Далее нужно удалить сертификаты безопасности на Windows 7, XP, 10 для интернет-узла. Для этого нужно вернуться в консоль управления Microsoft, затем сделать следующее:
- Выбрать вкладку «Другие пользователи».
- Перейти в соответствующую папку.
- В списке под графой «Кем выдан» нужно найти то же самое УЦ, затем нажать на «Удалить».
- Далее необходимо повторно подтвердить действия.
Удаление сертификата на Windows
Обновление корневых сертификатов Windows 7, 10, XP
Чтобы установить файлы, нужно сначала их достать. Они распространяются соответствующими удостоверяющими центрами. Также нужные данные можно найти по запросу в поисковике Google. Сам файл имеет расширение *cer (от английского «certificate»). Когда сертификат будет на компьютере, понадобится щелкнуть по нему правой кнопкой мыши, после чего выбрать «Установить сертификат» в открывшемся списке. Дальнейшие действия:
- После выбора пункта с установкой у пользователя попросят подтвердить открытие. Можно снять галочку с пункта «Всегда спрашивать при открытии этого файла», но это не обязательно. Достаточно щелкнуть на «Открыть».
- В появившемся мастере импорта сертификатов необходимо выбрать «Текущий пользователь».
- Нужно нажимать «Далее» до тех пор, пока операционная система не уведомит об успешном импорте файла в список. Затем потребуется щелкнуть на «Ок».
Таким образом устанавливается основной сертификат. Однако есть еще и файл из контейнера. Инструкция такая же, однако когда появится меню с выбором хранилища, понадобится сделать следующее:
- Щелкнуть на «Обзор».
- Выбрать вкладку с доверенными корневыми центрами сертификаций.
- После этого нужно завершить установку как обычно.
Обратите внимание! Если файл не устанавливается, а вместо этого появляется окно с ошибкой и неизвестным кодом, то, скорее всего, срок годности истек, либо файл поврежден. Рекомендуется скачать доверенность еще раз.
Возможные проблемы
Существует ряд проблем, которые могут случиться при установке новых сертификатов. К ним относятся следующие:
- если отказано в доступе либо пишет, что нет прав, то нужно зайти под другой учетной записью. Вероятно, у пользователя нет нужных прав. В случае с локальным сервером предприятия сертификат сохраняется в хранилище сервера;
- ошибка импорта. Возможно, причина в поврежденном файле. Также может быть, что срок действия истек, либо ошибка в самой операционной системе;
- если сборка Windows 7 устарела, то ОС напишет, что невозможно проверить подлинность файла, поэтому нужно обновить систему;
- если на Windows XP не получается установить новые файлы, рекомендуется скачать утилиту Rootsupd. Она доступна на сайте «Касперского». Для установки сертификатов достаточно ее запустить.
Программа Rootsupd для обновления сертификатов
Регулярное обновление сертификата предотвратит появление неожиданных отказов в доступе при соединении с сайтом. Сделать это не сложно. Обновить корневые файлы помогут пошаговые инструкции выше. Главное — найти подходящий файл.
Где находится папка сертификатов в Windows 7?
вот краткий местоположение (ключи реестра и файлы):
уровне пользователя (реестр):
HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates
: содержит сертификаты настроек для текущего пользователя.
HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates
: как и в предыдущем расположении, но это соответствует сертификатам пользователя, развернутым в групповой политике.
HKEY_USERS\SID-User\Software\Microsoft\SystemCertificates
: соответствует конфигурации определенных сертификатов пользователей. Каждый пользователь имеет свою ветвь в реестре с SID (Security Identifier).
уровень компьютера (реестр):
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates
: содержит сертификаты параметров для всех пользователей компьютера.
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates
: как и в предыдущем расположении, но это соответствует сертификатам компьютера, развернутому объекту групповой политики.
уровень обслуживания (реестр):
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Services\ServiceName\SystemCertificates
: содержит сертификаты параметров для всех служб на компьютере.
уровень Active Directory (registry):
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates
: сертификаты, выпущенные на уровне Active Directory.
и есть некоторые папки и файлы, соответствующие хранилищу сертификатов Windows.
папки скрыты, а открытые и закрытые ключи расположены в разных папках.
сертификаты пользователя (файлы):
%APPDATA%\Microsoft\SystemCertificates\My\Certificates
%USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\SID
%USERPROFILE%\AppData\Roaming\Microsoft\Credentials
%USERPROFILE%\AppData\Roaming\Microsoft\Protect\SID
сертификаты компьютера (файлов):
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
извлечены от: http://www.sysadmit.com/2017/10/windows-donde-se-guardan-certificados.html
что это, для чего это нужно и какие действия с ним можно выполнить?
Рядовые пользователи с хранилищем сертификатов Windows 7 или любой другой операционной системы, относящейся к этому семейству, не сталкиваются практически никогда. Но вот системным администраторам или юзерам достаточно высокого уровня подготовки иногда бывает крайне необходимо использовать его для удаления старых документов или цифровых подписей, а также для установки новых. Зачем все это нужно и где в Windows 7 хранилище сертификатов, далее и рассмотрим. Заранее надо сказать, что обычным пользователям рассмотрение этих вопросов может понадобиться и в целях получения общей информации, и для выполнения вышеописанных действий, поскольку нельзя исключать, что они в определенной ситуации могут потребоваться.
Что такое хранилище сертификатов в операционных системах Windows?
Начнем с определения самого термина. Что представляет собой хранилище сертификатов Windows 7? По сути своей это специально отведенное место, в котором сохраняются всевозможные электронные документы, включая и цифровые подписи, но не в обычном, а в зашифрованном виде. Поскольку все объекты и в любой ОС представлены исключительно в виде файлов, это хранилище тоже можно отнести к этой категории, однако открыть его какой-то программой наподобие текстового редактора невозможно. Кроме того, само хранилище сертификатов Windows 7 разделено как бы на две части. Одна относится к зарегистрированному локальному пользователю, вторая – к компьютеру в целом. Основным же предназначением всех таких документов является обеспечение безопасности компьютерной системы, например, в плане того, чтобы в нее не проникло сомнительное, потенциально небезопасное или нежелательное программное обеспечение. Таким образом, сертификат или цифровая подпись удостоверяет подлинность и безопасность того или иного программного продукта, а в некоторых случаях может использоваться и как некий проверенный идентификатор самого пользователя.
Как открыть хранилище сертификатов Windows 7: способ первый
Что же касается доступа, во всех последних системах, начиная как раз с седьмой модификации, он может и должен производиться исключительно от имени администратора, причем, даже несмотря на то, что учетная запись суперпользователя может быть отключена. Способов осуществления доступа можно выделить три (как минимум).
Самым простым считается вызов из «Панели управления» свойств обозревателя, где на вкладке содержимого для просмотра необходимых сведений можно использовать либо кнопку сертификатов, либо кнопку отображения издателей. В первом случае обычно в списке ничего представлено не будет, поэтому нужно использовать кнопку «Дополнительно», чтобы просмотреть все доступные элементы. При просмотре издателей сразу будут показаны программные продукты, имеющие соответствующие цифровые подписи и сертификаты. Но вот неудобство такого метода доступа состоит в том, что в хранилище сертификатов Windows 7 будут показаны только те данные программ и издателей, которые в своей работе могут затребовать обращение к интернету через встроенный в систему браузер.
Доступ к сертификатам: способ второй
Для просмотра абсолютно всех сведений следует использовать специализированное средство доступа, которое вызывается из консоли «Выполнить» командой certmgr.msc, после чего запускается своеобразный менеджер.
Цифровые подписи представлены в соответствующем локальному пользователю разделе, а основной массив отображается в корневых и промежуточных центрах сертификации. Как уже, наверное, понятно, данный инструмент как раз и может выступать не только в роли средства обеспечения безопасности системы, но и сертифицировать неподписанные программные продукты.
Как удалить сертификаты из хранилища Windows 7?
Некоторые сертификаты и ЭПЦ могут устаревать. Именно поэтому их следует удалять. Естественно, без крайней необходимости рядовым пользователям заниматься такими вещами самостоятельно не нужно. Однако при выявлении конфликтов программного обеспечения иногда ничего другого просто не остается (например, если проверку подписей драйверов полностью отключить не удается). Для удаления любого компонента, представленного в менеджере, описанном для второй методики доступа, используется меню ПКМ на выбранном сертификате с последующей активацией пункта удаления.
Например, в личных сертификатах может храниться подпись Apple, хотя программное обеспечение или подключение «яблочного» девайса больше не используется. Так зачем хранить такие записи, если при повторной установке драйвера или приложения сертификат и подпись будут внесены в реестр автоматически? Очевидно, что из-за наличия таких компонентов частично как раз и засоряется системный реестр, а большинство программ-оптимизаторов такие данные не удаляют. И чем сильнее раздувается реестр, тем медленнее загружается и работает вся операционная система.
Добавление сертификата или ЭЦП
Если же речь идет о добавлении сертификатов, импорт можно выполнить при доступе к хранилищу с использованием первых двух способов. Но в случае с пользовательскими цифровыми подписями локального уровня (да еще и для установки автоматизации процесса) лучше всего воспользоваться добавлением оснастки в консоли MMC, которая вызывается из меню «Выполнить» одноименной командой.
Через файловое меню следует выбрать добавление или удаление оснастки, после этого найти пункт сертификатов в меню слева, добавить пункт в текущие оснастки нажатием кнопки правее, указать тип (для пользователя, службы или учетной записи компьютера), после чего при желании новую оснастку можно сохранить удобном месте. После вызова сохраненной настройки можно будет производить импорт сертификатов и подписей, осуществлять управление ними, изменять политики безопасности без непосредственного доступа к соответствующему разделу и т. д. без необходимости выполнения предварительных действий по добавлению оснасток в разные ветки.
Инструкция Установка личного сертификата для Windows 7 (ruToken, eToken)
Если при установке личного сертификата с ruToken или eToken в ОС Windows 7 сертификат не устанавливается, воспользуйтесь данной инструкцией.
- Запустите программу КриптоПро CSP: (Пуск > Настройка > Панель управления > КриптоПро CSP илиПуск > Панель управления > КриптоПро CSP )
- Перейдите на закладку «Сервис»
- Нажмите «Просмотреть сертификаты в контейнере«
4. Далее нажмите кнопку «Обзор»
5. В появившемся окне будет отображен список ключевых носителей, на которых присутствуют контейнеры с сертификатами
6. В списке считывателей выберете контейнер с которого необходимо установить сертификат. Затем нажмите кнопку «Ок»
7. В открывшемся окне нажмите кнопку «Далее»
8. Если откроется окно «Введите pin-код для контейнера», необходимо ввести Pin-код для носителя.
Pin-коды По умолчанию:
- ruToken 12345678
- eToken 1234567890
9. В открывшемся окне нажмите кнопку «Свойства»
10. Перейдите во вкладку «Состав», нажмите «Копировать в файл…»
11. В открывшемся окне мастера экспорта сертификатов нажмите Далее»
12. В следующем окне выберите пункт «Не экспортировать закрытый ключ», нажмите «Далее»
13. В следующем окне выберите пункт «Файлы в DER-кодировке», нажмите «Далее»
14. В открывшемся окне нажмите «Обзор», введите имя файла, нажмите «Сохранить»
15. Нажмите «Далее»
16. Нажмите «Готово»
После того, как вы скопировали сертификат, закончите установку сертификата с помощью данной инструкции – Установка личного сертификата
Источник: ФГУП ЦентрИнформ
Автоматическое обновление хранилища сертификатов доверенных корневых центров сертификации на компьютерах Windows не имеющих прямого доступа в Интернет.
Ранее уже приходилось сталкиваться с проблемой невозможности корректного развёртывания ПО из-за того, что на целевых компьютерах с OC Windows не обновляется хранилище сертификатов доверенных корневых центров сертификации (далее для краткости будем называет это хранилище TrustedRootCA). На тот момент вопрос был снят с помощью развёртывания пакета rootsupd.exe, доступного в статье KB931125, которая относилась к ОС Windows XP. Теперь же эта ОС полностью снята с поддержки Microsoft, и возможно, поэтому данная KB-статья более недоступна на сайте Microsoft. Ко всему этому можно добавить то, что уже даже на тот момент времени решение с развёртыванием уже устаревшего в ту пору пакета сертификатов было не самым оптимальным, так как тогда в ходу были системы с ОС Windows Vista и Windows 7, в которых уже присутствовал новый механизм автоматического обновления хранилища сертификатов TrustedRootCA. Вот одна из старых статей о Windows Vista, описывающих некоторые аспекты работы такого механизма — Certificate Support and Resulting Internet Communication in Windows Vista. Недавно я снова столкнулся с исходной проблемой необходимости обновления хранилища сертификатов TrustedRootCA на некоторой массе клиентских компьютеров и серверов на базе Windows. Все эти компьютеры не имеют прямого доступа в Интернет и поэтому механизм автоматического обновления сертификатов не выполняет свою задачу так, как хотелось бы. Вариант с открытием всем компьютерам прямого доступа в Интернет, пускай даже на определённые адреса, изначально рассматривался как крайний, а поиски более приемлемого решения привел меня к статье Configure Trusted Roots and Disallowed Certificates (RU), которая сразу дала ответы на все мои вопросы. Ну и, в общем то, по мотивам этой статьи, в данной заметке я кратко изложу на конкретном примере то, каким образом можно централизованно перенастроить на компьютерах Windows Vista и выше этот самый механизм авто-обновления хранилища сертификатов TrustedRootCA, чтобы он использовал в качестве источника обновлений файловый ресурс или веб-сайт в локальной корпоративной сети.
Для начала, на что нужно обратить внимание, это на то, что в групповых политиках, применяемых к компьютерам, не должен быть задействован параметр блокирующий работу механизма авто-обновления. Это параметр Turn off Automatic Root Certificates Update в разделе Computer Configuration > Administrative Templates > System > Internet Communication Management > Internet Communication settings. Нам потребуется, чтобы этот параметр был Выключен, либо просто Не настроен.
Если взглянуть на хранилище сертификатов TrustedRootCA в разделе Локальный компьютер, то на системах, не имеющих прямого доступа в Интернет, набор сертификатов будет прямо так скажем небольшой:
В статье KB2677070 — Доступно автоматическое обновление отозванных сертификатов для систем Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 можно найти актуальные на данный момент ссылки на файлы, прямой доступ к которым (минуя прокси с требованием аутентификации) может потребоваться для функций авто-обновления:
Но вариант прямого доступа в рамках данной заметки мы больше упоминать не станем и рассмотрим пример локализации процесса обновления в соответствии с ранее упомянутой статьёй.
Первое, что нам нужно сделать, это рассмотреть варианты получения актуальных файлов набора корневых сертификатов для их дальнейшего распространения внутри локальной сети.
Попробуем на компьютере имеющем прямое подключение к Интернету выполнить команду генерации SST файла, который будет в себе содержать актуальный набор файлов корневых сертификатов. В данном случае на компьютере с Windows 10 выполняется команда, вызывающая входящую в базовый состав ОС утилиту Certutil, которая в свою очередь обращается к веб-узлу Microsoft и создаёт по указанному нами пути SST файл:
Certutil -generateSSTFromWU C:\Temp\WURoots.sst
Полученный в результате выполнения команды SST-файл по сути является контейнером, который содержит в себе все сертификаты для нужного нам обновления системы. Этот контейнер легко открывается в Проводнике Windows загружая ассоциированную с расширением файла оснастку управления сертификатами.
Этот файл удобно использовать, например, когда из всего подмножества доступных сертификатов нужно выбрать лишь некоторый набор и выгрузить их в отдельный SST файл для дальнейшей загрузки, например, с помощью консоли управления локальными сертификатами или с помощью консоли управления групповыми политиками (для импорта в какую-либо доменную политику через параметр Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities).
Однако для интересующего нас способа распространения корневых сертификатов, с помощью модификации работы механизма авто-обновления на конечных клиентских компьютерах, нам потребуется несколько иное представление множества актуальных корневых сертификатов. Получить его можно с помощью всё той же утилиты Certutil, но уже с другим набором ключей.
В нашем примере в качестве локального источника распространения будет использована общая сетевая папка на файловом сервере. И здесь важно обратить внимание на то, что при подготовке такой папки обязательно нужно ограничивать доступ на запись, чтобы не получилось так, что любой желающий сможет модифицировать набор корневых сертификатов, которые потом будут «разливаться» по множеству компьютеров.
Certutil -syncWithWU -f -f \\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment\
Ключи -f -f используются для форсированного обновления всех файлов в каталоге назначения.
В результате выполнения команды в указанной нами сетевой папке появится множество файлов общим объемом примерно в пол мегабайта:
Согласно ранее упомянутой статьи, назначение файлов следующее:
- Файл authrootstl.cab содержит сторонние списки доверия сертификатов;
- Файл disallowedcertstl.cab содержит список доверия сертификатов с недоверенными сертификатами;
- Файл disallowedcert.sst содержит хранилище сериализованных сертификатов, включая недоверенные сертификаты;
- Файлы с именами типа thumbprint.crt содержат сторонние корневые сертификаты.
Итак, файлы необходимые для работы механизма авто-обновления получены, и мы теперь переходим к реализации изменения схемы работы этого самого механизма. Для этого, как всегда, нам на помощь приходят доменные групповые политики Active Directory (GPO), хотя можно использовать и другие инструменты централизованного управления, весь всё, что нам нужно сделать на всех компьютерах — это изменить, вернее добавить, всего один параметр реестра RootDirURL в ветке HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate, который и определит путь к нашему сетевому каталогу, в котором мы ранее разместили набор файлов корневых сертификатов.
Говоря о настройке GPO, для реализации поставленной задачи, опять же, можно использовать разные варианты. Например, есть «олд-скульный» вариант с созданием собственного шаблона групповой политики, так как это описано в уже знакомой нам статье. Для этого создадим файл в формате административного шаблона GPO (ADM), например, с именем RootCAUpdateLocalPath.adm и содержимым:
CLASS MACHINE CATEGORY !!SystemCertificates KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" POLICY !!RootDirURL EXPLAIN !!RootDirURL_help PART !!RootDirURL EDITTEXT VALUENAME "RootDirURL" END PART END POLICY END CATEGORY [strings] RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com" RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files." SystemCertificates="Windows AutoUpdate Settings"
Скопируем этот файл на контроллер домена в каталог %SystemRoot%\inf (как правило, это каталог C:\Windows\inf). После этого перейдём в редактор доменных групповых политик и создадим отдельную новую политику, открыв затем её на редактирование. В разделе Computer Configuration > Administrative Templates… откроем контекстное меню и выберем пункт подключения нового шаблона политик Add/Remove Templates
В открывшееся окне с помощью кнопки обзора выберем ранее добавленный файл %SystemRoot%\inf\RootCAUpdateLocalPath.adm, и после того, как шаблон появится в списке, нажмём Close.
После проделанного действия в разделе Configuration > Administrative Templates > Classic Administrative Templates (ADM) появится группа Windows AutoUpdate Settings, в которой будет доступен единственный параметр URL address to be used instead of default ctldl.windowsupdate.com
Откроем этот параметр и введём путь к локальному ресурсу, на котором мы расположили загруженные ранее файлы обновления, в формате http://server1/folder или file://\\server1\folder,
например file://\\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment
Сохраним проделанные изменения и применим созданную политику к доменному контейнеру, в котором расположены целевые компьютеры. Однако рассмотренный метод настройки GPO имеет ряд недостатков и именно поэтому я назвал его «олд-скульным».
Другой, более современный и более продвинутый метод настройки реестра клиентов — это использование Group Policy Preferences (GPP). При таком варианте мы можем создать соответствующий объект GPP в разделе групповой политики Computer Configuration > Preferences > Registry с обновлением параметра (Action: Update) реестра RootDirURL (тип значения REG_SZ)
При необходимости можем для созданного параметра GPP включить гибкий механизм нацеливания (Закладка Common > Опция Item-level targeting) на конкретный компьютер или группу компьютеров для предварительного тестирования того, что у нас в конечном итоге получиться после применения групповых политик.
Разумеется, нужно выбрать какой-то один вариант, либо с подключением собственного ADM-шаблона, либо с использованием GPP.
После настройки групповых политик на любом подопытном клиентском компьютере выполним обновление командой gpupdate /force c последующей перезагрузкой. После загрузки системы проверим в реестре наличие созданного ключа и попробуем проверить наличие факта обновления хранилища корневых сертификатов. Для проверки воспользуемся простым но действенным примером описанным в заметке Trusted Roots and Disallowed Certificates.
Для примера посмотрим, есть ли в хранилище сертификатов компьютера корневой сертификат, использованный для выпуска сертификата, который установлен на сайте с именем buypass.no (но на сам сайт пока не переходим :)).
Сделать это удобнее всего с помощью средств PowerShell:
Get-ChildItem cert:\localmachine\root | Where {$_.friendlyname -like "*Buypass*"}
С большой долей вероятности у нас не окажется такого корневого сертификата. Если так, то откроем Internet Explorer и обратимся к URL https://buypass.no. И если настроенный нами механизм автоматического обновления корневых сертификатов работает успешно, то в event-логе Windows Application при это появится событие c источником (Source) CAPI2, свидетельствующее об успешной загрузке нового корневого сертификата :
Имя журнала: Application Источник: Microsoft-Windows-CAPI2 Дата: 04.08.2016 18:20:45 Код события: 4097 Категория задачи:Отсутствует Уровень: Сведения Ключевые слова:Классический Пользователь: Н/Д Компьютер: KOM-WS306.holding.com Описание: Успешное автоматическое обновление стороннего корневого сертификата:: субъект: < CN=Buypass Class 3 Root CA, O=Buypass AS-983163327, C=NO > ; отпечаток SHA1: < DAFAF7FA6684EC068F1450BDC7C281A5BCA96457 > .
После этого мы можем снова выполнить указанную ранее команду запроса к хранилищу корневых сертификатов и увидим, что теперь в нём действительно появился новый корневой сертификат, именно тот который фигурировал в событии event-лога Windows:
Как видим, механизм авто-обновления работает и теперь всё, что остаётся, это организовать поддержку в актуальном состоянии файлов в сетевой папке, запланировав, например на ночное время, ежесуточное выполнение задания обновления ранее упомянутой командой:
Certutil -syncWithWU -f -f \\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment\
На этом всё.
Дополнительные источники информации:
Поделиться ссылкой на эту запись:
Похожее
Что такое корневые сертификаты для Windows👨⚕️ — Information Security Squad
Сертификаты — это как подтверждение того, что отправленное вам сообщение является оригинальным и не подделано.
Конечно, есть способы подделать подтверждения, такие как сертификат SuperFish от Lenovo, и мы поговорим об этом позже.
В этой статье объясняется, что такое корневые сертификаты в Windows и нужно ли их обновлять, поскольку Windows всегда показывает их как некритические обновления.
Как работает криптография с открытым ключом
Прежде чем говорить о корневых сертификатах, необходимо посмотреть, как работает криптография в случае веб-коннекта, между веб-сайтом и браузерами или между двумя людьми в форме сообщений.
Существует много типов криптографии, из которых два являются существенными и широко используются для различных целей.
- Симметричная криптография используется там, где у вас есть ключ, и только этот ключ может быть использован для шифрования и дешифрования сообщений (в основном используется для электронной почты)
- Асимметричная криптография, где есть два ключа. Один из этих ключей используется для шифрования сообщения, в то время как другой ключ используется для расшифровки сообщения.
Криптография с открытым ключом имеет открытый и закрытый ключи.
Сообщения могут быть декодированы и зашифрованы с использованием любого из двух.
Использование обоих ключей имеет важное значение для завершения связи.
Открытый ключ виден всем и используется, чтобы убедиться, что источник сообщения точно такой же, кем и является.
Открытый ключ шифрует данные и отправляется получателю, имеющему открытый ключ.
Получатель расшифровывает данные с помощью закрытого ключа.
Установлены доверительные отношения, и общение продолжается.
И открытый, и закрытый ключи содержат информацию об органах выдачи сертификатов, таких как EquiFax, DigiCert, Comodo и т. д.
Если ваша операционная система считает, что центр выдачи сертификатов заслуживает доверия, сообщения отправляются туда и обратно между браузером и веб-сайтами.
Если возникла проблема с идентификацией органа, выдавшего сертификат, или если срок действия открытого ключа истек или поврежден, вы увидите сообщение о том, что существует проблема с сертификатом веб-сайта.
Говоря о криптографии с открытым ключом, это похоже на банковское хранилище.
Он имеет два ключа — один с менеджером филиала и один с пользователем хранилища.
Хранилище открывается только в том случае, если две клавиши используются и совпадают.
Аналогично, открытый и закрытый ключи используются при установлении соединения с любым веб-сайтом.
Что такое корневые сертификаты в Windows?
Корневые сертификаты — это основной уровень сертификатов, который сообщает браузеру, что связь является подлинной.
Эта информация о том, что сообщение является подлинным, основана на идентификации органа по сертификации.
Ваша операционная система Windows добавляет несколько корневых сертификатов в качестве доверенных, чтобы ваш браузер мог использовать их для связи с веб-сайтами.
Это также помогает в шифровании обмена данными между браузерами и веб-сайтами и автоматически делает другие сертификаты действительными.
Таким образом, сертификат имеет много филиалов.
Например, если установлен сертификат от Comodo, он будет иметь сертификат верхнего уровня, который поможет веб-браузерам зашифрованным образом взаимодействовать с веб-сайтами.
В качестве ветви сертификата Comodo также включает сертификаты электронной почты, которым браузеры и почтовые клиенты будут автоматически доверять, поскольку операционная система пометила корневой сертификат как доверенный.
Корневые сертификаты определяют необходимость открытия сеанса связи с веб-сайтом.
Когда веб-браузер подходит к веб-сайту, сайт дает ему открытый ключ.
Браузер анализирует ключ, чтобы узнать, кто является центром выдачи сертификатов, доверен ли этот орган в соответствии с Windows, срок действия сертификата (если сертификат все еще действителен) и тому подобное, прежде чем переходить на связь с веб-сайтом.
Если что-то выходит из строя, вы получите предупреждение, и ваш браузер может заблокировать все коммуникации с веб-сайтом.
С другой стороны, если все в порядке, сообщения отправляются и принимаются браузером по мере связи.
При каждом входящем сообщении браузер также проверяет сообщение с помощью своего личного ключа, чтобы убедиться, что оно не является мошенническим.
Он отвечает только в том случае, если может расшифровать сообщение, используя собственный закрытый ключ. Таким образом, оба ключа необходимы для продолжения связи.
Кроме того, все сообщения передаются в зашифрованном режиме.
Заключение
Корневые сертификаты важны для того, чтобы ваши браузеры могли общаться с веб-сайтами.
Если вы удалите все доверенные сертификаты из любопытства или в целях безопасности, вы всегда будете получать сообщение о том, что у вас ненадежное соединение.
Вы можете загрузить доверенные корневые сертификаты с помощью программы корневых сертификатов Microsoft Windows, если считаете, что у вас нет всех необходимых корневых сертификатов.
Вы должны всегда проверять некритические обновления время от времени, чтобы видеть, доступны ли обновления для корневых сертификатов. Если да, загрузите их только с помощью Центра обновления Windows, а не со сторонних сайтов.
Также существуют поддельные сертификаты, но шансы на получение поддельных сертификатов ограничены — только когда производитель вашего компьютера добавляет один в список доверенных корневых сертификатов, как это сделала Lenovo, или когда вы загружаете корневые сертификаты со сторонних веб-сайтов.
Лучше придерживаться Microsoft и позволить ей обрабатывать корневые сертификаты, а не самостоятельно устанавливать их из любой точки Интернета.
Вы также можете увидеть, является ли корневой сертификат доверенным, открыв его и выполнив поиск по названию органа, выдавшего сертификат.
Если авторитет кажется известным, вы можете установить его или сохранить.
Если вы не можете разглядеть орган, выдавший сертификат, лучше удалить его.
См. также
RCC: бесплатный сканер для сканирования корневых сертификатов Windows на наличие ненадежных
Обновление корневых сертификатов в Windows – DOGM.NET
В операционных системах семейства Windows, начиная с Windows 7, присутствует система автоматического обновления корневых сертификатов с сайта Microsoft. MSFT в рамках программы Microsoft Trusted Root Certificate Program, ведет и публикует в своем онлайн хранилище список сертификатов для клиентов и устройств Windows. В том, случае если проверяемый сертификат в своей цепочке сертфикации относится к корневому CA, который участвует в этой программе, система автоматически скачает с узла Windows Update и добавит такой корневой сертификат в доверенные.
В том случае, если у Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневой сертификат, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия), либо с установкой / запуском подписанных приложений или скриптов.
В этой статье попробуем разобраться, как можно вручную обновить список корневых сертификатов в TrustedRootCA в изолированных системах, или системах без прямого подключения к интернету.
Примечание. В том случае, если пользователи получают доступ в интернет через прокси сервер, для того, что работало автоматическое обновление корневых сертификатов на компьютера пользователей, Microsoft рекомендует открыть прямой доступ (bypass) к узлам Microsoft. Но это не всегда возможно/применимо.
Утилита rootsupd.exe
В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe, список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates). Посмотрим, можно ли использовать ли ее сейчас.
- Скачайте утилиту rootsupd.exe, перейдя по ссылке http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe (по состоянию на 15.09.2017 ссылка не работает, возможно в Microsoft решили убрать ее из общего доступа).
- Для установки сертификатом, достаточно запустить файл. Но мы попробуем более внимательно рассмотреть его содержимое, распаковав его с помощью команды:
rootsupd.exe /c /t: C:\PS\rootsupd
- Сертификаты содержатся в SST файлах: authroots.sst, delroot.sst и т.п. Для удаления/установки сертификатов можно воспользоваться командами:
updroots.exe authroots.sst
updroots.exe -d delroots.sst
Но, как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до окончания официальной поддержки Windows XP). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов.
Получения списка корневых сертификатов с узла Windows Update с помощью Certutil
Последняя версия утилиты для управления и работы с сертификатам Certutil (представленная в Windows 10), позволяет скачать и сохранить в SST файл актуальный список корневых сертификатов.
Для генерации SST файла, на компьютере Windows 10 с прямым доступом в Интернет, выполните с правами администратора команду:
certutil.exe -generateSSTFromWU roots.sst
В результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий сертификаты.
Как вы видите, откроется знакомая оснастка управления сертификатами, из которой вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 358 элементов. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.
Для установки всех сертификатов, содержащихся в файле, воспользуемся утилитой updroots.exe (она содержится в архиве rootsupd.exe, который мы распаковали в предыдущем разделе).
Установка сертификатов из STT фалйла выполняется командой:
updroots.exe roots.sst
Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority.
Список корневых сертификатов в формате STL
Есть еще один способ получения списка сертификатов с сайта Microsoft. Для этого нужно скачать файл http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (обновляется дважды в месяц).С помощью любого архиватора (или проводника Windows) распакуйте содержимое архива authrootstl.cab. Он содержит один файл authroot.stl.
Файл authroot.stl представляет собой контейнер со списком доверенных сертификатов в формате Certification Trust List.
Данный файл можно установить в системе с помощью контекстного меню файла STL (Install CTL).
Или с помощью утилиты certutil:
certutil -addstore -f root authroot.stl
После выполнения команды, в консоли управления сертификатами (certmgr.msc) в контейнере Trusted Root Certification Authorities появится новый раздел с именем Certificate Trust List.
Аналогичным образом можно скачать и установить список с отозванными сертификатами, которые были исключены из программы Root Certificate Program. для этого, скачайте файл disallowedcertstl.cab (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), распакуйте его и добавьте в раздел Untrusted Certificates командой:
certutil -addstore -f disallowed disallowedcert.stl
В это статье мы рассмотрели несколько простейших способов обновления списка корневых сертификатов на изолированной от Интернета системе Windows. В том случае, если возникла задача регулярного обновления корневых сертификатов в отделенном от внешней сети домене, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. Об этом подробнее в одной из ближайших статей.
(с)winitpro
Сертификат
Windows 7 — Скачать бесплатно сертификат Windows 7
Цена: БЕСПЛАТНО / Бесплатное ПО
Сертификат SSL Downloader — это бесплатный инструмент командной строки для удаленного получения сертификата SSL с сервера.Его можно использовать для …
Цена: БЕСПЛАТНО / Бесплатное ПО
SSL Cert Scanner — это БЕСПЛАТНЫЙ инструмент сканера сертификатов SSL , который может помочь вам удаленно…
Цена: $ 19.95 / условно-бесплатная.
Сканер NetScanTools SSL Certificate Scanner показывает сертификат SSL s веб-сервера с веб-сайтов или внутренних веб-серверов компании.Несколько …
Цена: $ 99.95 / Демо
Сетевой сертификат SSL Сканер (NetCertScanner) — это корпоративное программное обеспечение для поиска истекающих / просроченных / уязвимых / мошеннических сертификатов SSL в вашей локальной сети или в Интернете.Вот …
Цена: БЕСПЛАТНО / Бесплатное ПО
… бесплатный инструмент для просмотра всех установленных сертификатов SSL s из локального системного магазина. В настоящее время это возможно…
Цена: $ 4,99 / условно-бесплатная.
Это программное обеспечение предлагает решение для пользователей, которые хотят создать документ MS Word для …
Цена: БЕСПЛАТНО / Бесплатное ПО
… Vista, 2008, 7, 8, 2008 (r2), 2012 — Сертификат шифрования …
Цена: $ 29.00 / Пробная версия
TekCERT — это генератор самоподписанных сертификатов для Windows.TekCERT протестирован в Microsoft Windows … удобное приложение для управления сертификатом s. Главное окно довольно компактно, но хорошо организовано …
Цена: БЕСПЛАТНО / Бесплатное ПО
… Бесплатная программа позволяет извлекать сертификат X.509 из любого подписанного EXE-файла (32- и 64-разрядного) …
Цена: $ 95.00 / условно-бесплатная
TekCERT — это сертификат X.509 Сертификат / Сертификат Генератор запросов на подпись (CSR) и Генератор средств подписи … Сервер). Создает 1024, 2048, 3072 и 4096 бит сертификат с. Sha-1 с RSAEncryption, sha256withRSAEncryption, sha384withRSAEncryption и sha512withRSAEncryption алгоритмы ключа поддерживаются. …
Цена: 399 долларов.00 / Демо
Stock Works является держателем акций и сертификатом Программное обеспечение для отслеживания для Small Business Corporation. Если вы отслеживаете акционеров и акции , сертификат s для малого бизнеса и вашей компании …
Цена: 59 долларов.00 / Условно-бесплатная
… программа для подписи PDF-документов с использованием сертификата X.509 s. Поддерживаемый идентификатор подписи — PKCS # 12, который эволюционировал …
Цена: 29 долларов.00 / Демо
… он может связать ваши программы с цифровым сертификатом , чтобы пользователи подтвердили, что ваше приложение …
Цена: БЕСПЛАТНО / с открытым исходным кодом
… Чтобы зашифровать PDF-документ, подпишите их с помощью сертификата и отметьте время подписи. Все эти функции …
Цена: БЕСПЛАТНО / Бесплатное ПО
… Файлы — Цифровая подпись с нашим персональным цифровым сертификатом — Совместимость со стандартом обмена подписью PDF — поддерживает ПК / SC …
Цена: $ 29.00 / условно-бесплатная
… Особенности: Надежное шифрование с поддержкой AES256 (по умолчанию). Сертификат на основе Zip Encryption поддерживается для остановки пароля …
Цена: $ 29.00 / условно-бесплатная
… Надежное шифрование AES128 и AES256 — Пароль и сертификат Поддерживается шифрование на основе — Поддерживается гибридный режим. Вы …
Цена: БЕСПЛАТНО / Бесплатное ПО
Этот инструмент создает самоподписанный тестовый сертификат s (X.509 v3) для личного пользования. Это очень … и вы можете зашифровать свои данные с помощью этого сертификата . Функциональный диапазон: 1. Генерация самоподписанных X.509 v3 …
Цена: $ 99.00 / условно-бесплатная.
… расшифровать, проверить и подписать). Поддерживает файл и реестр , сертификаты, хранилищ, файлы PFX, цифровые подписи. MailBee S / MIME может …
Цена: $ 29.00 / условно-бесплатная
Банковское дело, учетная запись электронной почты и вход в Windows — это лишь некоторые примеры использования пароля….
Цена: $ 38.00 / условно-бесплатная
… также администрируется с использованием сертификата X.509- с, тогда как множество сертификатов с, смарт-карт или токенов поддерживаются abylon…
Цена: $ 85,83 / условно-бесплатная.
… с помощью бесплатного Adobe Reader 6 или выше. Сертификат зашифрованных документов нельзя передать на…
Цена: БЕСПЛАТНО / Бесплатное ПО
… приложение предназначено для создания и управления сертификатом X.509 s, сертификатом запросов, закрытыми ключами RSA, DSA и EC,…
Цена: $ 199.00 / условно-бесплатная.
… работать с DomainKeys / DKIM, S / MIME, SSL / TLS, публичным и частным сертификатом s (включая PFX), использовать MailBee.NET SMTP / POP3 / IMAP компоненты для подключения …
Цена: $ 25,50 / условно-бесплатная.
… Страховая карта »или для профессионалов используйте сертификат , смарт-карту или USB-токен различных поставщиков.Наконец …
Цена: $ 75.00 / условно-бесплатная
… (например, PKCS, OpenSSL, с использованием различных алгоритмов — RSA / DSA …), Certificate s и Certificate s Chains, просмотр файлов CRL и CSR…
Цена: $ 674.00 / Демо
… компонент DKIM; — клиент SFTP (SSH); — x509 Сертификат управления ; — авторизация OAUTH 2.0; — Клиент REST…
Цена: $ 674.00 / Демо
… компонент DKIM; — клиент SFTP (SSH); — x509 Сертификат управления ; — авторизация OAUTH 2.0; — Клиент REST…
Цена: БЕСПЛАТНО / Бесплатное ПО
… зашифровать PDF-документ, подписать его с помощью цифрового сертификата и поставить отметку времени для подписи. EzPDFsign соответствует PDF…
Цена: $ 674.00 / Демо
… компонент DKIM; — клиент SFTP (SSH); — x509 Сертификат управления ; — авторизация OAUTH 2.0; — Клиент REST…
.
Создание CSR и установка сертификата SSL
Создание CSR и установка сертификата SSL на Windows Server 2008
Используйте инструкции на этой странице, чтобы создать запрос на подпись сертификата (CSR), а затем установить сертификат SSL в IIS 7 на Windows Server 2008.
- Чтобы создать CSR, см. IIS 7: Как создать CSR в Windows Server 2008.
- Чтобы установить сертификат SSL, см. IIS 7: Как установить и настроить сертификат SSL в Windows Server 2008.
Если вы ищете более простой способ создания CSR и установки сертификатов SSL и управления ими, мы рекомендуем использовать утилиту DigiCert® Certificate Utility для Windows. Вы можете использовать утилиту DigiCert для создания CSR и установки сертификата SSL. См. Раздел Windows Server 2008: создание CSR и установка сертификата SSL с помощью утилиты DigiCert.
Шаг 1. Создайте CSR в IIS 7 на Windows Server 2008
Хотите посмотреть, как это делается? Посмотрите наше видео-пошаговое руководство по IIS 7 CSR.
Видеообзор CSR для IIS 7
В меню «Пуск » Windows найдите Internet Information Services (IIS) Manager и откройте его (щелкните Administrative Tools> Internet Information Services (IIS) Manager ).
На панели Connections найдите и щелкните сервер.
На домашней странице сервера (центральная панель) в разделе IIS дважды щелкните Сертификаты сервера .
В меню Действия (правая панель) щелкните Создать запрос на сертификат .
В мастере Request Certificate на странице Distinguished Name Properties введите информацию, указанную ниже, и нажмите Next .
Общее название: Полное доменное имя (FQDN) (e.г., www.example.com ). Организация: Официально зарегистрированное название вашей компании (например, YourCompany, Inc. ). Организационная единица: Название вашего отдела в организации. Эта запись обычно отображается как «ИТ», «Веб-безопасность» или просто остается пустой. Город: Город, в котором находится ваша компания. Штат / провинция: Штат / провинция, в которой находится ваша компания. Страна / регион: Страна / регион, в котором находится ваша компания. Используйте раскрывающийся список, чтобы выбрать свою страну. На странице Свойства поставщика криптографических служб укажите информацию, указанную ниже, и нажмите Далее .
Поставщик криптографических услуг: В раскрывающемся списке выберите Microsoft RSA SChannel Cryptographic Provider (если у вас нет конкретного поставщика криптографии). Длина долота: В раскрывающемся списке выберите 2048 (если у вас нет особых причин для использования большей длины в битах). На странице Имя файла в разделе Укажите имя файла для запроса сертификата. нажмите кнопку … , чтобы указать место для сохранения вашего CSR.
Примечание: Запомните имя файла и место сохранения вашего файла CSR.Если вы введете имя файла без указания местоположения, ваш CSR будет сохранен в C: \ Windows \ System32 .
Когда вы закончите, нажмите Finish .
Откройте файл CSR с помощью текстового редактора (например, Блокнота), затем скопируйте текст (включая —— НАЧАТЬ ЗАПРОС СЕРТИФИКАТА —— и —— КОНЕЦ НОВОГО ЗАПРОСА СЕРТИФИКАТА— — тегов) и вставьте его в форму заказа DigiCert.
После получения сертификата SSL от DigiCert вы можете его установить.
Шаг 2. Установите и настройте сертификат SSL в IIS 7 в Windows Server 2008
Если вы еще не создали CSR и не заказали сертификат, см. IIS 7: Как создать CSR в Windows Server 2008.
После того, как мы проверим и выдадим ваш сертификат SSL, вам необходимо установить его на сервере Windows 2008, на котором был сгенерирован CSR. Затем вам необходимо настроить сервер для его использования.
Как установить сертификат SSL и настроить сервер для его использования
Хотите посмотреть, как это делается? Посмотрите видео об установке SSL-сертификата IIS 7, как это сделать.
Видеообзор установки IS 7
На сервере, на котором вы cr
Установите сертификат SSL
.