Управление сертификатами в windows 10: Как посмотреть и удалить их в Windows 10

Как посмотреть и удалить их в Windows 10

Цифровые сертификаты — это небольшие файлы, которые содержат ряд личной и частной информации, как наши данные, учетные данные для доступа и т. п. Цифровые сертификаты используется для идентификации нас через Интернет, чтобы мы могли подтвердить свою личность и выполнять все виды запросов и Интернет-менеджменте. Когда мы устанавливаем сертификат в Windows 10, он устанавливается в защищенном разделе операционной системы, и когда приложение будет нуждаться в каком-либо сертификате, то оно будет запрашивать доступ к нему, чтобы использовать его.

Одним из наиболее распространенных применений этих сертификатов является их использование в Google Chrome. К примеру, на государственных сайтов для личного доступа к базам данным нужен сертификат. Этот сертификат вам выдает гос. сайт и его нужно будет установить. Без него вы не сможете получить доступ к базе, функциям, или даже к самому сайту. Многие приложения устанавливают собственные сертификаты для внесения изменений в оборудование. Они служат для обеспечения того, чтобы приложение было законным и надежным. Они также используются для подписи трафика, которым обмениваются серверы. Даже Windows имеет свои собственные корневые сертификаты, которые обеспечивают нормальную работу операционной системы, и такие функции, как Центр обновления Windows, можно безопасно использовать.

Как посмотреть установленные цифровые сертификаты в Windows 10

1. Посмотрим сертификаты для оборудования, сгенерированными Microsoft и другими разработчиками для правильного функционирования компьютера. Они доступны для всех пользователей.

Нажмите сочетание клавиш Win + R и введите certlm.msc, чтобы открыть сертификаты.

Далее вы увидите сертификаты и разные категории. В зависимости от назначения каждого сертификата они будут храниться в том или ином каталоге.

2. Если вы хотите просмотреть личные сертификаты, которые доступны только текущему пользователю на данной учетной записи, то нажмите Win + R и введите certmgr.msc, чтобы открыть этот персональный менеджер сертификатов. Мы найдем все личные сертификаты, которые являются эксклюзивными для нашего пользователя. В частности, в папке «Личное» мы найдем все это.

Как удалить сертификат в Windows 10

Если вам нужно удалить какой-либо сертификат, что я не рекомендую, то просто найдите его и нажмите на нем правой кнопкой мыши, после чего «Удалить». Иногда бывает так, что сертификаты становятся криво или повреждаются, в этом случае нужно будет удалить и заново установить.

comments powered by HyperComments

Certmgr.msc или диспетчер сертификатов в Windows 10/8/7

Диспетчер сертификатов или Certmgr.msc в Windows позволяет просматривать сведения о ваших сертификатах, экспортировать, импортировать, изменять, удалять или запрашивать новые сертификаты. Корневые сертификаты — это цифровые документы, используемые для управления сетевой аутентификацией и обменом информацией.

Управление сертификатами с помощью диспетчера сертификатов или Certmgr.msc

Консоль диспетчера сертификатов является частью консоли управления Microsoft в Windows 10/8/7. MMC содержит различные инструменты, которые можно использовать для функций управления и обслуживания. Как упоминалось ранее, используя certmgr.msc, вы можете просматривать свои сертификаты, а также изменять, импортировать, экспортировать, удалять или запрашивать новые.

Для управления сертификатами в меню WinX в Windows выберите «Выполнить». Введите certmgr.msc в поле «Выполнить» и нажмите Enter. Помните, что вам нужно будет войти в систему как администратор. Диспетчер сертификатов откроется.

Вы увидите, что все сертификаты хранятся в разных папках в разделе Сертификаты — текущий пользователь . Когда вы откроете любую папку сертификатов, вы увидите, что сертификаты отображаются на правой панели. На правой панели вы увидите такие столбцы, как «Выдан», «Выдан», «Срок действия», «Назначение», «Понятное имя», «Статус» и «Шаблон сертификата». В столбце «Предполагаемые цели» указано, для чего используется каждый сертификат.

Используя диспетчер сертификатов, вы можете запросить новый сертификат с тем же ключом или другим ключом. Вы также можете экспортировать или импортировать сертификат. Чтобы выполнить какое-либо действие, выберите сертификат, щелкните меню «Действие»> «Все задачи», а затем щелкните нужную команду действия. Вы также можете щелкнуть правой кнопкой мыши контекстное меню, чтобы выполнить эти действия.

Если вы хотите экспортировать или импортировать сертификаты , откроется простой в использовании мастер, который выполнит необходимые действия.

Следует отметить, что Certmgr.msc является оснасткой консоли управления Microsoft, тогда как Certmgr.exe является утилитой командной строки. Если вы хотите узнать о параметрах командной строки в certmgr.exe, вы можете посетить MSDN.

Прочтите это, если получите. Проблема с сертификатом безопасности этого веб-сайта в сообщении IE.

Управление доверенными корневыми сертификатами в Windows 10/8

В одной из наших предыдущих публикаций мы увидели, что такое корневые сертификаты . Могут быть случаи, когда некоторые компании или пользователи могут чувствовать необходимость управлять и настраивать доверенные корневые сертификаты, чтобы другие пользователи в домене не могли настраивать свой собственный набор. В этом посте мы увидим, как управлять доверенными корневыми сертификатами и добавлять сертификаты в хранилище доверенных корневых центров сертификации в Windows 10/8.1.

Управление доверенными корневыми сертификатами в Windows

Чтобы добавить сертификаты в хранилище доверенных корневых центров сертификации для локального компьютера , в меню WinX в Windows 10/8.1 откройте окно «Выполнить» и введите mmc и нажмите Enter, чтобы открыть Microsoft Management Control.

Нажмите ссылку меню «Файл» и выберите «Добавить/удалить оснастку». Теперь в разделе «Доступные оснастки» нажмите Сертификаты и нажмите «Добавить».

Нажмите ОК. В следующем диалоговом окне выберите Учетная запись компьютера , а затем нажмите Далее.

Теперь выберите Локальный компьютер и нажмите «Готово».

Теперь вернувшись в MMC, в дереве консоли дважды щелкните Сертификаты , а затем щелкните правой кнопкой мыши Хранилище доверенных корневых центров сертификации . В разделе Все задачи выберите Импорт .

Откроется мастер импорта сертификатов.

Следуйте инструкциям мастера, чтобы завершить процесс.

Теперь давайте посмотрим, как настроить и доверенные корневые сертификаты для локального компьютера . Откройте MMC, нажмите ссылку меню «Файл» и выберите «Добавить/удалить оснастку». Теперь в разделе «Доступные оснастки» нажмите Редактор объектов групповой политики и нажмите кнопку Добавить. Выберите компьютер, локальный объект групповой политики которого вы хотите редактировать, и нажмите «Готово»/«ОК».

Теперь вернитесь в дерево консоли MMC, перейдите к Политике локального компьютера> Конфигурация компьютера> Параметры Windows> Параметры безопасности. Далее Политики открытых ключей . Дважды щелкните «Параметры проверки пути сертификата» и перейдите на вкладку «Хранилища».

Здесь установите флажки Определить эти параметры политики , Разрешить использование доверенных корневых центров сертификации для проверки сертификатов и Разрешить пользователям доверять сертификатам равноправного доверия . .

Наконец, на вкладке «Хранилища»> «Хранилища корневых сертификатов» выберите один из вариантов в разделе Корневые центры сертификации, которым клиентские компьютеры могут доверять , и нажмите «ОК». Если вы сомневаетесь, используйте рекомендованный вариант.

Чтобы узнать, как управлять доверенными корневыми сертификатами для домена и как добавить сертификаты в хранилище доверенных корневых центров сертификации для домена , посетите Technet strong. >.

RCC — это бесплатный сканер корневых сертификатов, который может помочь вам сканировать корневые сертификаты Windows на наличие ненадежных.

Где хранятся сертификаты в Windows 7 и 10: как посмотреть установленные, менеджер

Для основной массы пользователей знания о хранилищах сертификатов не пригодятся. На практике с этой функцией Виндовс сталкиваются системные администраторы и хорошо подготовленные пользователи. Именно им время от времени приходится удалять ненужные, но важные зашифрованные документы, цифровые подписи и другую секретную информацию. Также на их ответственности и установка новых секретных документов.

Что такое хранилище сертификатов в Windows системах

Термин «хранилище сертификатов» можно расшифровать как часть оперативной памяти ПК, где помещена на хранение самая секретная зашифрованная информация.  К таковой относятся:

• учетные данные;
• доступ к определенным программным продуктам.

Хранилище сертификатов

Сертификаты служат для идентификации человека посредством сети интернет, после чего он сможет подтвердить допуск к определенным утилитам.

Доступ к секретным документам имеют единицы. Хранилище, как объект ОС, можно обозначить как отдельный файл, но для его открытия используются совсем другие средства, нежели доступные многим программы.

Хранилище имеет два отдельных раздела. В одном хранятся личные данные пользователя, в другом – средства идентификации самого компьютера. Сохранение происходит локально для каждого ПК и для каждого пользователя, который работает на нем.

У файла сертификата расширение .cer или .csr. Он занимает совсем немного места. Объем занятой памяти не превышает нескольких килобайт. Кстати, подобные файлы эксплуатируются в ОС Linux, MacOS. Файлы с подобным расширением можно назвать стандартным форматом ЭЦП. Во многих странах используются сертификаты стандарта .x509. В РФ они распространения не получили.

Для чего оно нужно

Каждый документ в хранилище призван сохранить безопасность работы операционной системы ПК. Это предотвращает проникновение в систему опасных или нежелательных и сомнительных программ. Каждая цифровая подпись отвечает за благонадежность отдельно взятого софта. Иногда такую же проверку проходит и сам пользователь. То есть для него тоже имеется свой идентификатор.

Корневой центр сертификации

У Виндовс есть свои корневые сертификаты. Благодаря им поддерживается стандартная работа ОС. Например, можно совершенно спокойно пользоваться функцией «Центр обновления Windows».

Очень широкое применение сертификация получила в Google Chrome. Особенно она востребована для взаимодействия с государственными сайтами. Чтобы иметь доступ к базам данных, обязательно нужно соответствующее разрешение. Вот его и выдает государственный сайт.

Немало утилит создают свои шифры. Например, если требуется изменить характеристики оборудования. Таким образом они обеспечивают программному продукту законность.

Как посмотреть установленные цифровые сертификаты в Windows 7 или 10

Прежде всего можно посмотреть доступные важные документы, такие как:

• Сертификаты для оборудования. Они предустановлены разработчиком для обеспечения оптимальной работы аппарата. Их могут увидеть все желающие. Для открытия этого каталога нужно синхронно нажать на кнопки Win + R. Появится пустая строка. Туда следует вбить символы certlm.msc. Откроется весь перечень секретных документов.
• Персональные сертификаты. К ним доступ имеет пользователь с текущей учетной записью. Доступ можно получить, используя все те же клавиши Win + R. Только в строчке нужно прописать команду certmgr.msc. Появится список всех доступных пользователю зашифрованных данных. Личная информация будет в файле «Личное».

Есть и другие способы, как просмотреть хранилище сертификатов Windows 7, 8, 10, ХР.

Просмотр установленных сертификатов

Просмотр через консоль управления

Предустановленной функцией просмотра секретной информации является консоль управления. Используя ее, тоже можно найти требуемые ключи. Для этого следует:

1. Запустить ОС.
2. Активировать «Командную строку» («cmd»).
3. Нажать на «Enter».
4. Вбить команду «mmc».
5. Тапнуть «Enter».
6. Открыть раздел «Файл».
7. Активировать вкладку «Добавить или удалить оснастку».
8. Кликнуть на «Добавить» и на «Добавить изолированную оснастку».
9. Выбрать вкладку «Сертификаты».

Таким же способом можно в формате чтения просматривать сертифицированные учетки, зарегистрированные в Виндовс. Также можно вносить, убирать, исправлять и копировать документы.

Важно! Иметь права администратора обязательно.

Доступ через проводник

В современных ОС Виндовс, все зашифрованные данные находятся по веб-адресу C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates. Если вместо слова «Пользователь» вписать рабочую учетку, то полный перечень открытых зашифрованных документов будет доступен для ознакомления.

Что касается закрытых ЭЦП, то они лежат на USB-рутокене. Для их просмотра потребуется другой секретный пароль. Его выдает администратору удостоверяющий центр.

В папке Виндовс хранится еще копия сертификата ЭЦП. Она предназначена для программной поддержки. Доступа пользователям к этой папке нет.

Просмотр через Internet Explorer

Найти ЭЦП можно и при помощи браузера Internet Explorer. Он установлен в современных аппаратах с ОС Windows 10, ХР. При отсутствии его легко можно скачать.

Просмотр сертификатов через Internet Explorer

Чтобы найти хранилище с секретными документами через этот браузер, следует его запустить. Далее нужно активировать вкладки:

• «Меню»;
• «Свойства браузера»;
• «Содержание»;
• «Сертификаты».

В новом окошке будут представлены все сертификаты.

Важно! Корневые сертификаты удостоверяющих центров удалять нельзя.

Востребованность этого варианта просмотра зашифрованной информации в том, что видеть их можно, не имея права администратора. Просматривать могут все пользователи, но вносить изменения – прерогатива системных администраторов.

В Internet Explorer перечень особо важных документов можно просмотреть, используя меню «Центр управления сетями и общим доступом». Для этого нужно будет открыть «Панель управления» и войти в раздел «Свойства обозревателя». Далее следует активировать вкладки «Содержание» и «Сертификаты».

Просмотр сертификатов через Крипто ПРО

Просматривать ЭЦП можно с помощью программы-дистрибутива (Крипто ПРО).

Путь к просмотру:

1. Запустить ОС.
2. Войти в «Пуск».
3. Открыть раздел «Все программы».
4. Выбрать «Крипто ПРО».
5. Нажать на вкладку «Сертификаты».

Электронный сертификат в Крипто ПРО

В появившемся окне появится перечень всех актуальных сертификатов. Имея права администратора, возможно управление сертификатами Windows 10 и других версий ОС. С ними можно проводить различные действия. То есть, можно удалять, редактировать, копировать. Последнее возможно при наличии ключа и допуска центра. С ними можно будет использовать скопированный ЭЦП на другом аппарате.

Просмотр сертификатов через Certmgr

В ОС Виндовс предусмотрен встроенный менеджер, который работает с имеющимися зашифрованными данными. С его помощью можно ознакомиться со всеми сертификатами (личные ЭЦП, сертификаты партнеров Майкрософт и т. д.).

Просмотреть секретные данные, используя данный менеджер можно так:

1. Запустить ОС кнопкой «Пуск».
2. Вбить команду «certmgr.msc».
3. Подтвердить намерение кнопкой «Enter».

Во всплывающем окне появятся разделы «Личное» и «Корневые сертификаты удостоверяющего центра». Активируя их можно раскрыть полные реестры и найти требуемые ключи.

Нужно знать! Все эти действия может проводить только доверенный администратор. В ином случае менеджер не запустится.

У приложения есть ограничения в части шифрованных данных, где имеется специальное кодирование информации.

Как удалить сертификат в Windows 10

Через какое-то время некоторая важная информация теряет актуальность или становится известной третьим лицам. Иногда файлы, содержащие ее, повреждаются или нуждаются в замене на более новую версию. Тогда ненужные данные требуется удалить. При этом корневые в любой ситуации нужно сохранить!

Внимание! До удаления настоятельно рекомендуется удостовериться в окончательной неактуальности секретного файла. Обратного хода у процесса нет, даже при том, что закрытый ключ остается.

Процедуру выполняет системный администратор или хотя бы один из теоретически подготовленных пользователей.

К хранилищу доступ можно получить двумя способами:

• через Internet Explorer;
• через управление Виндовс.

Удаление сертификата

К примеру, требуется удалить ЭЦП пользователя.

Алгоритм действий:

1. Открыть «Панель управления».
2. Выбрать «Сеть» и «Интернет».
3. Активировать раздел «Управление настройками браузера». Всплывет окошко «Свойства».
4. Открыть пункт «Содержание».
5. Тапнуть кнопку «Сертификаты».

На экране всплывет перечень секретных документов. Ненужные можно выбрать, удалить. Важно не забыть сохраняться.

С использованием панели управления можно получить более полное разрешение к зашифрованной информации. Порядок действий в этом случае будет таким:

• «Пуск»;
• «Командная строка»;
• Команда «certmgr.msc».

В появившемся окне будут перечислены все сертификаты хранилища, как пользовательские, так и корневые.

Сертификаты – важная составляющая безопасной работы компьютерной техники. Их достоверность гарантирует сертификационный центр. Работа с секретной информацией требует определенных знаний, поэтому выполнение работ в этой области нужно доверить специалисту. Для обычного пользователя достаточно иметь теоретические знания о том, что такое хранилище сертификатов Windows 10 и других версий ОС Виндовс. Применять их на практике рекомендуется только в исключительных случаях.

Управление сертификатами Windows

Управление сертификатами в операционной системе Windows

В операционной системе Windows есть различные сертификаты, которые предоставляют доступ к каким-либо ресурсам системы. Ярким примером тому может выступать сертификаты EFS. Для тех кто забыл или не знает: EFS — это Шифрующая файловая система, с помощью которой можно зашифровать файлы. Сертификат EFS предоставляет его обладателю возможность дешифровать зашифрованные файлы, тем самым предоставляя доступ к ним. Кроме внутренних инструментов, которые создают свои сертификаты, Windows может хранить и внешние сертификаты, например, от WebMoney. Сертификат от данной платежной системы позволяет пользователю войти в свой личный кабинет и управлять своими кошельками. Кроме вот такого общего описания, многие пользователи ничего другого про сертификаты не знают. Многие их даже в глаза не видели, что и говорить про управление сертификатами в Windows. А жаль. Ведь операционная система Windows предоставляет сразу три инструмента, функционал которых позволяет управлять сертификатами.

Управление сертификатами шифрования

Данный инструмент является немного специализированным и позволяет пользователю управлять только сертификатами EFS. Найти и запустить этот инструмент можно в Панели управления, если последовательно пройти по пунктам

• Учетные записи пользователей
• Управление сертификатами шифрования файлов

К тому же данный инструмент позволяет только создавать резервные копии соответствующих сертификатов, чем он и предложит заняться сразу после нажатия последней кнопки. Чтобы произвести резервное копирование необходимо будет первым делом выбрать необходимые сертификаты. Далее нужно будет указать место хранения для создаваемого бэкапа и одарить его уникальным названием. Кроме этого Вас попросят ввести пароль, который потребуется для восстановления данной резервной копии. По окончанию всего процесса Вы увидите файл в формате pfx, который и является файлом резервной копии сертификатов EFS. Такие бэкапы мы уже создавали в теме Восстановление EFS.

Утилита командной строки Chiper.exe

Аналогичный функционал по управлению сертификатами Windows, только в другом оформлении представляет утилита командной строки Chiper.exe. Описанные в предыдущем пункте действия умещаются в следующую довольно емкую команду:

[code]chiper.exe /x c:\papka\file.pfx[/code]

Далее Вас попросят ввести пароль для защиты бэкапа и, собственно, всё: в указанном месте Вы найдете файл резервной копии.

Консоль Сертификаты

На концовку я оставил основной инструмент для работы с любыми сертификатами, которые хранятся в системе Windows. Этот инструмент управления сертификатами Windows позволяет найти нужный сертификат, удалить, настроить, сделать его резервную копию, восстановить резервную копию, а так же узнать наиболее полную информацию по данному сертификату. Как открыть консоль Сертификаты спросите вы? Чтобы открыть данный замечательный инструмент воспользуйтесь командой меню Выполнить certmgr.msc. Чтобы создать резервную копию сертификата, необходимо выполнить правый клик по данному сертификату и выбрать последовательно:

• Все задачи
• Экспорт

Со всеми возможностями данного инструмента для управления сертификатами операционной системы Windows можете ознакомится напрямую. Вот такие три инструмента предоставляют пользователю возможность управления сертификатами в операционной системе Windows.

Где в Windows хранятся корневые сертификаты Центров Сертификации (CA)

Общесистемные корневые CA сертификаты

Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.

В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.

Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:

certmgr.msc

Перейдите в раздел «Доверенные корневые центры сертификации» → «Сертификаты»:

Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.

Просмотр сертификатов в PowerShell

Чтобы просмотреть список сертификатов с помощью PowerShell:

Get-ChildItem cert:\LocalMachine\root | format-list

Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):

Get-ChildItem cert:\LocalMachine\root | Where {$_.Subject -Match "HackWare"} | format-list

Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:

Сертификаты уровня пользователей:

• HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates — содержит настройки сертификатов для текущего пользователя
• HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates — как и предыдущее расположение, но это соответствует сертификатам пользователей, развёрнутым объектом групповой политики (GPO (Group Policy))
• HKEY_USERS\SID-User\Software\Microsoft\SystemCertificates — соответствует настройке определённых пользовательских сертификатов. У каждого пользователя есть своя ветка в реестре с SID (идентификатор безопасности).

Сертификаты уровня компьютера:

• HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates — содержит настройки для всех пользователей компьютера
• HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates — как и предыдущее расположение, но это соответствует сертификатам компьютера, развёрнутым объектом групповой политики (GPO (Group Policy))

Сертификаты уровня служб:

• HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Services\ServiceName\SystemCertificates — содержит настройки сертификатов для всех служб компьютера

Сертификаты уровня Active Directory:

• HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates — сертификаты, выданные на уровне Active Directory.

И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.

Пользовательские сертификаты (файлы):

• %APPDATA%\Microsoft\SystemCertificates\My\Certificates
• %USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\SID
• %USERPROFILE%\AppData\Roaming\Microsoft\Credentials
• %USERPROFILE%\AppData\Roaming\Microsoft\Protect\SID

Компьютерные сертификаты (файлы):

• C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys

Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.

Google Chrome

Использует общесистемные доверенные корневые центры сертификации.

Чтобы перейти к списку сертификатов из веб браузера:

Настройки → Приватность и Защита → Безопасность → Управление сертификатами → Просмотр сертификатов → Центры сертификации → Доверенные корневые центры сертификации:

Opera

Чтобы перейти к списку сертификатов из веб браузера: Настройки → Перейти к настройкам браузера → Дополнительно → Безопасность → Ещё → Настроить сертификаты → Доверенные корневые центры сертификации:

Firefox

Использует NSS.

Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:

Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».

Связанные статьи:

Проверить контрагента | Информационный портал МБКИ

Установка сертификатов — для Windows 10 (Vista, 7, 8)

Шаг 1. Загрузите сертификаты КриптоПро CSP

ssl.croinform.cer [1,1 кБ] — (обновлен 21 сентября 2020 г.) основной сертификат, необходим для устранения ошибки сертификата безопасности для веб-узла croinform.ru.

cacer.p7b [4 кБ] — (обновлен 29 сентбяря 2020 г.) контейнер с сертификатами удостоверяющего центра ООО КРИПТО-ПРО, необходимыми для функционирования сертификата ssl.croinform.cer.

Шаг 2. Установка основного сертификата ssl.croinform.cer

Для установки сертификата веб-узла ssl.croinform.ru выполните следующие действия. Щелкните правой клавишей мыши по файлу ssl.croinform.cer. В открывшемся контекстном меню выберите команду «Установить сертификат».

При запуске может быть открыто окно предупреждения системы безопасности. Нажмите кнопку «Открыть».

Откроется окно «Мастер импорта сертификатов».

В последующих шагах установки нажимайте на кнопку «Далее», не меняя параметров установки. После завершения установки, на экран будет выведено окно оповещения.

Нажмите на кнопку «ОК», окно будет закрыто. Поздравляем! Вы установили основной сертификат ssl.croinform.cer.

Шаг 3. Установка сертификатов из контейнера cacer.p7b

Щелкните правой клавишей мыши по файлу cacer.p7b. В открывшемся контекстном меню выберите команду «Установить сертификат».

При запуске может быть открыто окно предупреждения системы безопасности. Нажмите кнопку «Открыть».

Откроется окно «Мастер импорта сертификатов».

Нажмите кнопку «Далее». Мастер перейдет к выбору хранилища для размещения сертификатов

Установите переключатель в положение «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор». Появится окно «Выбор хранилища сертификатов».

Выберите в списке пункт «Доверенные корневые центры сертификации» и нажмите кнопку «ОК». Окно «Выбор хранилища сертификатов» будет закрыто, и Вы вернетесь в окно «Мастер импорта сертификатов». В поле «Хранилище сертификатов» появится выбранное хранилище сертификатов.

Нажмите кнопку «Далее». Окно «Мастер импорта сертификатов» откроется на шаге «Завершение мастера импорта сертификатов».

Нажмите кнопку «Готово». На экране появится окно предупреждения системы безопасности.

Нажмите на кнопку «ОК», кно будет закрыто. Во всех последующих окнах предупреждения системы безопасности (они будут аналогичны первому) также нажмите кнопку «ОК». После завершения установки всех сертификатов на экран будет выведено окно оповещения.

Нажмите на кнопку «ОК», окно будет закрыто. Сертификаты из контейнера cacer.p7b успешно установлены.

Вы установили все требуемые сертификаты!

Регистрация устройства проверки подлинности сертификата

— Windows Client Management

• 26.06.2017
• 5 минут на чтение

В этой статье

В этом разделе представлен пример протокола регистрации мобильного устройства с использованием политики проверки подлинности сертификата. Подробные сведения о протоколе регистрации мобильных устройств Microsoft для Windows 10 см. В разделе [MS-MDE2]: протокол регистрации мобильных устройств версии 2.

Примечание

Чтобы настроить устройства на использование проверки подлинности сертификата для регистрации, необходимо создать пакет подготовки. Дополнительные сведения о пакетах подготовки см. В разделе Создание и применение пакета подготовки.

В этой теме

Список сценариев регистрации, не поддерживаемых в Windows 10, см. В разделе Сценарии регистрации, которые не поддерживаются.

Discovery Service

В следующем примере показан запрос службы обнаружения.

  POST / EnrollmentServer / Discovery.svc HTTP / 1.1
Content-Type: application / soap + xml; charset = utf-8
Пользовательский агент: Клиент регистрации Windows
Хост: EnterpriseEnrollment.Contoso.com
Длина содержимого: xxx
Cache-Control: без кеша



   
      
 http://schemas.microsoft.com/windows/management/2012/01/enrollment/IDiscoveryService/Discover
      
       urn: uuid: 748132ec-a575-4329-b01b-6171a9cf8478 
      
          http: // www.w3.org/2005/08/addressing/anonymous 
      
      
         https://ENROLLTEST.CONTOSO.COM/EnrollmentServer/Discovery.svc
      
   
   
      <Откройте для себя xmlns = "http://schemas.microsoft.com/windows/management/2012/01/enrollment/">
         
             [email protected] 
             101  
             10.0.0.0  
             3.0  
                WindowsPhone  
             10.0.0.0 
             Сертификат  
         
      
   

  

В следующем примере показан ответ службы обнаружения.

  HTTP / 1.1 200 ОК
Длина содержимого: 865
Content-Type: application / soap + xml; charset = utf-8
Сервер: EnterpriseEnrollment.Contoso.com
Дата: вторник, 2 августа 2012 г., 00:32:56 GMT

   
      
http://schemas.microsoft.com/windows/management/2012/01/enrollment/IDiscoveryService/DiscoverResponse
      
      
         d9eb2fdd-e38a-46ee-bd93-aea9dc86a3b8
      
       urn: uuid: 748132ec-a575-4329-b01b-6171a9cf8478 
   
   
      
         
             Сертификат 
             3.0 
            
               https://enrolltest.contoso.com/ENROLLMENTSERVER/DEVICEENROLLMENTWEBSERVICE.SVC
            
            
               https://enrolltest.contoso.com/ENROLLMENTSERVER/DEVICEENROLLMENTWEBSERVICE.SVC
            
         
      
   

  

Веб-служба политики регистрации

В следующем примере показан запрос веб-службы политики.

  POST / ENROLLMENTSERVER / DEVICEENROLLMENTWEBSERVICE.SVC HTTP / 1.1
Content-Type: application / soap + xml; charset = utf-8
Пользовательский агент: Клиент регистрации Windows
Хост: enrolltest.contoso.com
Длина содержимого: xxxx
Cache-Control: без кеша

   
      
         http://schemas.microsoft.com/windows/pki/2009/01/enrollmentpolicy/IPolicy/GetPolicies
      
       urn: uuid: 72048B64-0F19-448F-8C2E-B4C661860AA0 
      
          http://www.w3.org/2005/08/addressing/anonymous 
      
      
         https: // enrolltest.contoso.com/ENROLLMENTSERVER/DEVICEENROLLMENTWEBSERVICE.SVC
      
      
         
                  B64EncodedSampleBinarySecurityToken
         
      
   
   
      
         <клиент>
            
            <предпочтительный язык xsi: nil = "true" />
         
         
      
         
            
                WindowsMobile 
            
                Ядро 
            
                9.0.9999.0 
            
                MY_WINDOWS_DEVICE 
            
                FF: FF: FF: FF: FF: FF 
            
                49015420323756 
            
                Lite 
            
               & lt  

.

Создание запроса на сертификат с помощью консоли управления Microsoft (MMC) — статьи TechNet — США (английский)

В этой статье мы покажем, как создать запрос сертификата с помощью консоли управления с оснасткой «Сертификаты». После импорта сертификата в контейнер компьютера. В этом случае мы генерируем цифровой сертификат, который будет установлен.
в 2010 TMG он настроен как пул обратного прокси-сервера Lync. Служба сертификации предприятия устанавливается вместе с контроллером домена с этой службой и активной веб-регистрацией.

Сертификат будет сгенерирован с несколькими именами назначения и альтернативными именами субъектов.

Запустите запуск на машине и запустите mmc, чтобы запустить консоль управления, нажмите
Файл и Добавить / удалить оснастку

Выберите Certificate Snap-in и добавьте в консоль

Выберите Учетная запись компьютера для управления сертификатами, установленными на вычисляемом

Выберите Local Computer и завершите работу мастера

Разверните папку Personal в сертификатах . Щелкните правой кнопкой мыши
Все задачи, выберите Дополнительные операции и Создать индивидуальный запрос ….

Перейти к запуску запроса сертификата

Выберите политику регистрации

Выберите шаблон сертификата для обратного прокси должен выбрать
Веб-сервер шаблон

На вкладке Информация о сертификате разверните Подробности и нажмите
Свойства для настройки параметров сертификата

Вкладка Certificeta Properties в выберите Subject Name option
Тип: Общее имя и Значение задает полное доменное имя основной службы, которая использует сертификат.В части
Альтернативное имя выберите Typer: DNS и добавьте все полные доменные имена, которые имеют сертификат

На вкладке Общие установите Дружественное имя сертификата, эта опция не влияет ни на какие функции сертификата, может принимать любое значение. Обычно мы настраиваем краткое описание функциональности сертификата

.

Вкладка Закрытый ключ вариант разверните Параметры ключа проверьте
Сделайте закрытый ключ экспортируемым. Примените изменения и завершите работу мастера

При регистрации сертификата аванс

Выберите папку, в которой сохранен запрос и закончите помощник

Получите доступ к адресу Web Enrollment цифровой сертификации по URL-адресу https: // / CertSrv и щелкните
Запросить сертификат

Нажмите Advanced Certificate Request

Выберите Отправьте запрос на сертификат с помощью файла CMC или PKCS # 10 с кодировкой base 64 или отправьте запрос на обновление с помощью файла PKCS # 7 с кодировкой base 64

Откройте файл запроса в Блокноте, выберите и скопируйте все содержимое

Вставьте содержимое запроса файла в поле Сохраненный запрос и выберите
Шаблон сертификата : веб-сервер и щелкните Отправить

Сертификат будет сгенерирован, нажмите Загрузить сертификат и сохраните сертификат в папке

Проверьте правильность настроек сертификата и наличие в сертификате опции закрытого ключа.

Вернитесь в консоль управления разверните Personal Щелкните правой кнопкой мыши
Сертификаты выберите Все задачи и нажмите Импорт…

Перейти к началу импорта сертификата

Выберите сертификат, который был сохранен

Перейти в конфигурацию хранилища сертификатов

И доработать мастера

Сертификат должен быть импортирован и готов к привязке к службам

.

Создание сертификата подписи кода для управления приложениями Защитника Windows (Windows 10) — безопасность Windows

• 28.02.2018
• 3 минуты на чтение

В этой статье

Применимо к:

• Windows 10
• Windows Server 2016

При развертывании управления приложениями в Защитнике Windows (WDAC) может потребоваться внутренняя подпись файлов каталога или политик WDAC.Для этого вам понадобится либо публично выпущенный сертификат подписи кода, либо внутренний центр сертификации. Если вы приобрели сертификат для подписи кода, вы можете пропустить этот раздел и вместо этого перейти к другим темам, перечисленным в Руководстве по развертыванию Application Control в Защитнике Windows.

Если у вас есть внутренний центр сертификации, выполните следующие действия, чтобы создать сертификат подписи кода.
Для сертификата подписи кода поддерживается только алгоритм RSA, а подписи должны быть дополнены PKCS 1.5.
ECDSA не поддерживается.

1. Откройте оснастку консоли управления Microsoft Management Console (MMC) центра сертификации и выберите центр сертификации.

2. После подключения щелкните правой кнопкой мыши Шаблоны сертификатов , а затем щелкните Управление , чтобы открыть консоль шаблонов сертификации.

   Рисунок 1. Управление шаблонами сертификатов

3. На панели навигации щелкните правой кнопкой мыши сертификат подписи кода и выберите Дублировать шаблон .

4. На вкладке Совместимость снимите флажок Показать полученные изменения . Выберите Windows Server 2012 из списка центра сертификации , а затем выберите Windows 8 / Windows Server 2012 из списка получателей сертификата .

5. На вкладке Общие укажите отображаемое имя шаблона и имя шаблона . В этом примере используется имя Сертификат подписи каталога WDAC .

6. На вкладке Обработка запросов установите флажок Разрешить экспорт закрытого ключа .

7. На вкладке Extensions установите флажок Basic Constraints , а затем щелкните Edit .

8. В диалоговом окне Edit Basic Constraints Extension выберите Enable this extension , как показано на рисунке 2.

   Рисунок 2. Выбор ограничений в новом шаблоне

9. Если диспетчер сертификатов требуется для утверждения любых выпущенных сертификатов, на вкладке Требования к выдаче выберите Утверждение диспетчера сертификатов ЦС .

10. На вкладке Имя субъекта выберите Поставка в запросе .

11. На вкладке Security убедитесь, что любая учетная запись, которая будет использоваться для запроса сертификата, имеет право на регистрацию сертификата.

12. Нажмите ОК , чтобы создать шаблон, а затем закройте Консоль шаблонов сертификатов.

После создания этого шаблона сертификата необходимо опубликовать его в хранилище опубликованных шаблонов ЦС.Для этого выполните следующие действия:

1. В оснастке MMC центра сертификации щелкните правой кнопкой мыши Certification Templates , выберите New , а затем щелкните Certificate Template to Issue , как показано на рисунке 3.

   Рисунок 3. Выберите новый шаблон сертификата для выдачи

   Появится список доступных шаблонов для выпуска, включая только что созданный.

2. Выберите сертификат подписи каталога WDAC и нажмите ОК .

Теперь, когда шаблон доступен для выпуска, вы должны запросить его с компьютера под управлением Windows 10, на котором вы создаете и подписываете файлы каталога. Для начала откройте MMC, а затем выполните следующие шаги:

1. В MMC в меню Файл щелкните Добавить / удалить оснастку . Дважды щелкните Сертификаты , а затем выберите Моя учетная запись пользователя .

2. В оснастке «Сертификаты» щелкните правой кнопкой мыши папку «Личное хранилище», укажите на Все задачи , а затем щелкните Запросить новый сертификат .

3. Дважды щелкните Далее , чтобы перейти к списку выбора сертификатов.

4. В списке Запросить сертификат выберите вновь созданный сертификат подписи кода, а затем выберите синий текст, который запрашивает дополнительную информацию, как показано на рисунке 4.

   Рисунок 4. Дополнительные сведения о сертификате подписи кода

5. В диалоговом окне Свойства сертификата для Тип выберите Общее имя .Для Значение выберите ContosoDGSigningCert , а затем щелкните Добавить . После добавления нажмите ОК.

6. Записаться и закончить.

Примечание

Если диспетчер сертификатов требуется для утверждения каких-либо выпущенных сертификатов, и вы выбрали требовать одобрения руководства для шаблона, запрос необходимо будет утвердить в ЦС, прежде чем он будет выдан клиенту.

Этот сертификат должен быть установлен в личном хранилище пользователя на компьютере, который будет подписывать файлы каталога и политики целостности кода.Если подписание будет происходить на компьютере, на котором вы только что запросили сертификат, экспорт сертификата в файл .pfx не потребуется, поскольку он уже существует в вашем личном хранилище. Если вы подписываете на другом компьютере, вам нужно будет экспортировать сертификат .pfx с необходимыми ключами и свойствами. Для этого выполните следующие действия:

1. Щелкните сертификат правой кнопкой мыши, выберите Все задачи , а затем щелкните Экспорт .

2. Щелкните Далее , а затем выберите Да, экспортировать закрытый ключ .

3. Выберите настройки по умолчанию, а затем выберите Экспорт всех расширенных свойств .

4. Задайте пароль, выберите путь экспорта, а затем выберите WDACCatSigningCert.pfx в качестве имени файла.

После экспорта сертификата импортируйте его в личное хранилище для пользователя, который будет подписывать файлы каталога или политики целостности кода на конкретном компьютере, который будет их подписывать.

.Автоматическая регистрация сертификатов

в Windows Server 2016 (часть 4)

Это третья часть официального документа по автоматической регистрации сертификатов в Windows Server 2016. Прочие части:

В этом разделе обсуждаются шаблоны, требующие утверждения диспетчера сертификатов, центра саморегистрации, а также способы замены шаблона сертификата.

Требуется одобрение менеджера сертификатов

Для конкретного шаблона сертификата может потребоваться, чтобы диспетчер сертификатов (сотрудник ЦС) утвердил запрос до того, как ЦС фактически подписывает и выпускает сертификат.Эта расширенная функция безопасности работает вместе с автоматической регистрацией и включается на вкладке «Требования к выдаче» данного шаблона сертификата (рисунок 25). Этот параметр отменяет любые ожидающие настройки в самом ЦС.

Если требуется утверждение диспетчера сертификатов, все запросы на автоматическую регистрацию не выдаются до тех пор, пока диспетчер сертификатов не утвердит запрос вручную.

Рисунок 25. Установка требований для утверждения диспетчера сертификатов

Процесс автоматической подачи заявок будет периодически проверять ЦС на предмет утвержденных запросов и автоматически устанавливать сертификаты.Смарт-карты, сертификаты пользователей и сертификаты компьютеров поддерживают ожидающие запросы. В случае смарт-карт при выдаче сертификата пользователю будет предложено вставить смарт-карту, чтобы сертификат мог быть записан на карту.

Процесс автоматической регистрации поддерживает не более одной подписи в шаблоне. Это ограничение существует для поддержки функции центра саморегистрации, описанной в разделе «Центр саморегистрации». Если для регистрации одного сертификата требуется несколько подписей, следует использовать регистрацию вручную.

Орган саморегистрации

Центр саморегистрации (Self RA) — это расширенная функция регистрации сертификатов, которую можно комбинировать с процессом автоматической регистрации.

Self RA относится к подаче заявок на сертификат на основе наличия ранее зарегистрированного сертификата, в котором закрытый ключ пользователя используется для подписи нового запроса сертификата. Протокол сообщений управления сертификатами через CMS (CMC) обеспечивает эту функцию, когда одна или несколько подписей могут использоваться или требоваться для данной регистрации сертификата.Требования Self RA определены в шаблоне сертификата, которым можно управлять с помощью оснастки Certificate Templates MMC.

Чтобы добавить требование выдачи (подписи) к шаблону сертификата, откройте шаблон и щелкните вкладку Требования к выдаче .

Чтобы добавить подпись или требование выдачи, установите флажок Это количество авторизованных подписей и добавьте соответствующий номер в следующее числовое поле (рисунок 26).

Теперь вы можете добавить особые требования к сертификату подписи.

Рисунок 26: Установка количества авторизованных подписей

Предыдущий параметр полезен для клиентов, которые хотят вручную регистрировать пользователей для смарт-карт с помощью станции регистрации. Затем они могут заменить исходный шаблон новым шаблоном с предыдущими настройками, чтобы разрешить автоматическое продление через процесс автоматической регистрации, который потребует от пользователя подписать запрос на продление со старым сертификатом.

Дополнительный пример Self RA. Можно добавить политику приложения для сертификата входа со смарт-картой, который будет использоваться для подачи заявки на сертификат EFS.Это потребует от пользователей подписи своего запроса на автоматически зарегистрированный сертификат EFS действующим сертификатом смарт-карты. Затем пользователю будет предложено вставить смарт-карту и ввести PIN-код, когда для сертификата EFS была активирована автоматическая регистрация.

Замена шаблонов сертификатов

Автоматическая регистрация сертификатов

также поддерживает концепцию замены шаблона или ранее зарегистрированного сертификата. Замена шаблона позволяет администратору повторно регистрировать, изменять или объединять ранее выданные заявки на сертификат в новую регистрацию сертификата.Автоматическая подача заявок всегда проверяет существующие сертификаты в хранилище пользователей и определяет, был ли заменен шаблон, использованный в выпущенном сертификате. Если шаблон сертификата был заменен, пользователь будет автоматически зарегистрирован с новым шаблоном, а старые сертификаты будут удалены или заархивированы в зависимости от настройки шаблона.

Замена шаблонов сертификатов особенно полезна в следующих случаях.

• Изменение срока действия сертификата
• Увеличение размера ключа
• Добавление расширенного использования ключей или политик приложений
• Исправление ошибок политики регистрации
• Обновление пользователей с шаблонов версии 1 до шаблонов версии 2

Для создания или изменения шаблона для замены существующего сертификата

1. Откройте Свойства шаблона, чтобы иметь приоритет, щелкните вкладку Замененные шаблоны (рисунок 28), а затем щелкните Добавить .
2. Выберите шаблон, который нужно заменить (рисунок 27), а затем нажмите OK .

   Рисунок 27: Выбор шаблона для замены

3. Шаблон будет добавлен на вкладку Замененные шаблоны (Рисунок 28). Если вы хотите добавить дополнительные шаблоны, которые должны быть заменены этим новым шаблоном, нажмите Добавить и повторите. В противном случае нажмите ОК .

   Рисунок 28: Замененные шаблоны листинга

При замене сертификата всегда создается новый закрытый ключ для пользователя или машины.

В этом разделе описаны ключевые сценарии, которые необходимо учитывать при устранении неполадок с автоматической регистрацией. В нем также рассказывается, как подготовиться к сбоям автоматической регистрации, и перечислены сообщения журнала событий. При устранении неполадок с автоматической регистрацией необходимо учитывать следующие ключевые проблемы.

Требования к инфраструктуре

В среде Active Directory клиенты Windows 10 и центры сертификации Windows Server 2016 всегда будут запрашивать подписанное LDAP соединение с контроллерами домена в качестве функции безопасности.

Корневой промежуточный и перекрестная загрузка сертификатов из Active Directory

Автоматическая подача заявок автоматически загружает корневой, промежуточный и перекрестный сертификаты из Active Directory всякий раз, когда обнаруживается изменение в каталоге или при обращении к другому контроллеру домена. Если сторонний корневой сертификат или кросс-сертификат удаляется из хранилища локального компьютера, автоматическая подача заявок не будет загружать сертификаты снова, пока не произойдет изменение в Active Directory или не будет установлен контакт с новым контроллером домена.

Чтобы вручную выполнить новую загрузку, удалите следующий раздел реестра и все подчиненные разделы на всех затронутых машинах:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ AutoEnrollment \ AEDirectoryCache 

EFS и автоматическая регистрация

EFS всегда пытается зарегистрироваться для базового шаблона EFS по умолчанию. Драйвер компонента EFS генерирует запрос на автоматическую регистрацию, который пытается выполнить автоматическая регистрация. Для клиентов, которые хотят убедиться, что для EFS используется определенный шаблон (например, для включения архивации ключей), новый шаблон должен заменить шаблон Basic EFS.Шаблон Basic EFS также следует удалить из любого Enterprise CA. Это гарантирует, что автоматическая регистрация больше не будет пытаться зарегистрироваться для шаблона Basic EFS. Для клиентов, которые хотят заменить базовый шаблон EFS сертификатом и ключом, заархивированным через центр сертификации Windows, правильная процедура — заменить базовый шаблон EFS новым шаблоном сертификата версии 2.

Аннулированные сертификаты и продление

Отозванные сертификаты не могут быть обновлены и не могут использоваться для подписи запроса на продление.Этот сценарий явно заблокирован автоматической регистрацией. В этом сценарии пользователь должен выполнить новый запрос на регистрацию вручную вместо продления.

Обновление смарт-карты

Шаблоны Logon Smartcard Logon и Smartcard User версии 1 нельзя обновить посредством автоматической регистрации. Чтобы обновить шаблон Smartcard Logon или Smartcard User версии 1 , необходимо заменить эти шаблоны новым шаблоном версии 2.

Автоматическая подача заявок всегда пытается создать новый ключ при обновлении сертификата.Для смарт-карт с ограниченным пространством, которые не поддерживают генерацию дополнительного ключа, при автоматической регистрации будет предпринята попытка повторно использовать ключ; однако для установки нового сертификата все равно потребуется дополнительное пространство. Если на карте нет места для этих операций, продление через автоматическую регистрацию может завершиться ошибкой.

Поведение при продлении смарт-карты может различаться в зависимости от типа используемого CSP смарт-карты и состояния карты во время продления. Как правило, если на используемой смарт-карте есть свободное место для дополнительной регистрации, а CSP поддерживает несколько ключей на одной карте, автоматическая регистрация будет запрашивать у карты создание нового ключа для регистрации.В случае успеха сертификат записывается на карту, и контейнер помечается по умолчанию.

Контейнер по умолчанию — единственный контейнер, который процесс Winlogon будет перечислять для сертификата входа и ключа смарт-карты в Windows XP и Windows Server 2003. Начиная с Windows Vista и Windows Server 2008, процесс Winlogon может использовать любой контейнер смарт-карты для смарт-карты. операции входа в систему.

Если смарт-карта или CSP не может сгенерировать новый ключ на карте, существующий ключ будет повторно использован, и на карту будет принудительно добавлен новый сертификат.Это действие создаст событие в журнале событий приложений машин.

Autoenrollment всегда будет использовать новый сгенерированный ключ для всех запросов на регистрацию и продление. Единственное исключение из этого правила — в случае некоторых CSP смарт-карт, которые не могут поддерживать новый ключ из-за ограничений хранения на смарт-карте. При повторном использовании ключа в журнал клиентского приложения будет занесено событие.

Автоматическая регистрация и надежная защита секретных ключей

Свойства шаблона сертификата версии 2 на вкладке Обработка запросов поддерживают возможность запрашивать пароль пользователя, когда закрытый ключ используется приложениями.Это устанавливается путем выбора опции « Запрашивать пользователя во время регистрации » и требует ввода данных пользователем при использовании закрытого ключа. Важно никогда не использовать эту опцию для сертификатов смарт-карт, поскольку CSP смарт-карт также не поддерживают эту возможность. Если выбран этот вариант, автоматическая подача заявок может завершиться ошибкой.

Удаление сертификатов при присоединении / смене домена

Когда компьютер удаляется из домена или добавляется в новый домен, все загруженные сертификаты из Active Directory будут удалены и обновлены, если применимо.Сертификаты, которые были выданы или зарегистрированы автоматически из предыдущего леса, не будут удалены, если машина не является контроллером домена. Все клиентские машины будут автоматически обновлять сертификаты при изменении информации домена или машины. Когда компьютеры или пользователи имеют сертификаты, необходимые для безопасного сетевого взаимодействия, беспроводной связи и т. Д., Может потребоваться удалить старые сертификаты после присоединения к новому домену или лесу.

Ошибки автоматической регистрации

Autoenrollment предупредит пользователя с помощью диалогового окна с предупреждением, когда произойдет сбой автоматической регистрации.Эта функция доступна только в том случае, если для шаблона сертификата требуется взаимодействие пользователя.

Включение функции предупреждения об ошибке автоматической регистрации

1. Откройте указанный шаблон в оснастке Certificate Templates MMC.
2. Щелкните вкладку Обработка запросов.
3. Щелкните « Запрашивать пользователя при регистрации » на вкладке «Обработка запросов» в свойствах шаблона сертификата.

Повторно инициализированные смарт-карты

Если регистрация для сертификата основана на существовании сертификата смарт-карты и если смарт-карта была повторно инициализирована, диалоговое окно «Вставка смарт-карты» попросит пользователя вставить смарт-карту, соответствующую контейнеру ключей, идентифицированному старым сертификат.Поскольку контейнер ключей был удален, диалоговое окно «Вставка» будет продолжать отображаться, несмотря на то, что пользователь удалил и вставил карту. Единственный выбор — нажать Отменить и не пройти регистрацию.

Расширенная регистрация событий

По умолчанию автоматическая регистрация регистрирует ошибки / сбои и успешные регистрации в журнале событий Application на клиентском компьютере.

Чтобы включить расширенное ведение журнала процессов автоматической регистрации для включения предупреждений и информационных сообщений, необходимо создать следующие значения реестра.

HKEY_CURRENT_USER \ Software \ Microsoft \ Cryptography \ Autoenrollment 

Создайте новое значение DWORD с именем AEEventLogLevel и установите значение 0 .

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Cryptography \ Autoenrollment 

Создайте новое значение DWORD с именем AEEventLogLevel и установите значение 0 .

Все сбои и ошибки регистрируются автоматически. Не обязательно включать раздел реестра, чтобы включить ведение журнала сбоев.

Сообщения журнала событий

Следующие сообщения журнала событий появляются, только если включена дополнительная регистрация событий.

Сообщения журнала успешных событий

Ниже приведены примеры успешных сообщений журнала событий.

Это событие означает, что закрытый ключ был повторно использован во время обновления сертификата.

Сообщения журнала неудачных событий

Ниже приведены образцы сообщений журнала событий сбоя.

Эта ошибка чаще всего возникает, когда пользователь входит в систему с кэшированными учетными данными и находится в автономном режиме. Поэтому автоматическая регистрация не может быть продолжена и будет предпринята позже.

Эта ошибка чаще всего возникает, когда контроллер домена недоступен или недоступен для клиента. Общие причины включают ошибки сети, подключение к сети и т. Д.

Эта ошибка обычно возникает, когда центр сертификации недоступен в сети или служба остановлена.

Это редкое событие, когда центр сертификации находится под большой нагрузкой и не может своевременно ответить на запрос. Автоматическая регистрация будет автоматически повторяться позже.

Это та же ошибка, что и предыдущая, но требует обновления.

Это ошибка автоматической регистрации, которая возникает, когда у пользователя установлен сертификат и закрытый ключ, соответствующие заданному шаблону, срок действия которого истекает. Автоматическая регистрация пытается автоматически продлить сертификат; однако у пользователя нет соответствующих разрешений для этого шаблона, и поэтому автоматическая регистрация не выполняется.Автоматическая подача заявок основана на сертификатах в магазине, а также на настройках шаблона сертификата.

Эта ошибка возникает, когда учетная запись пользователя в Active Directory не имеет действительного адреса электронной почты на странице свойств пользователя в оснастке MMC «Пользователи и компьютеры Active Directory». Для регистрации шаблонов сертификатов в Active Directory необходимо, чтобы до регистрации существовал адрес электронной почты.

Инструменты журнала событий

В Windows 7 и Windows Server 2008 R2 есть несколько инструментов для запроса локальной системы о различных событиях:

• Средство просмотра событий ( eventvwr.msc )

Event Viewer — это тоже графический интерфейс, который является оснасткой MMC и предустановлен в любой установке Windows, где включен графический интерфейс пользователя (GUI). Средство просмотра событий недоступно в Windows Server в режиме установки Server Core.

Инструмент wevtutil.exe предустановлен в любой установке Windows, начиная с Windows Vista и Windows Server 2008.

Командлет Get-WinEvent поставляется автоматически с каждой версией PowerShell, начиная с PowerShell 3.0 и выше.

Windows Server 2016 через компонент служб сертификатов Active Directory обеспечивает автоматическую регистрацию сертификатов пользователя. Это позволяет администраторам легко развертывать сертификаты по всему предприятию, не требуя взаимодействия с пользователем. Автоматическая регистрация сертификатов пользователей в операционных системах Windows 10 Windows Server 2016 основывается на давней репутации Microsoft в области поставки надежных компонентов PKI с низкой совокупной стоимостью владения. Поскольку PKI является неотъемлемой частью операционной системы Windows 10, PKI Windows Server 2016 обеспечивает некоторые явные преимущества перед компонентами надстроек сторонних производителей.Эти преимущества включают:

• Нет платы за сертификат или лицензий PKI на пользователя
• Централизованное управление безопасностью пользователей
• Интеграция с обычными задачами управления предприятием
• Возможности единого входа в сеть и приложения
• Возможности управляемого доверия
• Поддержка всех приложений через CryptoAPI

Имейте в виду, что почти все сторонние PKI необходимо приобретать отдельно и требовать лицензионных сборов за сертификат и дополнительных задач управления.

В целом, функции автоматической регистрации сертификатов в Windows Server 2016 должны предоставить организациям и предприятиям возможность легко развертывать цифровые сертификаты и приложения с поддержкой PKI с небольшими дополнительными затратами по сравнению с обычным бюджетом ИТ-операций или без них.

.