Sertifikatni ildizga qanday qo'shish kerak. To'g'ridan-to'g'ri Internetga kirish imkoniga ega bo'lmagan Windows kompyuterlarida Ishonchli ildiz sertifikatlash idoralari sertifikat do'konini avtomatik ravishda yangilash

Xayrli kun, aziz blog o'quvchilari, shu oy davomida mendan Windows tizimlarida sertifikatlar saqlanadigan elektron pochta orqali bir necha bor so'rashdi, quyida men sizga ushbu masala haqida batafsil ma'lumot beraman, biz tuzilmani ko'rib chiqamiz. saqlash, sertifikatlarni qanday topish va uni qayerda amalga oshirish mumkinligi, bu EDS (elektron raqamli imzo) dan tez-tez foydalanadigan odamlar uchun ayniqsa qiziqarli bo'ladi.

Nima uchun Windows-da sertifikatlar qaerda saqlanganligini bilishingiz kerak?

Sizga nima uchun bu bilimga ega bo'lishni xohlayotganingizning asosiy sabablarini aytib beraman:

• Ildiz sertifikatini ko'rishingiz yoki o'rnatishingiz kerak
• Shaxsiy sertifikatni ko'rishingiz yoki o'rnatishingiz kerak
• Qiziqish

Avvalroq men sizga qanday sertifikatlar borligini va ularni qayerdan olishingiz va qo'llashingiz mumkinligini aytdim, men sizga ushbu maqolani o'qishni maslahat beraman, chunki undagi ma'lumotlar ushbu mavzuda asosiy hisoblanadi.

Windows Vista dan Windows 10 Redstone 2 gacha bo'lgan barcha operatsion tizimlarda sertifikatlar bir joyda saqlanadi, biri foydalanuvchi uchun, ikkinchisi kompyuter uchun ikki qismga bo'lingan konteyner turi.

Ko'pgina hollarda, Windows-da mmc qo'shimchasi orqali ma'lum sozlamalarni o'zgartirishingiz mumkin va sertifikat do'koni bundan mustasno emas. Shunday qilib, WIN + R tugmalar birikmasini bosing va ochilgan oynada bajaring, mmc yozing.

Albatta, siz certmgr.msc buyrug'ini kiritishingiz mumkin, ammo bu bilan siz faqat shaxsiy sertifikatlarni ochishingiz mumkin.

Endi bo'sh mmc qo'shimchasida siz "Fayl" menyusini bosing va "Qo'shish yoki o'chirish" -ni tanlang (CTRL + M klaviatura yorlig'i)

Qo'shimcha elementlarni qo'shish va o'chirish oynasida, Mavjud qo'shimcha qurilmalar maydonida Sertifikatlarni toping va Qo'shish tugmasini bosing.

Sertifikat menejerida siz qo'shimcha dasturlarni qo'shishingiz mumkin:

• mening foydalanuvchi hisobim
• xizmat hisobi
• kompyuter hisobi

Men odatda foydalanuvchi hisobi uchun qo'shaman

va kompyuter

Kompyuterda qo'shimcha sozlamalar mavjud, u mahalliy yoki masofaviy (tarmoqda) bo'lib, joriyini tanlang va "Bajarildi" tugmasini bosing.

Oxir-oqibat men bu rasmni oldim.

Kelgusi safar bu amallarni bajarmaslik uchun yaratilgan uskunani zudlik bilan saqlaylik. Fayl > Boshqacha saqlash menyusiga o'ting.

Saqlash joyini belgilang va hammasi.

Sertifikatni saqlash konsolini ko'rib turganingizdek, mening misolimda men sizga Windows 10 Redstone-da ko'rsataman, sizni ishontirib aytamanki, deraza interfeysi hamma joyda bir xil. Bu yerda avval yozganimdek, Sertifikatlarning ikkita sohasi bor - joriy foydalanuvchi va Sertifikatlar (mahalliy kompyuter)

Sertifikatlar - joriy foydalanuvchi

Ushbu maydon quyidagi papkalarni o'z ichiga oladi:

1. Shaxsiy > bunga turli roottokenlar yoki etokenlardan oʻrnatadigan shaxsiy sertifikatlar (ommaviy yoki shaxsiy kalitlar) kiradi.
2. Ishonchli ildiz sertifikatlashtirish idoralari > Bu sertifikatlashtirish organlarining sertifikatlari, ularga ishonish orqali siz ular tomonidan berilgan barcha sertifikatlarga avtomatik ravishda ishonasiz, ular dunyodagi aksariyat sertifikatlarni avtomatik ravishda tekshirish uchun kerak bo'ladi. Ushbu ro'yxat CAlar o'rtasida ishonch munosabatlarini o'rnatish zanjirlarida qo'llaniladi, u Windows yangilanishi bilan yangilanadi.
3. Korxonada ishonchli munosabatlar
4. O'rta darajadagi CA
5. Active Directory foydalanuvchi ob'ekti
6. Ishonchli nashriyotchilar
7. Ishonchsiz sertifikatlar
8. Uchinchi tomonning ildiz sertifikat organlari
9. Vasiylar
10. Mijoz autentifikatsiya sertifikati provayderlari
11. Mahalliy olinmaydigan sertifikatlar
12. Smart Card ishonchli ildiz sertifikatlari

Shaxsiy papkada siz ularni o'rnatmagan bo'lsangiz, sukut bo'yicha sertifikatlar mavjud emas. O'rnatish tokendan yoki sertifikat so'rash yoki import qilish orqali amalga oshirilishi mumkin.

• PKCS #12 (.PFX, .P12)
• Kriprografik xabar sintaksisi standarti - PKCS №7 (.p7b) sertifikatlari
• Seriyalashtirilgan sertifikatlar doʻkoni (.SST)

Ishonchli sertifikatlashtirish idoralari yorlig'ida siz eng yirik nashriyotlarning ildiz sertifikatlarining ta'sirchan ro'yxatini ko'rasiz, ular tufayli brauzeringiz saytlardagi sertifikatlarning ko'piga ishonadi, chunki agar siz ildizga ishonsangiz, bu u berilgan har bir kishini anglatadi.

Ikki marta bosish orqali siz sertifikat mazmunini ko'rishingiz mumkin.

Harakatlardan siz ularni faqat eksport qilishingiz mumkin, shunda ularni keyinchalik boshqa kompyuterga qayta o'rnatishingiz mumkin.

Eksport eng keng tarqalgan formatlarda amalga oshiriladi.

Yana bir qiziq narsa, allaqachon bekor qilingan yoki sizib chiqqan sertifikatlar ro'yxati bo'ladi.

• "Boshqa foydalanuvchilar" - bu nazorat qiluvchi organlarning sertifikatlari ombori;
• "Ishonchli ildiz sertifikatlashtirish idoralari" va "oraliq sertifikatlashtirish idoralari" Sertifikatlashtirish markazi sertifikatlarining ombori hisoblanadi.

Shaxsiy sertifikatlarni o'rnatish faqat Crypto Pro dasturi yordamida amalga oshiriladi.

Konsolni ishga tushirish uchun siz quyidagilarni bajarishingiz kerak:

1. "Ishga tushirish" menyusi > "Ishga tushirish" ni tanlang (yoki bir vaqtning o'zida klaviaturadagi "Win + R" tugmachalarini bosing).

2. mmc buyrug'ini belgilang va "OK" tugmasini bosing.

3. Fayl > Qo‘shish yoki O‘chirish-ni tanlang.

4. Ro'yxatdan "Sertifikatlar" qo'shimchasini tanlang va "Qo'shish" tugmasini bosing.

5. Ochilgan oynada "Mening foydalanuvchi hisobim" radio tugmachasini tanlang va "Finish" tugmasini bosing.

6. O'ng tarafdagi ro'yxatdan qo'shilgan uskunani tanlang va "OK" tugmasini bosing.

Sertifikatlarni o'rnatish

1. Kerakli omborni oching (masalan, Trusted Root Certification Authorities). Buni amalga oshirish uchun "Sertifikatlar - joriy foydalanuvchi" > "Ishonchli ildiz sertifikatlashtirish idoralari" > "Sertifikatlar" bo'limini kengaytiring.

2. Harakatlar menyusi > Barcha vazifalar > Import-ni tanlang.

4. Keyin, “Browse” tugmasini bosing va import uchun sertifikat faylini belgilang (Sertifikatlashtirish markazining ildiz sertifikatlarini Sertifikatlashtirish markazi veb-saytidan yuklab olish mumkin, nazorat qiluvchi organlarning sertifikatlari Kontur.Extern tizimining veb-saytida joylashgan) . Sertifikatni tanlagandan so'ng, siz "Ochish" tugmasini, so'ngra "Keyingi" tugmasini bosishingiz kerak.

5. Keyingi oynada siz "Keyingi" tugmasini bosishingiz kerak (kerakli saqlash avtomatik ravishda tanlanadi).

6. Importni yakunlash uchun “Finish” tugmasini bosing.

Sertifikatlarni olib tashlash

mmc konsoli yordamida sertifikatlarni o'chirish uchun (masalan, Boshqa foydalanuvchilar do'konidan) quyidagilarni bajarishingiz kerak:

"Sertifikatlar - joriy foydalanuvchi" > "Boshqa foydalanuvchilar" > "Sertifikatlar" bo'limini kengaytiring. Oynaning o'ng tomonida Boshqa foydalanuvchilar do'konida o'rnatilgan barcha sertifikatlar ko'rsatiladi. Kerakli sertifikatni tanlang, ustiga o'ng tugmasini bosing va "O'chirish" -ni tanlang.

Agar veb-hisob qaydnomasiga ulanishni o'rnatishga urinayotganda brauzer xavfsizlik oynasi ochilsa (1-rasm), siz qo'shishingiz kerak. Moskva birjasining ildiz sertifikati moex.cer ishonchli sertifikatlar ro'yxatiga.

1-rasm – brauzer xavfsizligi oynasi

Buni amalga oshirish uchun sizga kerak:

1. qidiruv maydoniga kiring Windows fayl nomi certmgr.msc(2-rasm). Keyin topilgan faylni sichqonchaning chap tugmasi bilan bosing. Natijada sertifikat tizimining katalogi ochiladi (3-rasm);
   
   
   
   2-rasm – tizim sertifikati katalogini qidiring 3-rasm – sertifikatlarning tizimli katalogi
   
2. bo'limga o'ting Sertifikatlar yon menyu (4-rasm). Keyin papkani o'ng tugmasini bosing Sertifikatlar va ochilgan kontekst menyusida elementni tanlang Barcha vazifalar → Import(5-rasm).
   
   
   
   4-rasm – ishonchli kataloglar 5-rasm – sertifikat importi

   Natijada, u ochiladi Sertifikatlarni import qilish ustasi(6-rasm), unda siz tugmani bosishingiz kerak Keyinchalik sertifikat faylini tanlashni davom ettirish uchun moex.cer(7-rasm);
   
   
   
   6-rasm – sertifikat import ustasi 7-rasm – import qilingan faylni tanlash uchun dialog oynasi

3. tugmasini bosing Ko‘rib chiqish(7, 1-rasmga qarang) va tanlang Moskva birjasining ildiz sertifikati moex.cer. Natijada, dalada Fayl nomi Ushbu faylga yo'l ko'rsatiladi (7.2-rasmga qarang). Keyin tugmani bosishingiz kerak Keyinchalik(7.3-rasmga qarang);
4. tugmasini bosing Keyinchalik dialog oynasida Sertifikat do'koni, standart parametrlarni o'zgartirmasdan (8-rasm), keyin tugmani bosing Tayyor sertifikat importini yakunlash uchun (9-rasm).
   
   
   
   8-rasm - sertifikat do'koni 9-rasm - import tugallandi

Import tugallangach, xavfsizlik oynasi ochiladi. Windows (10-rasm). Kalit barmoq izini tekshiring. Uning raqami rasmda ko'rsatilgan raqamga mos kelishi kerak (10,1). Agar ma'lumotlar mos kelsa, bosing Ha(10.2-rasm).

10-rasm – xavfsizlik oynasi Windows

Natijada muvaffaqiyatli import haqida bildirishnoma ochiladi. Moskva birjasi sertifikati moex.cer ishonchli sertifikatlar ro'yxatiga (11-rasm), unda tugmani bosishingiz kerak KELISHDIKMI.

11-rasm – importni yakunlash

Hujjatlarni to'ldirishda yoki tashkilotni ro'yxatdan o'tkazishda foydalanuvchilar "Ishonchli ildiz organi uchun sertifikatlar zanjirini yaratib bo'lmaydi" xatosiga duch kelishadi. Agar qayta urinib ko'rsangiz, xato yana paydo bo'ladi. Bunday vaziyatda nima qilish kerak, maqolada batafsilroq o'qing.

Sertifikat zanjiridagi xatolar sabablari

Xatolar turli sabablarga ko'ra yuzaga kelishi mumkin - mijoz tomonida Internet bilan bog'liq muammolar, Windows Defender yoki boshqa antiviruslar tomonidan dasturiy ta'minotni blokirovka qilish. Bundan tashqari, sertifikatlashtirish markazining ildiz sertifikatining yo'qligi, kriptografik imzo jarayonidagi muammolar va boshqalar.

Ishonchli ildiz vakolati uchun sertifikat zanjirini yaratishda xatolikni tuzatish

Avvalo, Internetga ulanish bilan bog'liq muammolar yo'qligiga ishonch hosil qiling. Agar kirish imkoni bo'lmasa, xato paydo bo'lishi mumkin. Tarmoq kabeli kompyuter yoki routerga ulangan bo'lishi kerak.

1. "Ishga tushirish" tugmasini bosing va "Buyruqning satri" ni qidiring.
2. Sichqonchaning o'ng tugmasi bilan uni tanlang va "Administrator sifatida ishga tushirish" tugmasini bosing.
3. "ping google.ru" DOS oynasida quyidagi buyruqni kiriting.

Internetga ulanganda siz yuborilgan paketlar, uzatish tezligi va boshqa ma'lumotlar haqidagi ma'lumotlarni ko'rishingiz kerak. Agar Internet bo'lmasa, paketlar o'z manziliga etib bormaganligini ko'rasiz.

Endi sertifikatlashtirish markazining ildiz sertifikati mavjudligini tekshiramiz. Buning uchun:

Agar sertifikat bo'lmasa, uni yuklab olishingiz kerak. Ko'pgina hollarda, u ildiz sertifikatlarida joylashgan va foydalanuvchi faqat uni o'rnatishi kerak. Shuni ham yodda tutish kerakki, ish jarayonida kamroq xato va nosozliklar yuzaga kelishi uchun Internet Explorer brauzeridan foydalanish yaxshidir. CA ni ildiz sertifikatlarida topishga harakat qiling, shundan so'ng "O'rnatish" tugmasini bosish kifoya, brauzeringizni qayta ishga tushiring va siz xato bilan muammoni hal qilasiz - "Ishonchli ildiz vakolati uchun sertifikatlar zanjirini yaratib bo'lmaydi. ”.

Brauzerda CA ildiz sertifikatini tekshirish

Sinov brauzerda amalga oshirilishi mumkin.

1. Menyudan "Xizmat" ni tanlang.
2. Keyin "Internet Options" qatorini bosing.
3. Tarkib yorlig'ini bosing.
4. Bu erda siz "Sertifikatlar" ni tanlashingiz kerak.
5. Keyingi yorliq - "Ishonchli sertifikatlashtirish idoralari". Bu erda CA ildiz sertifikati bo'lishi kerak, odatda u ro'yxatning pastki qismida joylashgan.

Endi xatoga sabab bo'lgan qadamlarni qaytadan sinab ko'ring. Ildiz sertifikatini olish uchun siz UPC ESni olgan tegishli markazga murojaat qilishingiz kerak.

Sertifikat zanjiri xatosini tuzatishning boshqa usullari

Keling, CryptoPro-ni qanday qilib to'g'ri yuklab olish, o'rnatish va undan foydalanishni ko'rib chiqaylik. Dastur shaxsiy kompyuteringizda o'rnatilmaganligiga ishonch hosil qilish uchun (agar kompyuterda bir nechta foydalanuvchilar bo'lsa), "Ishga tushirish" menyusini ochishingiz kerak. Keyin "Dasturlar" ni tanlang va ro'yxatda "CryptoPro" ni qidiring. Agar u mavjud bo'lmasa, biz uni o'rnatamiz. Dasturni https://www.cryptopro.ru/downloads havolasidan yuklab olishingiz mumkin. Bu erda sizga "CryptoPro CSP" kerak - versiyani tanlang.

Keyingi oynada oldindan ro'yxatdan o'tish xabarini ko'rishingiz kerak.

CryptoPro-ni o'rnatish

O'rnatish fayli yuklab olingandan so'ng, uni kompyuteringizga o'rnatish uchun uni ishga tushirishingiz kerak. Tizim dastur kompyuterdagi fayllarni o'zgartirish uchun ruxsat so'raganligi haqida ogohlantirishni ko'rsatadi, bunga ruxsat bering.

Dasturni kompyuteringizga o'rnatishdan oldin barcha tokenlaringiz chiqarib tashlanishi kerak. Brauzer ishlash uchun sozlanishi kerak, Opera brauzeridan tashqari, unda barcha standart sozlamalar allaqachon o'rnatilgan. Foydalanuvchi uchun qolgan yagona narsa - bu ish uchun maxsus plaginni faollashtirish. Jarayon davomida siz Opera ushbu plaginni faollashtirishni taklif qiladigan tegishli oynani ko'rasiz.

Dasturni ishga tushirgandan so'ng, kalitni oynaga kiritishingiz kerak bo'ladi.

Siz ishga tushirish uchun dasturni quyidagi yo'lda topishingiz mumkin: "Boshlash", "Barcha dasturlar", "CryptoPro", "CryptoPro CSP". Ochilgan oynada "Litsenziyani kiritish" tugmasini bosing va oxirgi ustunga kalitni kiriting. Tayyor. Endi dastur sizning ehtiyojlaringizga mos ravishda sozlanishi kerak. Ba'zi hollarda elektron imzolar uchun qo'shimcha yordam dasturlari qo'llaniladi - CryptoPro Office Signature va CryptoAKM. Siz xatoni tuzatishingiz mumkin - ishonchli ildiz markazi uchun sertifikatlar zanjirini yaratish mumkin emas - oddiygina CryptoPro-ni qayta o'rnatish orqali. Boshqa maslahatlar yordam bermasa, buni sinab ko'ring.

Xato hali ham ko'rinyaptimi? Qo'llab-quvvatlash xizmatiga so'rov yuboring, unda siz ketma-ket harakatlaringizning skrinshotlarini joylashtirishingiz va vaziyatingizni batafsil tushuntirishingiz kerak.

O'z-o'zidan imzolangan sertifikatlarni o'rnatish tizim ma'muri uchun juda keng tarqalgan vazifadir. Odatda bu qo'lda amalga oshiriladi, lekin o'nlab mashinalar bo'lsa-chi? Va tizimni qayta o'rnatish yoki yangi shaxsiy kompyuter sotib olayotganda nima qilish kerak, chunki bir nechta sertifikat bo'lishi mumkin. Cheat varaqlarini yozasizmi? Nima uchun, juda oddiy va qulayroq usul mavjud bo'lganda - ActiveDirectory guruh siyosatlari. Siyosatni sozlaganingizdan so'ng, foydalanuvchilarda kerakli sertifikatlar bor-yo'qligi haqida tashvishlanishingiz shart emas.

Bugun biz eksport qilgan Zimbra ildiz sertifikati misolida sertifikat taqsimotini ko'rib chiqamiz. Bizning vazifamiz quyidagicha bo'ladi - sertifikatni birlikka (OU) kiritilgan barcha kompyuterlarga avtomatik ravishda tarqatish - Idora. Bu sizga sertifikatni kerak bo'lmagan joyda o'rnatmaslikka imkon beradi: shimolda, ombor va kassa ish stantsiyalarida va hokazo.

Keling, qo'shimcha komponentni ochamiz va konteynerda yangi siyosat yaratamiz Guruh siyosati ob'ektlari, buni amalga oshirish uchun konteynerni o'ng tugmasini bosing va tanlang Yaratmoq. Siyosat bir vaqtning o'zida bir yoki bir nechta sertifikatlarni o'rnatishga imkon beradi, nima qilish sizga bog'liq, lekin biz har bir sertifikat uchun o'z siyosatimizni yaratishni afzal ko'ramiz, bu bizga ulardan foydalanish qoidalarini yanada moslashuvchan tarzda o'zgartirish imkonini beradi. Bundan tashqari, siz siyosatga aniq nom berishingiz kerak, shunda olti oydan keyin konsolni ochganingizda, nima uchun ekanligini og'riq bilan eslab qolishingiz shart emas.

Keyin siyosatni konteynerga torting Idora, bu uni ushbu birlikka qo'llash imkonini beradi.

Endi siyosatni o'ng tugmasini bosing va tanlang O'zgartirish. Ochilgan Guruh siyosati muharririda biz ketma-ket kengaytiramiz Kompyuter konfiguratsiyasi - Windows konfiguratsiyasi - Xavfsizlik sozlamalari - Ochiq kalit siyosati- . Oynaning o'ng qismida sichqonchaning o'ng tugmasi bilan menyuda tanlang Import va sertifikatni import qiling.

Siyosat yaratildi, endi uning to'g'ri qo'llanilishini tekshirish vaqti keldi. Tez orada Guruh siyosatini boshqarish tanlaylik Guruh siyosati simulyatsiyasi va o'ng tugmasini bosib ishga tushiring Simulyatsiya ustasi.

Ko'pgina sozlamalar sukut bo'yicha qoldirilishi mumkin, siz belgilashingiz kerak bo'lgan yagona narsa - bu siyosatni tekshirmoqchi bo'lgan foydalanuvchi va kompyuter.

Simulyatsiyani amalga oshirgandan so'ng, siyosat ko'rsatilgan kompyuterga muvaffaqiyatli qo'llanilishiga ishonch hosil qilishimiz mumkin, aks holda elementni kengaytiring; Rad etilgan ob'ektlar va nima uchun siyosat ma'lum bir foydalanuvchi yoki kompyuterga taalluqli emasligi sababini ko'rib chiqing.

Keyin biz mijozning shaxsiy kompyuteridagi siyosatning ishlashini tekshiramiz, biz buyruq bilan siyosatlarni qo'lda yangilaymiz;

Gpdate

Endi sertifikatlar do'konini ochamiz. Buning eng oson yo'li - bu orqali Internet Explorer: Internet imkoniyatlari -Tarkib -Sertifikatlar. Bizning sertifikatimiz konteynerda bo'lishi kerak Ishonchli ildiz sertifikatlash idoralari.

Ko'rib turganingizdek, hamma narsa ishlaydi va administratorning bosh og'rig'i bitta kam bo'lsa, sertifikat avtomatik ravishda bo'limga joylashtirilgan barcha kompyuterlarga tarqatiladi. Idora. Agar kerak bo'lsa, siz siyosatni qo'llash uchun yanada murakkab shartlarni belgilashingiz mumkin, ammo bu ushbu maqola doirasidan tashqarida.