Все для предпринимателя. Информационный портал

Главная Открытие юр.лица
Открытие юр.лица

Добавить сертификат в доверенные корневые центры сертификации. Управление доверенными корневыми сертификатами. Дополнительные источники информации

Эта документация перемещена в архив и не поддерживается.

Управление доверенными корневыми сертификатами

Назначение: Windows 7, Windows Server 2008 R2

Из-за растущего разнообразия используемых сертификатов и в виду увеличения количества выпускаемых сертификатов некоторые организации могут захотеть управлять доверительными отношениями сертификатов и пожелают запретить пользователям в домене конфигурирование своих собственных наборов доверенных корневых сертификатов. Кроме того, в некоторых организациях могут пожелать определять и распределять конкретные доверенные корневые сертификаты для поддержки бизнес-сценариев, для которых необходимы дополнительные доверительные отношения.

Управление доверенными корневыми сертификатами

Эта документация архивируется и не поддерживается. Из-за растущего разнообразия используемых сегодня сертификатов и растущего числа проблем с сертификатами некоторые организации могут захотеть управлять доверием сертификатов и запретить пользователям в домене настраивать собственный набор доверенных корневых сертификатов. Кроме того, некоторые организации могут захотеть идентифицировать и распространять определенные доверенные корневые сертификаты, чтобы разрешить бизнес-сценарии, где необходимы дополнительные доверительные отношения.

В этом разделе описаны процедуры для следующих задач.

Управление доверенными корневыми сертификатами для локального компьютера

Администраторы .

Чтобы управлять доверенными корневыми сертификатами локального компьютера, выполните следующие действия.

    Нажмите кнопку Пуск , выберите Начать поиск , введите mmc

    Управление доверенными корневыми сертификатами для локального компьютера

    Этот раздел содержит процедуры для следующих задач.

    Управление доверенными корневыми сертификатами для домена

    Администраторы домена - это минимальное членство в группе, необходимое для выполнения этой процедуры. Добавление сертификатов в хранилище для локального компьютера. Администраторы - это минимальное членство в группе, необходимое для выполнения этой процедуры.

    Добавление сертификатов в хранилище доверенных корневых центров сертификации для домена

    В ситуации, когда вы используете самозаверяющий сертификат, вам необходимо установить сертификат в хранилище доверенных корневых центров сертификации. Вы должны увидеть экран, подобный приведенному выше, из-за того, что вашему самоподписанному сертификату не доверяют.

    В меню Файл выберите команду .

    В группе Доступные оснастки щелкните Редактор объектов локальной групповой политики , нажмите кнопку Добавить , выберите компьютер, на котором располагается изменяемый объект групповой политики (GPO), а затем нажмите кнопку Готово .

    ОК .

    В дереве консоли щелкните Политика локального компьютера , Конфигурация компьютера , Параметры Windows , Настройка безопасности , а затем щелкните Политики открытого ключа .

    Выберите «Продолжить на этом сайте». После того, как у вас установлена ​​кнопка сертификата установки, выберите «Установить сертификат». Это запустит мастер импорта сертификатов. Убедитесь, что выбрана опция «Поместить все сертификаты в следующее хранилище» и выберите пункт «Просмотр».

    Если вы хотите проверить, что сертификат установлен, вы можете загрузить сертификаты, и вы должны увидеть его в разделе «Сертификаты» - официальные сертификаты корневого центра сертификации - сертификаты. Примечание. Вы также можете скопировать его в хранилище сертификатов локальных компьютеров, чтобы оно применимо ко всем пользователям, использующим аппарат.

    Дважды щелкните , а затем щелкните вкладкуХранилища .

    Установите флажок Определить следующие параметры политики .

    В группе снимите флажки и .

    В группе ОК

Управление доверенными корневыми сертификатами для домена

Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы домена .

Если промежуточные сертификаты отсутствуют на сервере, некоторые браузеры могут показывать предупреждения о ненадежном сертификате. Чтобы импортировать промежуточные сертификаты на свой компьютер, выполните следующие действия. Выберите «Локальный компьютер» и нажмите кнопку «Готово».

Была выбрана оснастка «Сертификаты». Выберите хранилище сертификатов, в которое вы хотите импортировать сертификат, в: Средство промежуточной сертификации для промежуточных сертификатов и доверенных корневых центров сертификации для корневых сертификатов.

Чтобы управлять доверенными корневыми сертификатами домена, выполните следующие действия.

    Откройте Диспетчер сервера и в группе Сводка функций нажмите кнопку Добавить функции . Установите флажок , нажмите кнопку Далее , а затем нажмите кнопку Установить .

    После того как на странице Результаты установки появится сообщение об успешной установке консоли управления групповыми политиками, нажмите кнопку Закрыть .

    Мастер обнаружит тип сертификатов и импортирует их в соответствующие магазины. Сертификат успешно импортирован. Таким образом, импорт ручного корневого сертификата может потребоваться только в случае умышленного удаления корневого сертификата. Сертификат от центра сертификации обычно называют доверенным корнем. Чтобы проверить цифровую подпись, вы должны доверять хотя бы одному из сертификатов в цепочке сертификатов пользователя или сервера. Вы можете напрямую доверять сертификату пользователя или сервера, или вы можете доверять любому другому сертификату в цепочке.

    Нажмите кнопку Пуск Администрирование , а затем щелкните элемент Управление групповой политикой .

    Объекты групповой политики в лесу и домене, содержащем изменяемый объект групповой политики (GPO) Политика домена по умолчанию .

    Политика домена по умолчанию и выберите командуИзменить .

    В консоли GPMC перейдите к Конфигурация компьютера , Параметры Windows , Настройка безопасности , а затем щелкните Политики открытого ключа .

    Когда внешний центр сертификации создает сертификаты, вам необходимо импортировать доверенный корень центра сертификации и назначить доверенный корень в хранилище доверия устройства, которому необходимо доверять сертификату.

    • Выберите в форме следующие действия: Импорт.
    • В разделе Автоматический импорт сертификатов с серверов.
    Вы импортируете доверенные корни, чтобы конкретное устройство могло доверять сертификату, отправленному другими компьютерами во время выполнения. После импорта доверенного корня вы можете назначить его правильному хранилищу доверия, связанному с устройством, что позволяет устройству доверять сертификатам, подписанным доверенным корнем.

    Дважды щелкните Параметры подтверждения пути сертификата , а затем щелкните вкладку Хранилища .

    Установите флажок Определить параметры политики .

    В группе Хранилища сертификатов отдельных пользователей снимите флажки Разрешить использование корневых ЦС, которым доверяет пользователь, для проверки сертификатов и Разрешить пользователям доверять сертификатам одноранговой групп в группе флажков Хранилища сертификатов отдельных пользователей .

    После импорта доверенного корня вам необходимо назначить его устройству до его использования диспетчером доступа. Чтобы добавить доверенный корень в существующий хранилище доверия вручную, выполните следующие действия. Заполните следующие поля: Надежные корни: выберите доверенное корневое хранилище. Обновите устройство, использующее этот магазин доверия. . Вы можете экспортировать доверенный корневой или сертификат открытого ключа в файл, чтобы клиент мог использовать его для проверки цепочки сертификатов, отправленной приложением с криптографией, или для резервного копирования файла.

    В группе Хранилища корневых сертификатов выберите корневые центры сертификации, которым могут доверять клиентские компьютеры, а затем нажмите кнопку ОК , чтобы применить новые параметры.

Добавление сертификатов в хранилище доверенных корневых центров сертификации для локального компьютера

Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы .

Вы можете экспортировать сертификат в следующих форматах. Это отображает данные сертификата, чтобы вы могли скопировать его в системный буфер обмена. Затем вы можете вставить его непосредственно в приложение с поддержкой криптографии. Чтобы экспортировать открытый сертификат.

Кластер имени устройства Имя кластера с использованием этого хранилища доверия или единственного устройства, использующего хранилище доверия.

  • Имя хранилища доверенных имен Имя выбранного хранилища доверия.
  • Целевые хранилища участников кластера Хранилища доверия, назначенные кластеру.
  • Если устройство не принадлежит кластеру, этот раздел не отображается.
Просмотрите следующую информацию.

Чтобы добавить сертификаты в хранилище доверенных корневых центров сертификации локального компьютера, выполните следующие действия.

    Нажмите кнопку Пуск , выберите Начать поиск , введите mmc , а затем нажмите клавишу ВВОД.

    В меню Файл выберите пункт Добавить или удалить оснастку .

    В группе Доступные оснастки щелкните Сертификаты , а затем нажмите кнопку Добавить .

    В группе Эта оснастка всегда будет управлять сертификатами для щелкните Учетная запись компьютера , а затем нажмите кнопку Далее

    Любые настроенные альтернативные имена отображаются в списке. Раздел «Использование ключа» указывает, должно ли приложение отклонять сертификат, если приложение не понимает расширения использования ключа. Подписать сертификаты: указывает, что сертификат используется для подписания других сертификатов.

    Шифрование других ключей: указывает, что сертификат используется для шифрования ключей. Шифровать данные напрямую: указывает, что сертификат шифрует данные для частной передачи владельцу пары ключей. Эти данные могут считывать только предназначенные приемники.

    Щелкните Локальный компьютер , а затем нажмите кнопку Готово .

    Если на консоль не нужно добавлять другие оснастки, нажмите кнопку ОК .

    В дереве консоли дважды щелкните Сертификаты .

    .

    Нажмите кнопку Импорт , чтобы импортировать сертификаты и выполнить инструкции мастера импорта сертификатов.

    Создание цифровых подписей: указывает, что сертификат используется для создания цифровых подписей. Неотказание: указывает, что сертификат связывает цифровую подпись с подписью и данными. Это не позволяет другим дублировать подпись, потому что никто другой не имеет личный ключ подписывающего лица. Кроме того, подписавший не может отрицать, что подписал данные.

    Доступ к информации о полномочиях: отображает список ответчиков протокола сетевого сертификата, которые встроены в сертификат в качестве расширения во время создания сертификата. Выберите один из следующих действий. Экспорт открытого сертификата. Позволяет экспортировать доверенный корень в файл, чтобы клиент мог использовать его для проверки цепочки сертификатов, отправленной приложением с криптографией. В разделе Экспорт открытого сертификата. Добавление доверенного корня в доверительные хранилища: позволяет назначить доверенный корень устройству, чтобы он мог использоваться этим устройством.

Добавление сертификатов в хранилище доверенных корневых центров сертификации для домена

Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы домена .

Чтобы добавить сертификаты в хранилище доверенных корневых центров сертификации домена, выполните следующие действия.

    Откройте Диспетчер сервера и в группе Сводка компонентов нажмите кнопку Добавить компоненты . Установите флажок Управление групповой политикой , нажмите кнопку Далее , а затем кнопку Установить .

    Управление доверенными корневыми сертификатами

    В разделе Добавление доверенных корней в доверительные магазины. Это происходит чаще всего по одной из следующих причин. Самозаверяющие сертификаты могут быть сгенерированы бесплатно, но они не обеспечивают столько доверия, как коммерческий сертификат. Веб-сайт использует самозаверяющий сертификат. . Последний вариант является очень распространенным.

    Как исправить ненадежную ошибку

    Иногда некоторые браузеры будут давать эту ошибку, если другие не делают этого. Как только надежный сертификат будет установлен правильно, все браузеры будут работать без получения этой ошибки. Большинство веб-браузеров дают понять, что вам не следует продолжать, когда вы получите эту ошибку. Это связано с тем, что, хотя большую часть времени это не так, это может указывать на то, что фишер пытается передать сайт как законный сайт, Вы определенно не должны продолжать эту ошибку на больших сайтах, таких как ваш банк.

    После того как на странице Результаты установки появится сообщение об успешной установке консоли управления групповой политикой (GPMC), нажмите кнопку Закрыть .

    Нажмите кнопку Пуск , наведите указатель мыши на пункт Администрирование и выберите пункт Управление групповой политикой .

    В дереве консоли дважды щелкните узел Объекты групповой политики в лесу и домене, содержащем изменяемый объект групповой политики Политика домена по умолчанию .

    Различные сертификаты не допускаются к ошибкам в разных веб-браузерах

    Эта ошибка часто формулируется по-разному в зависимости от веб-браузера. Вот несколько распространенных способов, по которым ошибка, не доверенная сертификату, указана в других браузерах. На ваш вопрос параметры цепочки или доверенных сертификатов предназначены для проверки сертификата клиента и не имеют никакого отношения к сертификату сервера.

    Не могли бы вы помочь мне понять это. Будет трудно ответить Кевину. Сертификат сервера и его частный ключ являются наиболее интересными для вас файлами. Частный ключ никогда не должен отдаваться кому-то другому. Например, если у них нет корневого сертификата в своем браузере, как им можно доверять? Корневой центр сертификации подписывает сертификаты промежуточных органов сертификации.

    Щелкните правой кнопкой мыши объект групповой политики Политика домена по умолчанию и выберите команду Изменить .

    В консоли управления групповой политикой перейдите в раздел Конфигурация компьютера , Параметры Windows , Настройка безопасности и щелкните Политики открытого ключа .

    Щелкните правой кнопкой мыши хранилище Доверенные корневые центры сертификации .

    Если хеш-значения не совпадают, доверие нарушается. Он будет обновлен новыми версиями браузера. Еще одна вещь - открытый ключ вашего сертификата сервера. Существует такая же математическая связь, как описано выше между открытым ключом и закрытым ключом вашего сертификата сервера. Клиент шифрует открытый ключ ключей основных материалов и отправляет его на сервер. Он может быть расшифрован сервером с помощью закрытого ключа. Если у сервера нет соответствующего закрытого ключа, он не может декодировать ключевой материал и тормоза рукопожатия.

    Нажмите кнопку Импорт и выполните инструкции мастера импорта сертификатов, чтобы импортировать сертификаты.

Дополнительные источники информации

Сертификаты, которые используются в работе системы Контур Экстерн, можно добавить или удалить c помощью консоли mmc из следующих хранилищ:

Управление доверенными корневыми сертификатами для локального компьютера

Ничего не стоит тормозить эту цепь. Получение дополнительного открытого ключа легко для злоумышленника, и теперь он может перехватить цепочку, выдав действительные и доверенные сертификаты сервера или сертификаты клиентов. «Корневой» орган - это эмитент сертификатов, которому стороны предпочитают доверять. Это обычно самозапись и очень сильно защищена. Промежуточный орган является эмитентом сертификата, который сам был выпущен корневым или другим промежуточным органом высшего уровня. Существует несколько причин, по которым может существовать промежуточный орган.

  • Другие пользователи (хранилище сертификатов контролирующих органов)
  • Доверенные корневые центры сертификации и Промежуточные центры сертификации (хранилища сертификатов Удостоверяющего Центра ).

Установка личных сертификатов производится только с помощью программы Крипто Про.

Для запуска консоли необходимо выполнить следующие действия:

1. Выбрать меню Пуск / Выполнить (или на клавиатуре одновременно нажать клавиши Win+R ).

Поскольку безопасность корневого центра настолько важна, его воздействие ограничено. Оно включено достаточно долго, чтобы выдавать сертификаты промежуточных полномочий, а затем выключено и помещено в хранилище. Задача центра сертификации заключается в том, чтобы выдавать сертификаты - как клиентские сертификаты, так и серверные сертификаты, а также потому, что авторитет может быть в бизнесе для выдачи большого количества сертификатов, поэтому такая загрузка на одном уровне неразумно. несколько промежуточных сертификатов, и эти органы могут выдавать сертификаты клиентов и серверов. Опять же, связь между этими объектами основана на криптографии, в частности на цифровых подписях.

2. Указать команду mmc и нажать на кнопку ОК .

3. Выбрать меню Файл / Добавить или удалить оснастку (см. рис. 1).

Рис. 1. Окно консоли

4. Выбрать из списка оснастку Сертификаты и кликнуть по кнопке Добавить (см. рис. 2).


Рис. 2. Добавление оснастки

5. В открывшемся окне установить переключатель Моей учетной записи пользователя и нажать на кнопкуГотово (см. рис. 3).


Рис. 3. Оснастка диспетчера сертификатов

6. Выбрать из списка справа добавленную оснастку и нажать на кнопку ОК (см. рис. 4).


Рис. 4. Выбор добавленной оснастки


Установка сертификатов

1. Открыть необходимое хранилище (например, доверенные корневые центры сертификации). Для этого раскрыть ветку Сертификаты — текущий пoльзователь / Доверенные корневые центры сертификации / Сертификаты (см. рис. 5).


Рис. 5. Окно консоли

2. Выбрать меню Действие / Все задачи / Импорт (см. рис. 6).


Рис. 6. Меню «Все задачи / Импорт»

3. В отрывшемся окне нажать на кнопку Далее .

4. Далее следует нажать на кнопку Обзор и указать файл сертификата для импорта (корневые сертификатыУдостоверяющего Центра можно скачать с сайта Удостоверяющего центра , сертификаты контролирующих органов находятся на сайте системы «Контур-Экстерн»). После выбора сертификата необходимо кликнуть по кнопке Открыть (см. рис. 7), а затем по кнопке Далее .


Рис. 7. Выбор сертификата для импорта

5. В следующем окне необходимо нажать на кнопку Далее (нужное хранилище выбрано автоматически). См. рис. 8.


Рис. 8. Выбор хранилища

6. Нажать на кнопку Готово для завершения импорта (см. рис. 9).


Рис. 9. Завершение импорта сертификата


Удаление сертификатов

Чтобы удалить сертификаты с помощью консоли mmc (например, из хранилища Другие пользователи), необходимо проделать следующие действия:

Раскрыть ветку Сертификаты — текущий пoльзователь / Другие пользователи / Сертификаты . В правой части окна отобразятся все сертификаты, установленные в хранилище Другие пользователи . Выделите необходимый сертификат, щелкните по нему правой кнопкой мыши и выберите Удалить (см. рис. 10).


Рис. 10. Окно консоли

Понравилась статья? Поделитесь с друзьями!
Twitter
распечатать
Была ли эта статья полезной?
Да
Нет
Спасибо, за Ваш отзыв!
Что-то пошло не так и Ваш голос не был учтен.
Спасибо. Ваше сообщение отправлено
Нашли в тексте ошибку?
Выделите её, нажмите Ctrl + Enter и мы всё исправим!
Похожие советы
В океанах истощатся запасы рыбы
В океанах истощатся запасы рыбы
Демографические Монголии - Demographics of Mongolia Уровень жизни населения
Демографические Монголии - Demographics of Mongolia Уровень жизни населения
Всё о техпаспорте жилых строений Получить тех паспорт на квартиру
Всё о техпаспорте жилых строений Получить тех паспорт на квартиру
Анализ эффективности финансовых вложений и инвестиционной политики компаний Анализ эффективности финансовых вложений инвестиционный анализ
Анализ эффективности финансовых вложений и инвестиционной политики компаний Анализ эффективности финансовых вложений инвестиционный анализ
Порядок формирования и применение кодов бюджетной классификации в бюджетном учете
Порядок формирования и применение кодов бюджетной классификации в бюджетном учете
Генеральный план развития парнаса
Генеральный план развития парнаса