Kök sertifikayı güvenilenlere ekleyin. İnternet'e doğrudan erişimi olmayan Windows bilgisayarlarda Güvenilen Kök Sertifika Yetkilileri sertifika deposunu otomatik olarak güncelleyin. Sertifikalar - geçerli kullanıcı

Elektronik İmzayı (EDS) kontrol ederken, bilgisayarınızın yalnızca EDS'nizin geçerlilik süresini belirlemesi değil, aynı zamanda Elektronik İmzayı kimin verdiğini de anlaması gerekir. her birinde EDS sertifikası imzanın hangi Sertifika Yetkilisi (CA) tarafından verildiği belirtilir. Sistem EDS üreticisini "okuduktan" sonra bu üreticinin kendisi hakkında bilgi almanız gerekir. Bunu yapmak için kullanıcının bilgisayarına bir kök sertifikası yüklenir.

Kullanıcının bilgisayarında bir Sertifika Yetkilisinin kök sertifikası yüklüyse, bu CA tarafından verilen tüm sertifikalar geçerli kabul edilir (geçerlilik sürelerinin henüz dolmamış olması şartıyla).

Yukarıdakilerin tümünü dikkate aldığımızda, sertifikanın alınabilmesi için şu sonuca varıyoruz: elektronik imza sistem tarafından "geçerli" olarak algılanıyorsa, ayarlamanız gerekir kök sertifikalar Dijital imzayı veren Sertifika Yetkilisi.

Kök sertifikayı yüklemeye başlayalım:

Kök sertifikayı yüklemeden önce, dijital imzanızı veren sertifika yetkilisinin web sitesinden veya web sitemizin şu bölümünden indirin: .

1. Kaydedilen sertifikaya çift tıklayın veya sağ tıklayın ve şekilde gösterildiği gibi öğeyi seçin.

2. Görünen pencerede “İleri” düğmesine tıklayın.

3. Bir sonraki pencerede, “Tüm sertifikaları aşağıdaki mağazaya yerleştir” seçeneğini seçin ve “Gözat…” düğmesine tıklayın.

4. Açılan pencerede "Güvenilen Kök Sertifika Yetkilileri"ni seçin ve "Tamam"a tıklayın.

5. Açılır pencere kapanacak ve resimde gösterildiği gibi olması gerekir. “Sertifika Saklama” alanındaki bilgiler görünmüyorsa 3. ve 4. adımlara dönüp bu adımları tekrar tekrarlayın. Her şey şekilde gösterildiği gibi görüntüleniyorsa "İleri"ye tıklayın.

6. Bitirdiğinizde "Bitti"yi tıklayın.

7. Sertifika Alma Sihirbazı penceresini kapattıktan sonra sistem, sertifikaların bilgisayarınıza yüklenmesiyle ilgili bir uyarı verebilir. Bu mesaj birkaç kez görünebilir. Her seferinde "EVET" düğmesine basın.

8. Önceki mesaj görüntülenmezse şekilde gösterildiği gibi sonraki pencerede “Tamam”a tıklayın.

Neşelenelim! Artık Sertifika Yetkilisinin kök sertifikası başarıyla kuruldu!

Bir arkadaşım (antelecs.ru'dan Seryoga), güvenilir kök sertifika yetkililerinin deposuna birkaç sertifika ekleme rutin sürecini bir şekilde hızlandırmanın/otomatikleştirmenin mümkün olup olmadığı sorusuyla bana yaklaştı. Sorun bana ilginç geldi ve sitenin temasıyla alakalıydı, bu yüzden çözümü burada yayınlamaya karar verdim. Cybersoft'tan ücretsiz yazılım indirmenizi öneririm!

Elbette, GPO veya başka bir iş-idari iş ile uğraşabilirim, ancak bazı nedenlerden dolayı ilk düşüncem, RAR arşivleyicisi biçimindeki mevcut araçları ve onun kendi kendine açılan (SFX) arşivler oluşturma işlevini kullanmaktı.

Sertifikaların otomatik kurulumu

Windows SDK'dan certmgr.exe yardımcı programına ihtiyacımız olacak. Nasıl kullanılacağına dair bilgiler bu sayfadadır.

Bağlam menüsünde tüm dosyaları seçerken “Arşive ekle...” komutunu seçin.

Arşiv parametrelerini belirtin. Burada yürütülebilir çıktı dosyası için isteğe bağlı bir ad belirleyebilirsiniz ve ayrıca "SFX arşivi oluştur" onay kutusunu da işaretlemeniz gerekir.

"Gelişmiş" sekmesinde "SFX Seçenekleri..." düğmesini tıklayın.

"Genel" sekmesinde, paketin açılması için yolu belirtin - geçerli klasörü veya alt dizinini belirtebilirsiniz.

En ilginç şey: “Kurulum” sekmesinde, dosyaları çıkardıktan sonra hangi komutların çalıştırılacağını belirtiyoruz. Geçerli dizin, dosyaların açıldığı dizin olacaktır. Sertifikayı mağazaya yükleme komutu şuna benzer:

certmgr.exe -add -c "Dosya adı.cer" -s -l localMachine root

burada localMachine bilgisayarın kurulumu anlamına gelir ve kök, Güvenilen Kök Sertifika Yetkilileri deposunun adıdır.

Kullanım kolaylığı için tüm iletişim kutularını gizleyebilirsiniz (aksi takdirde, paketi açmak vb. için bir dizin seçmek için bir iletişim kutusu görüntülenecektir).

Yorumlar sekmesi, paketin açılması sırasında gerçekleştirilen tüm eylemleri görüntüler. Prensip olarak buraya manuel olarak metin girebilirsiniz ve aynı şey olacaktır.

Konuyla ilgili video

Süreci daha iyi anlamak için kısa bir video kaydettim!

Web hesabıyla bağlantı kurmaya çalışırken bir tarayıcı güvenlik penceresi açılırsa (Şekil 1), eklemeniz gerekir Moskova Borsası kök sertifikası moex.cer listeye güvenilir sertifikalar.

Şekil 1 – tarayıcı güvenlik penceresi

Bunu yapmak için ihtiyacınız olan:

arama alanına girin Windows dosya adı certmgr.msc(Şekil 2). Daha sonra bulunan dosyaya sol tıklayın. Sonuç olarak, sertifika sistemi dizini açılacaktır (Şekil 3);

Şekil 2 – sistem sertifikası dizinini arayınŞekil 3 - sertifikaların sistem dizini
bölüme git Sertifikalar yan menü (Şek. 4). Daha sonra klasöre sağ tıklayın Sertifikalar ve açılan içerik menüsünde öğeyi seçin Tüm görevler→İçe aktar(Şekil 5).

Şekil 4 – güvenilir dizinler Şekil 5 – sertifikanın içe aktarımı
Sonuç olarak açılacak Sertifika İçe Aktarma Sihirbazı(Şek. 6), düğmeye basmanız gereken Sonraki sertifika dosyası seçmeye devam etmek için moex.cer(Şekil 7);

Şekil 6 – Sertifika içe aktarma sihirbazı Şekil 7 – içe aktarılan bir dosyayı seçmek için iletişim kutusu
düğmeye basın Gözden geçirmek(bkz. Şekil 7, 1) ve Moskova Borsası moex.cer'in kök sertifikası. Sonuç olarak sahada Dosya adı Bu dosyanın yolu görüntülenecektir (bkz. Şekil 7.2). O zaman düğmeye basmalısın Sonraki(bkz. Şekil 7.3);
düğmeye basın Sonraki iletişim kutusunda Sertifika deposu varsayılan parametreleri değiştirmeden (Şekil 8), ardından düğmesine tıklayın Hazır Sertifika içe aktarma işlemini tamamlamak için (Şekil 9).

Şekil 8 – sertifika deposu Şekil 9 – içe aktarma tamamlandı

İçe aktarma işlemi tamamlandıktan sonra bir güvenlik penceresi açılacaktır. Windows (Şek. 10). Anahtar parmak izini kontrol edin. Numarası şekilde (10,1) belirtilen numarayla eşleşmelidir. Veriler eşleşiyorsa tıklayın Evet(Şekil 10.2).

Şekil 10 – güvenlik penceresi Windows

Sonuç olarak, başarılı içe aktarmayla ilgili bir bildirim açılacaktır. Moskova Değişim sertifikası moex.cer düğmesine tıklamanız gereken güvenilir sertifikalar listesine (Şekil 11) TAMAM.

Şekil 11 – içe aktarmanın tamamlanması

Güvenilir kök sertifika yetkililerinin sertifika deposunun Windows işletim sistemi çalıştıran hedef bilgisayarlarda güncellenmemesi nedeniyle doğru yazılım dağıtımının imkansızlığı sorunuyla (bundan sonra kısaca bu mağazaya TrustedRootCA adını vereceğiz). O zaman sorun paketin dağıtılmasıyla çözüldü rootupd.exe, makalede mevcut KB931125, işletim sistemiyle ilgili Windows XP. Artık bu işletim sistemi Microsoft desteğinden tamamen çekilmiştir ve bu KB makalesinin artık Microsoft web sitesinde bulunmamasının nedeni bu olabilir. Bütün bunlara, o zamanlar bile, o zamanlar zaten güncelliğini kaybetmiş bir sertifika paketinin dağıtımıyla ilgili çözümün en uygun çözüm olmadığını ekleyebiliriz, çünkü o zamanlar işletim sistemi olan sistemler Windows Vista Ve Windows 7 TrustedRootCA sertifika deposunu otomatik olarak güncellemek için zaten yeni bir mekanizma içeriyordu. Windows Vista ile ilgili, böyle bir mekanizmanın nasıl çalıştığının bazı yönlerini açıklayan eski makalelerden biri:Windows Vista'da Sertifika Desteği ve Sonuçta Ortaya Çıkan İnternet İletişimi . Son zamanlarda, bir dizi Windows tabanlı istemci bilgisayarda ve sunucuda TrustedRootCA sertifika deposunu güncelleme ihtiyacı duyma sorunuyla yeniden karşılaştım. Bu bilgisayarların hepsinin internete doğrudan erişimi bulunmuyor ve bu nedenle otomatik sertifika yenileme mekanizması görevini istenildiği gibi yerine getirmiyor. İnternete tüm bilgisayarlara, hatta belirli adreslere bile doğrudan erişim açma seçeneği başlangıçta aşırı bir seçenek olarak değerlendirildi ve daha kabul edilebilir bir çözüm arayışı beni bu makaleye yönlendirdi.Güvenilir Kökleri ve İzin Verilmeyen Sertifikaları Yapılandırma(RU ), tüm sorularıma anında cevap veren kişi. Genel olarak, bu makaleye dayanarak, bu notta kısaca özetleyeceğim spesifik örnek Windows Vista ve üzeri bilgisayarlardaki TrustedRootCA sertifika deposu için aynı otomatik güncelleme mekanizmasını merkezi olarak nasıl yeniden yapılandırabileceğinizi, böylece yerel kurumsal ağdaki bir dosya kaynağını veya web sitesini güncelleme kaynağı olarak kullanmasını nasıl sağlayabileceğiniz.

Öncelikle dikkat etmeniz gereken, bilgisayarlara uygulanan grup politikalarında otomatik güncelleme mekanizmasının çalışmasını engelleyen parametrenin etkinleştirilmemesi gerektiğidir. Bu bir parametredir Otomatik Kök Sertifika Güncellemesini Kapat bölümde Bilgisayar Yapılandırması > Yönetim Şablonları > Sistem > İnternet İletişim Yönetimi > İnternet İletişimi ayarları. Bu parametreye ihtiyacımız olacak Kapalı veya sadece Yapılandırılmadı.

Altındaki TrustedRootCA sertifika deposuna bakarsanız Yerel bilgisayar, o zaman İnternet'e doğrudan erişimi olmayan sistemlerde, sertifika kümesi küçük olacaktır:

Bu dosya, örneğin mevcut sertifikaların tüm alt kümesinden yalnızca belirli bir seti seçmeniz ve bunları daha fazla yükleme için ayrı bir SST dosyasına yüklemeniz gerektiğinde, örneğin yerel sertifika yönetimi konsolunu kullanarak veya Grup İlkesi yönetim konsolu (parametre aracılığıyla bazı veya etki alanı ilkelerine içe aktarmak için Bilgisayar Yapılandırması > Politikalar > Windows Ayarları > Güvenlik Ayarları > Ortak Anahtar Politikaları > Güvenilir Kök Sertifika Yetkilileri).

Ancak, bizi ilgilendiren kök sertifikaları dağıtma yöntemi için, son istemci bilgisayarlarda otomatik güncelleme mekanizmasının çalışmasını değiştirerek, mevcut kök sertifikalar kümesinin biraz farklı bir temsiline ihtiyacımız olacak. Aynı yardımcı programı kullanarak alabilirsiniz Certutil, ancak farklı bir tuş takımıyla.

Örneğimizde, bir dosya sunucusundaki paylaşılan ağ klasörü, yerel dağıtım kaynağı olarak kullanılacaktır. Ve burada, böyle bir klasörü hazırlarken, herhangi birinin kök sertifika kümesini değiştirebilmesini önlemek için yazma erişimini kısıtlamak gerektiğine dikkat etmek önemlidir; bu daha sonra birçok kişiye "yayılacaktır". bilgisayarlar.

Certutil-syncWithWU -f -f \\DOSYA-SUNUCU\PAYLAŞIM\RootCAupd\GPO-Deployment\

Anahtarlar -f -f, hedef dizindeki tüm dosyaların güncellenmesini zorlamak için kullanılır.

Komutun yürütülmesi sonucunda, belirttiğimiz ağ klasöründe toplam hacmi yaklaşık yarım megabayt olan birçok dosya görünecektir:

Daha önce bahsedilenlere göre makaleler , dosyaların amacı aşağıdaki gibidir:

Dosya authrootstl.cabüçüncü taraf sertifika güven listelerini içerir;
Dosya izin verilmeyencertstl.cab güvenilmeyen sertifikalara sahip bir sertifika güven listesi içerir;
Dosya izin verilmeyen sertifika.sst güvenilmeyen sertifikalar da dahil olmak üzere serileştirilmiş sertifikaların bir deposunu içerir;
Gibi adlara sahip dosyalar parmak izi.crtüçüncü taraf kök sertifikaları içerir.

Böylece otomatik güncelleme mekanizmasının çalışması için gerekli dosyalar alındı ve şimdi bu mekanizmanın çalışma şemasında değişiklikler uygulamaya geçiyoruz. Bunun için her zaman olduğu gibi domain grubu politikaları imdadımıza yetişiyor. Aktif Dizin (GPO), diğer merkezi yönetim araçlarını kullanabilseniz de, tüm bilgisayarlarda yapmamız gereken tek şey yalnızca bir kayıt defteri parametresini değiştirmek veya daha doğrusu eklemektir. KökDirURL iplikte HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate daha önce bir dizi kök sertifika dosyası yerleştirdiğimiz ağ dizinimizin yolunu belirleyecek.

GPO kurmaktan bahsetmişken, görevi gerçekleştirmek için yine farklı seçenekleri kullanabilirsiniz. Örneğin, zaten tanıdık olan bölümde açıklandığı gibi, kendi Grup İlkesi şablonunuzu oluşturmanın "eski usul" bir seçeneği vardır. madde . Bunu yapmak için GPO yönetim şablonu biçiminde bir dosya oluşturun ( A.D.M.), örneğin RootCAUpdateLocalPath.adm adı ve içeriğiyle:

SINIF MAKİNE KATEGORİSİ !!SistemSertifikaları ANAHTAR ADI " Yazılım\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" POLİTİKA !!RootDirURL AÇIKLAMA !!RootDirURL_help BÖLÜM !!RootDirURL EDITTEXT VALUENAME "RootDirURL " SON BÖLÜM SON POLİTİKA SON KATEGORİSİ RootDirURL=Varsayılan ctldl.windowsupdate.com yerine kullanılacak URL adresi" RootDirURL_help=DOSYA veya HTTP URL'si girin CTL dosyalarının indirme konumu olarak kullanmak için." SystemCertificates="Windows Otomatik Güncelleme Ayarları"

Bu dosyayı %SystemRoot%\inf dizinindeki (genellikle C:\Windows\inf dizini) etki alanı denetleyicisine kopyalayalım. Bundan sonra alan adı grup politikası düzenleyicisine gidip ayrı bir yeni politika oluşturalım, ardından düzenlemeye açalım. Bölümde Bilgisayar Yapılandırması > Yönetim Şablonları… içerik menüsünü açın ve yeni bir politika şablonu bağlama seçeneğini seçin Şablon Ekle/Kaldır

Açılan pencerede önceden eklenmiş dosyayı seçmek için gözat düğmesini kullanın %SystemRoot%\inf\RootCAUpdateLocalPath.admŞablon listede göründükten sonra öğesine tıklayın. Kapalı.

Bölümdeki işlemi tamamladıktan sonra Yapılandırma > Yönetim Şablonları > Klasik Yönetim Şablonları (A.D.M.) bir grup görünecek Windows Otomatik Güncelleme Ayarları, burada tek parametre mevcut olacak Varsayılan ctldl.windowsupdate.com yerine kullanılacak URL adresi

Bu parametreyi açalım ve daha önce indirdiğimiz güncelleme dosyalarını konumlandırdığımız yerel kaynağın yolunu http://sunucu1/klasör veya file://\\sunucu1\klasör formatında girelim.
Örneğin file://\\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment

Yapılan değişiklikleri kaydedelim ve oluşturulan politikayı hedef bilgisayarların bulunduğu etki alanı kapsayıcısına uygulayalım. Ancak, GPO'ları kurmanın dikkate alınan yönteminin bir takım dezavantajları vardır ve bu yüzden onu "eski usul" olarak adlandırdım.

İstemci kayıt defterini ayarlamanın daha modern ve daha gelişmiş başka bir yöntemi, Grup İlkesi Tercihleri (JES). Bu seçenekle Grup İlkesi bölümünde ilgili GPP nesnesini oluşturabiliriz. Bilgisayar Yapılandırması > Tercihler > Kayıt defteri parametre güncellemesiyle ( Aksiyon: Güncelleme) kayıt defteri KökDirURL(değer türü REG_SZ)

Gerekirse oluşturulan GPP parametresi için esnek bir hedefleme mekanizmasını etkinleştirebiliriz (Sekme Yaygın>Seçenek Öğe düzeyinde hedefleme) grup ilkelerini uyguladıktan sonra nihai olarak ne elde edeceğimizin ön testi için belirli bir bilgisayarda veya bilgisayar grubunda.

Tabii ki, kendi bağlantınızı bağlayarak bir seçenek seçmeniz gerekiyor. A.D.M.-şablon veya kullanma JES.

Herhangi bir deneysel istemci bilgisayarda grup politikalarını ayarladıktan sonra komutuyla güncelleme yapacağız. gpupdate /force ardından yeniden başlatma yapılır. Sistem önyüklendikten sonra, oluşturulan anahtarın olup olmadığını kayıt defterinde kontrol edin ve kök sertifika deposunun güncellenip güncellenmediğini kontrol etmeye çalışın. Kontrol etmek için notta açıklanan basit ama etkili bir örneği kullanacağız.Güvenilir Kökler ve İzin Verilmeyen Sertifikalar .

Örneğin, bilgisayarın sertifika deposunda, buypass.no adlı bir siteye yüklenen bir sertifikayı vermek için kullanılan bir kök sertifika olup olmadığına bakalım (ancak henüz sitenin kendisine gitmiyoruz :)).

Bunu yapmanın en uygun yolu araçların yardımıyladır. PowerShell:

Get-ChildItem sertifikası:\localmachine\root | Nerede ( $_ .friendsname -like " *Buypass* " )

Yüksek olasılıkla böyle bir kök sertifikaya sahip olmayacağız. Eğer öyleyse açarız İnternet Explorer ve URL'ye erişin https://buypass.no . Kök sertifikaları otomatik olarak güncellemek için yapılandırdığımız mekanizma başarılı bir şekilde çalışıyorsa, Windows olay günlüğünde Başvuru kaynağı olan bir olay ( Kaynak) CAPI2, yeni kök sertifikanın başarıyla indirildiğini belirtir:

Günlük adı: Uygulama

“Diğer kullanıcılar” düzenleyici makamlardan alınan sertifikaların deposudur;
"Güvenilen Kök Sertifika Yetkilileri" ve "Ara Sertifika Yetkilileri", Sertifika Yetkilisi sertifikalarının depolarıdır.

Kurulum kişisel sertifikalar yalnızca Crypto Pro programı kullanılarak yapılabilir.

Konsolu başlatmak için aşağıdakileri yapmanız gerekir:

1. “Başlat” menüsü > “Çalıştır”ı seçin (veya aynı anda klavyenizdeki “Win + R” tuşlarına basın).

2. mmc komutunu belirtin ve “OK” butonuna tıklayın.

3. Dosya > Ek Bileşen Ekle veya Kaldır'ı seçin.

4. Listeden “Sertifikalar” ek bileşenini seçin ve “Ekle” düğmesine tıklayın.

5. Açılan pencerede “Benim hesap Kullanıcı" ve "Son" düğmesine tıklayın.

6. Sağdaki listeden eklenen ekipmanı seçin ve “Tamam” butonuna tıklayın.

Sertifikaları yükleme

1. Gerekli havuzu açın (örneğin, Güvenilen Kök Sertifika Yetkilileri). Bunu yapmak için “Sertifikalar - geçerli kullanıcı” > “Güvenilen Kök Sertifika Yetkilileri” > “Sertifikalar” dalını genişletin.

2. Eylem menüsü > Tüm Görevler > İçe Aktar'ı seçin.

4. Ardından, “Gözat” düğmesine tıklayın ve içe aktarılacak sertifika dosyasını belirtin (Sertifika Merkezinin kök sertifikaları Sertifikasyon Merkezi web sitesinden indirilebilir, düzenleyici otoritelerin sertifikaları Kontur.Extern sisteminin web sitesinde bulunur) . Sertifikayı seçtikten sonra “Aç” butonuna ve ardından “İleri” butonuna tıklamalısınız.

5. Bir sonraki pencerede “İleri” butonuna tıklamalısınız (istenen depolama alanı otomatik olarak seçilir).

6. İçe aktarmayı tamamlamak için “Son” düğmesine tıklayın.

Sertifikaları kaldırma

Sertifikaları mmc konsolunu kullanarak kaldırmak için (örneğin Diğer Kullanıcılar deposundan) aşağıdakileri yapmanız gerekir:

“Sertifikalar - geçerli kullanıcı” > “Diğer kullanıcılar” > “Sertifikalar” dalını genişletin. Pencerenin sağ tarafında Diğer Kullanıcılar deposunda yüklü olan tüm sertifikalar görüntülenecektir. Gerekli sertifikayı seçin, üzerine sağ tıklayın ve "Sil" seçeneğini seçin.