Как добавить сертификат Центра Сертификации (CA) в доверенные в Windows –

Как добавить сертификат Центра Сертификации (CA) в доверенные в Windows - Сертификаты
На чтение 10 мин. Просмотров 43 Опубликовано
Содержание
  1. Что такое корневой сертификат
  2. Инструкция по установке корневого сертификата удостоверяющего центра
  3. Как добавить корневой сертификат в доверенные в windows в веб браузеры
  4. Какая информация содержится в корневом сертификате
  5. Какие бывают корневые сертификаты и для чего нужны
  6. Можно ли установить электронную подпись без корневого сертификата
  7. Открываем доступ пользователю к хранилищу сертификатов локального компьютера
  8. Помогла ли вам эта статья?
  9. Способ 1. установите сертификаты из доверенных цс
  10. Способ 1: окно «выполнить»
  11. Способ 2. установите сертификаты с помощью консоли управления microsoft
  12. Способ 2: панель управления

Что такое корневой сертификат

Корневой сертификат — это файл, в котором указаны данные удостоверяющего центра (УЦ). Например, название УЦ, его ИНН и адрес, срок действия сертификата, какой алгоритм шифрования использует УЦ. 

К этим данным обращается криптопровайдер, когда проверяет действительность электронной подписи пользователя. Если не установить корневой сертификат на компьютер, где используется электронная подпись, то подпись не будет работать корректно.

Чтобы быстро установить корневой сертификат и настроить компьютер, используйте бесплатный сервис Контур.Веб-диск. Он скачает все плагины и файлы, необходимые для правильной работы электронной подписи.

Удостоверяющий центр использует корневой сертификат, чтобы:

  • выдавать  сертификаты электронной подписи (ЭП, она же ЭЦП) пользователям, например, гендиректору организации или нотариусу,
  • отзывать эти сертификаты, подписывая корневым сертификатом список отозванных (аннулированных) сертификатов.

Получить электронную подпись

Инструкция по установке корневого сертификата удостоверяющего центра

Для начала работы с электронной подписью необходимо установить корневые и промежуточные сертификаты УЦ. У клиентов УЦ Контура установка обычно происходит автоматически — во время автонастройки компьютера. Ниже мы опишем и автоматический, и ручной способ.

Автоматическая установка — наиболее простой и быстрый способ, который не требует специальных знаний и навыков от вас:

  1. Откройте любой удобный браузер, это может быть Google Chrome, Mozilla Firefox, Internet Explorer или другой.
  2. Зайдите в сервис автоматической настройки рабочего места Контур.Веб-диск.
  3. Действуйте по указаниям сервиса: он продиагностирует ваш компьютер, найдет каких плагинов и файлов не хватает, предложит их установить. Вместе с ними установит необходимые корневые и промежуточные сертификаты.

Как добавить корневой сертификат в доверенные в windows в веб браузеры

Chrome, Chromium, Opera и сделанные на их основе веб браузеры используют общесистемные корневые CA сертификаты. То есть для добавления новых доверенных CA достаточно добавить их в систему, как это показано выше.

Firefox использует исключительно своё хранилище. Для добавления корневых сертификатов CA в Firefox нужно сделать так:

  • В настройках Firefox: Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:


Нажмите кнопку «Импортировать»:

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

Какая информация содержится в корневом сертификате

Корневой сертификат представляет собой файл, который содержит свойства и данные: 

  • серийный номер,
  • сведения об УЦ,
  • сведения о владельце сертификата,
  • сроки его действия,
  • используемые алгоритмы
  • открытый ключ электронной подписи,
  • используемые средства УЦ и средства электронной подписи,
  • класс средств ЭП,
  • ссылка на сертификат «вышестоящего» УЦ, который выдал данный сертификат (для промежуточного сертификата),
  • ссылка на реестр аннулированных (отозванных) сертификатов (для промежуточного сертификата),
  • электронную подпись УЦ, выдавшего сертификат.
Про сертификаты:  Где взять данные для установки SSL-сертификата? | REG.RU

Какой срок действия корневого сертификата удостоверяющего центра

Корневой сертификат УЦ Минцифры действует 18 лет. Промежуточный сертификат аккредитованного УЦ действует 15 лет — это дольше, чем действие любого пользовательского сертификата ЭП, который такой УЦ выдаст клиенту. Пользовательские сертификаты выдаются обычно на 12, 15 месяцев.

УЦ сам следит за сроками действия своих промежуточных и корневых сертификатов, чтобы не доставить неудобств клиентам. УЦ Контура обновляет сертификаты в среднем раз в год — это необходимо, чтобы соблюдать требования эксплуатационной документации к срокам ключей электронной подписи на сертифицированные средства УЦ и ЭП. Обновление происходит незаметно для пользователей и не влияет на их работу.

Получить электронную подпись

Какие бывают корневые сертификаты и для чего нужны

Корневой сертификат участвует в «цепочке доверия». «Цепочка доверия» — это взаимосвязь нескольких сертификатов, которая позволяет проверить, действительна ли электронная подпись и можно ли доверять сертификату ЭП. 

Рассмотрим «цепочку доверия», сформированную для квалифицированного сертификата электронной подписи:

1. Корневой сертификат Минцифры РФ (ранее — Минкомсвязь РФ). 

Это верхнее звено «цепочки доверия». Минцифры РФ осуществляет функции головного удостоверяющего центра в России. Оно наделяет другие удостоверяющие центры, прошедшие аккредитацию, правом выдавать квалифицированные сертификаты ЭП — выдает им собственные сертификаты, подписанные корневым сертификатом Минцифры РФ.

Например, в Windows корневой сертификат можно найти через «Управление сертификатами» — «Доверенные корневые центры сертификации» — «Сертификаты». 

2. Сертификат удостоверяющего центра. Официально его называют «промежуточный сертификат», но распространено также название «корневой сертификат УЦ». 

Среднее звено «цепочки доверия». УЦ получает этот сертификат от Минцифры РФ, когда становится аккредитованным. С помощью своего промежуточного сертификата УЦ выдает квалифицированные сертификаты пользователям: организациям, их сотрудникам, простым физлицам (п.2.1 ст.15 63-ФЗ).

В Windows промежуточный сертификат хранится в «Управление сертификатами» — «Промежуточные центры сертификации» — «Сертификаты».

3. Личный сертификат пользователя — квалифицированный сертификат электронной подписи.

Конечное звено «цепочки». Пользователь обращается в УЦ и получает там квалифицированный сертификат ЭП (он же КЭП, ЭП или ЭЦП). В его сертификате указаны данные «вышестоящих» сертификатов — УЦ и Минцифры. 

В Windows личный сертификат можно найти через «Управление сертификатами» — «Личное».

Все сертификаты должны быть установлены в хранилище сертификатов (на компьютер) и действительны. Только тогда криптопровайдер сможет проверить доверие к сертификату пользователя и действительность электронной подписи, сформированной на основе этого сертификата.

Как добавить сертификат Центра Сертификации (CA) в доверенные в Windows -
«Путь сертификации» в составе сертификата показывает цепочку доверия: корневой сертификат, промежуточный и личный сертификат пользователя. Установить сертификаты можно с помощью сервиса от УЦ Контур или браузера-обозревателя.

Выше мы описали «цепочку доверия» для квалифицированных сертификатов. Поскольку такие сертификаты могут выдавать только аккредитованные УЦ, то в цепочке три звена: Минцифры — аккредитованный УЦ — пользователь. Именно такую связь можно увидеть, если открыть личный сертификат пользователя на вкладке «Путь сертификации» (см. скриншот выше).

Для неквалифицированных сертификатов ЭП «цепочка доверия» может состоять только из двух звеньев: УЦ — пользователь. Это возможно потому, что УЦ для выдачи неквалифицированных сертификатов не нужна аккредитация. Звенья такой «цепочки» будут называться: «корневой сертификат» и «пользовательский (личный) сертификат»

Про сертификаты:  Делаем HTTPS сайтик с помощью Nginx Docker Compose Let's Encrypt

Можно ли установить электронную подпись без корневого сертификата

Да, можно, но работать она не будет. Корневой и промежуточный сертификат является тем ключом, к которому обращается криптопровайдер при проверке  подлинности подписи. Для признания ключа действительным в системе должен быть установлен корневой сертификат. В противном случае пользователь увидит окно с уведомлением об ошибке.

Это актуально как для ЭП, хранящейся на компьютере, так и для ЭП на токене, с небольшой разницей:

  • при работе с ЭП на компьютере, корневой сертификат устанавливается один раз, обычно при первой установке ЭП,
  • если ЭП хранится на токене, то корневой сертификат необходимо устанавливать на тот компьютер, с которым предстоит работать.

Открываем доступ пользователю к хранилищу сертификатов локального компьютера

В данной статье рассматривается решение проблемы доступа к хранилищу сертификатов на операционных системах семейства Windows!

В библиотеке стандартных подсистем (БСП), начиная с версии 2.3, реализован мощный программный интерфейс для работы с криптографическими операциями. Выполнение криптографических операций требует обращение к хранилищу сертификатов, где хранится информация о сертификатах, установленных на компьютере. В момент программного обращения к хранилищу сертификатов, с целью получения информации о сертификате, может возникнуть ошибка доступа. Данная ошибка возникает по причине отсутствия необходимых прав у пользователя ОС к хранилищу сертификатов.

ОС Windows сертификаты хранит в двух основных хранилищах, которые подразделяются на вложенные хранилища. Основные хранилища:

На практике, у разработчика на платформе 1С, ошибка доступа к хранилищу сертификатов может возникнуть в случае, когда выполняются следующие условия:

Текст ошибки будет звучать как-то так:

Ошибка доступа к хранилищу сертификатов (0x00000005)

Рассмотрим решение проблемы для вышеописанного случая. Что бы исправить ошибку, первым делом, необходимо выяснить, от имени какого пользователя ОС выполняется программное обращение к хранилищу сертификатов. Так как криптографическая операция выполняется на сервере, то это пользователь, от имени которого работает служба агента сервера 1С:Предприятия (обычно это локальный пользователь USR1CV8). Запускаем оснастку “Редактор реестра” (командная строка –> regedit.exe). В реестре содержится два узла, отвечающих за каждое основное хранилище:

Вызываем контекстное меню для узла, отвечающего за хранилище локального компьютера и открываем его разрешения (см. рисунок 2). На вкладке безопасность добавляем пользователя сервера 1С и даем ему полный доступ.

Плюсы использования криптографических операций на стороне сервера:

На самом деле, не обязательно хранить сертификаты в локальном хранилище компьютера, можно запустить сеанс работы с сервером от имени пользователя, под которым работает агент сервера 1С и устанавливать сертификаты в хранилище текущего пользователя. Такое хранение сертификатов предусмотрено во всех типовых решениях фирмы 1С.

Помогла ли вам эта статья?

ДАНЕТ

Способ 1. установите сертификаты из доверенных цс

Вот как вы можете добавить цифровые сертификаты в Windows 10 из доверенных центров сертификации.

Про сертификаты:  Сеансы соляной пещеры для всей семьи! - «ДОЛ» | Скидки и акции Брянска на LivingJoy

Способ 1: окно «выполнить»

  1. При помощи нажатия комбинации клавиш «Win R» попадаем в окошко «Выполнить». Вводим в командную строку certmgr.msc.

    2. Командная строка выполнить Windows 7

  2. Цифровые подписи хранятся в папке, которая находятся в директории «Сертификаты – текущий пользователь». Здесь сертификаты находятся в логических хранилищах, которые разделены по свойствам.

    Хранилище сертификатов Windows 7

    В папках «Доверенные корневые центры сертификации» и «Промежуточные центры сертификации» находится основной массив сертификатов Виндовс 7.

    3. Доверенные центры сертификации Windows 7

  3. Чтобы посмотреть информацию о каждом цифровом документе, наводим на него и кликаем ПКМ. В открывшемся меню выбираем «Открыть».

    Кликаем правой кнопкой мыши по сертификату открыть Windows 7

    Переходим во вкладку «Общие». В разделе «Сведения о сертификате» будет отображено предназначение каждой цифровой подписи. Также представлена информация «Кому выдан», «Кем выдан» и сроки действия.

    Как добавить сертификат Центра Сертификации (CA) в доверенные в Windows -

Способ 2. установите сертификаты с помощью консоли управления microsoft

  1. Вы также можете добавить цифровые сертификаты в Windows с помощью консоли управления Microsoft. Нажмите клавишу Win R и введите «mmc» в «Выполнить», чтобы открыть окно ниже.
    Как добавить сертификат Центра Сертификации (CA) в доверенные в Windows -
  2. Нажмите Файл , а затем выберите Добавить/удалить оснастки , чтобы открыть окно на снимке экрана ниже.
    Как добавить сертификат Центра Сертификации (CA) в доверенные в Windows -
  3. Затем выберите Сертификаты и нажмите кнопку Добавить .
  4. Откроется окно оснастки «Сертификаты», в котором можно выбрать Учетная запись компьютера > Локальная учетная запись и нажать кнопку Готово , чтобы закрыть окно.
  5. Затем нажмите кнопку ОК в окне «Добавить или удалить оснастку».
  6. Теперь вы можете выбрать Сертификаты и щелкнуть правой кнопкой мыши Доверенные корневые центры сертификации в окне консоли MMC, как показано ниже.
    Как добавить сертификат Центра Сертификации (CA) в доверенные в Windows -
  7. Затем нажмите Все задачи > Импорт , чтобы открыть окно мастера импорта сертификатов, из которого можно добавить цифровой сертификат в Windows.

Теперь вы установили новый доверенный корневой сертификат в Windows 10. Таким же образом вы можете добавить еще много цифровых сертификатов для этой ОС и других платформ Windows. Просто убедитесь, что сторонние цифровые сертификаты поступают от доверенных центров сертификации, таких как GoDaddy, DigiCert, Comodo, GlobalSign, Entrust и Symantec.

Примечание редактора . Этот пост был первоначально опубликован в апреле 2021 года и с тех пор был полностью переработан и обновлен для обеспечения свежести, точности и полноты.

Способ 2: панель управления

Также есть возможность посмотреть сертификаты в Windows 7 через «Панель управления».

  1. Открываем «Пуск» и переходим в «Панель управления».

    2. Пуск Панель управления Windows 7

  2. Открываем элемент «Свойства обозревателя».

    3. Свойства обозревателя Windows 7

  3. В открывшемся окне переходим во вкладку «Содержание» и щелкаем по надписи «Сертификаты».

    4. Свойства обозревателя содержание Сертификаты Windows 7

  4. В открывшемся окошке предоставлен перечень различных сертификатов. Чтобы посмотреть подробную информацию об определённой цифровой подписи, жмём по кнопке «Просмотр».

    5. Список сертификатов просмотр Windows 7

После прочтения данной статьи вам не составит никакого труда открыть «Хранилище сертификатов» Windows 7 и узнать подробную информацию о свойствах каждой цифровой подписи в вашей системе.

комплект SSL-сертификата
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат