Как провести удаление корневого сертификата

Как удалить сертификат из хранилища windows – пк и все что связанно – каталог статей – новости технологий, новости it

3 Работа с сертификатами КриптоПро — РЕД ОС

ln -s /opt/cprocsp/bin/amd64/certmgr /usr/bin/certmgr
ln -s /opt/cprocsp/bin/amd64/csptest /usr/bin/csptest
ln -s /opt/cprocsp/sbin/amd64/cpconfig /usr/bin/cpconfig

csptest -enum -info

cat /etc/opt/cprocsp/release

cpconfig -license -view

# cpconfig -license -set <серийный_номер>

systemctl status pcscd

systemctl start pcscd
systemctl enable pcscd

pcscd -dffff

csptest -card -enum -v -v
pcsc_scan

csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251

CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.AcquireContext: OK. HCRYPTPROV: 16778675\.Aladdin R.D. JaCarta 00 008df47e71-18ae-49c1-8738-9b4b0944dcd4\.FLASHbob\.HDIMAGEbobOK.Total: SYS: 0,010 sec USR: 0,110 sec UTC: 6,240 sec[ErrorCode: 0x00000000]

csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251

csptest -keyset -enum_cont -fqcn -verifyc -uniq

CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.AcquireContext: OK. HCRYPTPROV: 23397811\.Aladdin R.D. JaCarta 00 008df47e71-18ae-49c1-8738-9b4b0944dcd4 | \.Aladdin R.D. JaCarta 00 00SCARDJACARTA_6082028344937676CC00E412OK.Total: SYS: 0,000 sec USR: 0,110 sec UTC: 6,230 sec[ErrorCode: 0x00000000]

csptest -keyset -container '\.HDIMAGEbob' -info

csptest -keyset -enum_cont -verifycontext -fqcn

csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys

csptest -keyset -check -cont '\.имя считывателяимя контейнера'

csptest -keyset -check -cont '\.имя считывателяимя контейнера' -machinekeyset

certmgr -inst -file cert_bob.cer

certmgr -inst -file cert_bob.cer -store uMy -cont '\.FLASHbob'

/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\.Aladdin R.D. JaCarta 00 008df47e71-18ae-49c1-8738-9b4b0944dcd4'

/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\.Aladdin R.D. JaCarta 00 008df47e71-18ae-49c1-8738-9b4b0944dcd4' -file /home/bob/cert_bob.cer

certmgr -inst -store uRoot -file <название-файла>.cer

certmgr -inst -store mRoot -file <название-файла>cer

certmgr -inst -crl -file <название-файла>.crl

certmgr -list

certmgr -list -store uMy

$ certmgr -list -store uRoot

certmgr -list -container '\.Aladdin R.D. JaCarta 00 008df47e71-18ae-49c1-8738-9b4b0944dcd4'

certmgr -list -store uca

certmgr -list

certmgr -delete -store uMy

certmgr -delete -store uRoot

certmgr -delete -all -store uRoot

certmgr -delete -store mRoot

cpconfig -hardware reader -add HDIMAGE store
Adding new reader:
Nick name: HDIMAGE
Succeeded, code:0x0

csptest -keyset -enum_cont -fqcn -verifyc

CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 32114099
\.FLASHbob
OK.
Total: SYS: 0,020 sec USR: 0,080 sec UTC: 0,190 sec
[ErrorCode: 0x00000000]

csptest -keyset -enum_cont -fqcn -verifyc

CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 36951475
\.FLASHbob
\.HDIMAGEbob
OK.
Total: SYS: 0,000 sec USR: 0,070 sec UTC: 0,160 sec
[ErrorCode: 0x00000000]

certmgr -inst -file cert-bob.cer -cont '\.HDIMAGEbob'

Microsoft подтверждает ошибку сертификата в windows 10

Microsoft недавно признала новую ошибку в Windows 10, и компания заявляет, что единственное, что можно сделать, – это просто вернуться к предыдущей версии операционной системы.

В частности, софтверный гигант из Редмонда заявляет, что сертификаты могут отсутствовать после обновления до более новой версии Windows 10.

И, судя по всему, все вызвано последними кумулятивными обновлениями, выпущенными компанией. Проблему вызывают обновления от сентября 2020 года и более новые, поэтому устройства могут остаться без системных и пользовательских сертификатов, если юзеры обновят операционную систему с помощью этих накопительных обновлений.

«Системные и пользовательские сертификаты могут быть потеряны при обновлении устройства с Windows 10 версии 1809 или новее до более поздней версии Windows 10», – поясняет компания.

«Устройства будут затронуты только в том случае, если они уже установили какое-либо последнее накопительное обновление (LCU), выпущенное 16 сентября 2020 года, а затем перейдут к обновлению до более поздней версии Windows 10, для версии которой не был выпущен LCU.

В первую очередь это происходит, когда управляемые устройства обновляются с использованием устаревших пакетов с помощью инструмента управления обновлениями, такого как Windows Server Update Services (WSUS) или Microsoft Endpoint Configuration Manager.

Интересно, что затронуты были не все, и Microsoft заявляет, что устройства, которые подключаются напрямую к Центру обновления Windows, или устройства, использующие Центр обновления Windows для бизнеса, не увидят эту ошибку просто потому, что они всегда получают последнее накопительное обновление, которое также включает самые последние исправления.

Проблема затрагивает все версии Windows 10, выпущенные после обновления October 2021 Update, а именно:

• Windows 10 версии 1903• Windows 10 версии 1909• Windows 10 версии 2004• Windows 10 версии 20H2• Windows Server версии 1903• Windows Server версии 1909• Windows Server версии 2004• Windows Server версии 20H2

Интересно, что Microsoft заявляет, что уже работает над исправлением, но пока что единственный способ избежать ошибки – это просто перейти на предыдущую версию Windows 10, которую вы использовали до обновления. Очевидно, что если эта опция все еще доступна, то переход на более раннюю версию разрешен только в первые 10 или 30 дней после установки нового обновления функций, в зависимости от ваших настроек.

Microsoft заявляет, что она уже начала работу по исправлению этой ошибки, и как только патч будет доступен, компания опубликует новые кумулятивные обновления, которые позволят пользователям устанавливать новые версии Windows 10 без риска потери своих сертификатов.

Источник

Ошибка копирования контейнера

Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:

Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.

Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему.

Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Штатные возможности CryptoPro не позволяют скопировать закрытый ключ в файл.

Запускаем Internet Explorer, открываем его настройки и переходим на вкладку Содержание. Там нажимаем на Сертификаты.

Выбираем нужный сертификат и нажимаем Экспорт.

Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом» нет возможности выбрать ответ «Да, экспортировать закрытый ключ«, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.

Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.

Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке, жмите Экспорт и выберите файл формата .CER.

Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него.

В итоге у вас должны получиться 2 файла с расширениями:

Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам достаточно будет выбрать все параметры по-умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер.

Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.

Полное удаление криптопро с очисткой реестра и следов в системе

С причинами мы с вами разобрались, переходим от теории к практике. Как я и писал в заголовке статьи, сам процесс не займет много времени и с ним можно справиться и за 1-2 минуты, если есть все подготовительные действия и набор утилит.

Что будет в нашем арсенале для очистки следов от CryptoPRO CSP:

• Встроенная консоль панели управления Windows «Программы и Компоненты», через которую мы удалим саму утилиту.
• Утилита Ccleaner и Privazer, для очистки реестра Windows
• Утилита очистки следов установки КриптоПро CSP от самой КриптоПРО

Чтобы удалить КриптоПРО CSP полностью с компьютера, откройте «Программы и Компоненты», этот пункт находится в панели управления Windows. Быстро в него попасть можно нажав клавиши WIN и R одновременно, вызвав тем окно выполнить, введя в нем сокращенное название, этой оснастки:

Находим в списке установленных программ КриптоПРО CSP, у меня это версия 4.0.9842, и выбираем пункт «Удалить».

Ставим галку «Больше не показывать это диалоговое окно» и нажимаем да.

Начнется процесс удаления программы КриптоПРО с компьютера. По окончании которого вас уведомят, что необходима перезагрузка системы,

отправляем ваш Windows 10 или какой там у вас в ребут.

Далее продолжаем удаление КриптоПРО полностью и без остатков, для этого мы воспользуемся утилитой Ccleaner. Открываем ее, оставляем режим «Очистка» и нажимаем кнопку «Очистка», проставьте галки в пункте система как у меня.

Утилита отработает и удалит оставшиеся файлы от CryptoPRO CSP, до которых сможет достать. Далее переходим в пункт «Реестр».

Нажимаем кнопку «Поиск проблем», этим мы сможем отыскать оставшиеся кусты в реестре Windows, относящиеся к КриптоПРО.

Будет произведен поиск и представлены результаты, что можно исправить и удалить, нажимаем «Исправить выбранное».

Нажимаем кнопку «Исправить отмеченные», как только Ccleaner все удалит, повторите поиск до тех пор пока не будет все чисто, это позволит произвести полное удаление КриптоПРО CSP с очисткой реестра.

Ну и осталось пройтись еще специальной утилитой от разработчиков. Качать ее можно по ссылке ниже ,единственное нужна регистрация.

Запускаем утилиту cspclean.exe (Аварийного удаления КриптоПро CSP). У вас откроется окно командной строки, в которой вам предложат полностью удалить КриптоПРО в Windows 10, соглашаемся с этим и нажимаем да.

Утилита cspclean.exe начнет очищать все следы данной утилиты, по завершению чего она просто закроется, не показав ни какое сообщение.

Если вы думаете, что удаление КриптоПРО завершено, то еще нет остался один шаг, так сказать шлифовка. У нас еще остался кэш установки данной утилиты. Чтобы его найти, вам необходимо включить скрытые папки Windows и перейти в папку:

Вроде бы папка весит 37 мегабайт, но зачем нам лишний мусор. На этом полное удаление КриптоПРО CSP, можно считать оконченным. Остались вопросы пишите их в комментариях.

Сертификаты — текущий пользователь

Данная область содержит вот такие папки:

1. Личное > сюда попадают личные сертификаты (открытые или закрытые ключи), которые вы устанавливаете с различных рутокенов или etoken
2. Доверительные корневые центры сертификации > это сертификаты центров сертификации, доверяя им вы автоматически доверяете всем выпущенным ими сертификатам, нужны для автоматической проверки большинства сертификатов в мире. Данный список используется при цепочках построения доверительных отношений между CA, обновляется он в месте с обновлениями Windows.
3. Доверительные отношения в предприятии
4. Промежуточные центры сертификации
5. Объект пользователя Active Directory
6. Доверительные издатели
7. Сертификаты, к которым нет доверия
8. Сторонние корневые центры сертификации
9. Доверенные лица
10. Поставщики сертификатов проверки подлинности клиентов
11. Local NonRemovable Certificates
12. Доверительные корневые сертификаты смарт-карты

В папке личное, по умолчанию сертификатов нет, если вы только их не установили. Установка может быть как с токена или путем запроса или импорта сертификата.

В мастере импортирования вы жмете далее.

далее у вас должен быть сертификат в формате:

• PKCS # 12 (.PFX, .P12)
• Стандарт Cryprograhic Message Syntax — сертификаты PKCS #7 (.p7b)
• Хранилище сериализованных сертификатов (.SST)

На вкладке доверенные центры сертификации, вы увидите внушительный список корневых сертификатов крупнейших издателей, благодаря им ваш браузер доверяет большинству сертификатов на сайтах, так как если вы доверяете корневому, значит и всем кому она выдал.

Двойным щелчком вы можете посмотреть состав сертификата.

Из действий вы их можете только экспортировать, чтобы потом переустановить на другом компьютере.

Экспорт идет в самые распространенные форматы.

Еще интересным будет список сертификатов, которые уже отозвали или они просочились.

Список пунктов у сертификатов для компьютера, слегка отличается и имеет вот такие дополнительные пункты:

• AAD Token Issue
• Windows Live >

Думаю у вас теперь не встанет вопрос, где хранятся сертификаты в windows и вы легко сможете найти и корневые сертификаты и открытые ключи.

При обмене электронной информацией на разных уровнях (открытие сайта в браузере, сообщение в Messenger, запуск программного обеспечения для подключения к другой рабочей станции, передача документов в системах подачи электронной отчетности и т.п.) разработана система цифровых сертификатов.

Эта инфраструктура проверяет подлинность источника и приемника пакета данных, являются ли они доверенными для проведения электронной транзакции.

В операционных системах семейства Microsoft Windows сертификаты сохраняются в хранилищах, которые бывают двух типов:

— Certificate store локального компьютера – содержит сертификаты, необходимые в проверке подлинности сервера для клиентских станций;

— Certificate store для пользователя – содержит сертификаты приложений, которые запускает определенный пользователь.

При открытии некоторых сайтов, удаленного подключения к персональному компьютеру или ноутбуку, приложений для обеспечения безопасного соединения (например, Cisco AnyConnect) и т.п., может открываться запрос о проверки сертификата. В зависимости от выбранного ответа (доверять, не доверять), сертификат попадает в соответствующий раздел хранилища. От этого зависит выполнение дальнейшего взаимодействия.

Сертификаты подразделяются на корневые и личные. Корневые сертификаты (CA) выдают центры сертификации для подписания SSL-сертификатов (используются для шифрования персональных данных), т.е. являются частью секретного ключа. Личные сертификаты необходимы пользователям для их идентификации при обмене электронными пакетами информации.

Чтобы ознакомиться с доверенными корневыми сертификатами, личными сертификатами и сертификатами, к которым нет доверия, нужно воспользоваться стандартной консоли управления Windows MMC.

Для ее запуска открывается окно выполнения программ с помощью сочетания клавиш Win R.

В меню «Файл» выбирается пункт «Добавить/удалить оснастку» (Add/Remove Snap-in).

Перечень возможных оснасток содержит «Сертификаты» (Certificates), которые включаются кнопкой «Добавить» (Add).

На дальнейшем шаге необходимо указать тип аккаунта, для которого будет использоваться оснастка.

Завершение операции осуществляется кнопкой «ОК».

Чтобы данные настройки отображались для последующих запусков консоли, в меню «Файл» выбираются пункты «Сохранить» (Save) или «Сохранить как» (Save as).

Если в подхранилище не хватает сертификатов, то через контекстное меню можно выполнить импорт.

Возможен импорт трех видов сертификатов:— Personal Information Exchange – PKCS #12 (.PFX, .P12)— Cryptographic Message Syntax Standard – PKCS #7 Certificates (.P7B)— Microsoft Serialized Certificate Store (.SST)

Для загрузки необходимо выбрать файл соответствующего формата.

Большинство сертификатов сохраняются только в реестре операционной системы, некоторые – в специальных директориях.

Для текущего пользователя сертификаты настроек расположены в ветке

Для сертификатов групповых политик текущего пользователя ветка другая

Отдельные пользовательские сертификаты расположены в ветке с идентификатором безопасности

На уровне компьютера используются две ветки реестра:

Для настроек служб HKEY_LOCAL_MACHINESoftwareMicrosoftCryptographyServicesServiceNameSystemCertificates

Если компьютер включен в Active Directory, то нужен раздел

Пользовательские сертификаты сохранены в форме файлов в каталогах: