- Что такое корневой сертификат (кс)
- Windows не может проверить подлинность сертификата
- В linux
- Где его взять
- Добавление сертификатов в хранилище доверенных корневых центров сертификации для локального компьютера
- Как обновить корневой сертификат
- Как установить корневой сертификат удостоверяющего центра криптопро
- Какую информацию он содержит
- Не найден локальный сертификат удостоверяющего центра
- Не установлен корневой сертификат
- Ошибка импорта
- Ошибка с правами
- Помогла ли вам эта статья?
- Способ 1: окно «выполнить»
- Способ 2: панель управления
- Установка корневого сертификата | сбис помощь
- Установка корневого сертификата в локальное хранилище компьютера
- Установка сертификата при помощи групповых политик.
- Хранилище «локальный компьютер»
Что такое корневой сертификат (кс)
Корневой сертификат представляет собой открытый ключ, по которому определяется личность или наименование владельца подписи на документе. Фактически это электронный документ, содержащий данные по удостоверяющему центру.
С помощью программы криптошифрования устанавливается удостоверяющий центр, в списках которого содержутся сведения о владельце подписи.
Если на компьютере установлен КС, то можно скопировать электронную подпись. Производиться генерация открытого ключа с носителя, например, с рутокена.
Данные КС выдаются удостоверяющим центрам в Минкомсвязи. Его наличие подтверждает, удостоверяющий центр является официально зарегистрированным.
КС имеет срок действия, который составляет 12 месяцев. Поэтому его нужно каждый год переустанавливать для полноценного использования ЭЦП.
Без корневого сертификата нельзя использовать открытый ключ. Последний можно украсть, но без корневого сертификата этой ЭЦП воспользоваться не получится.
Кроме этого на компьютере могут использоваться неквалифицированные сертификаты, выданные различными организациями и госорганами. К ним относятся сертификат казначейства, обслуживающего банка и т.д.
Windows не может проверить подлинность сертификата
Чаще всего такая ошибка возникает в старых версиях ОС Windows. К примеру, если используется Windows 7, необходимо обновить ее до пакета исправления SP1 и импортировать сертификата еще раз.
Также сами разработчики криптографического комплекса «Крипто Про» рекомендуют применять 64-битные системы.
Такое требование актуально для системы Windows 7 и последующих. При этом Windows XP версии SP3 выходила только в 32-битной версии, но в ней подобной проблемы никогда не возникает.
Кроме этого такая проблема часто встречается на Windows Vista (частично она была решена в редакции SP2).
Поскольку Windows XP и Windows Vista уже серьезно устарели и поддержка этих операционных систем уже не производится, крайне рекомендуется обновить их хотя бы до Windows 7.
В linux
Современные дистрибутивы Linux намного больше дружелюбны к обычным пользователям, чем это было раньше. Поэтому, в настоящее время на них установка КС ничем сильно не отличается от аналогичных действий в Windows.
Чтобы установить головной сертификат УЦ необходимо щелкнуть по нему мышью два раза и выбрать «Установить сертификат». Импорт сертификата ЭЦП необходимо будет подтвердить вводом пароля пользователя.
Если при таком способе возникают проблемы, можно импортировать напрямую из терминала ключей удостоверяющего центра. Для этого необходимо в нем ввести команду certmgr -inst -store root -file «полный путь к файлу».
После обработки такой команды также потребуется ввести административный пароль.
Где его взять
КС выдаются самими сертифицированными удостоверяющими центрами, где субъект получает свою ЭЦП. Он выдается вместе с ЭП на носителе или же центр предоставляет электронный адрес – ссылку на официальный сайт.
Добавление сертификатов в хранилище доверенных корневых центров сертификации для локального компьютера
Чтобы добавить сертификаты в хранилище доверенных корневых центров сертификации локального компьютера, выполните следующие действия.
- Первый шаг. Откройте мастер импорта сертификатов одним из описанных далее способом и нажмите «Далее >».
Как обновить корневой сертификат
При наступлении нового года, обычно требуется загрузить и переустановить новые обновленные корневые ключи удостоверяющих центров.
Чаще всего напоминание об этом выводит либо сама операционная система, либо программное обеспечение, которое использует ЭЦП.
Как провести обновление:
Обновление является простой операцией. И ничем не отличается от установки нового сертификата. Производить удаление старого ключа не требуется, поскольку система сама его пометит как недействительный при истечении срока действия.
Как установить корневой сертификат удостоверяющего центра криптопро
Рассмотрим подробнее как происходит процесс установки.
Какую информацию он содержит
Корневой сертификат содержит в зашифрованном виде все основные сведения об удостоверяющем центре:
- Срок его действия.
- Сервисная информация об удостоверяющем центре.
- Адрес в интернете – где содержится реестр организаций, у которых выпущена ЭП.
Просто так просмотреть эти сведения не получится. Нужно использовать специализированную программу – КриптоПро CSP.
Не найден локальный сертификат удостоверяющего центра
Такая ошибка чаще всего возникает при работе в системе банк-клиент. В этом случае во время установления связи между банковским сервером и клиентским компьютером, банк присылает, а у клиента его нечем проверить.
Для решения этой проблемы необходимо запросить у банка требуемый сертификат. Установить его в систему и указать, что это КС Удостоверяющего центра.
Не установлен корневой сертификат
Если возникает проблема с установкой, в первую очередь необходимо убедиться, что на компьютере установлена лицензионная ОС Windows.
Очень часто в пиратских версиях системы функционал частично обрезается, чтобы обеспечить функционирование операционной системы без фактической лицензии, отключаются некоторые системные службы.
Еще одной часто встречающейся проблемой является использование на данном компьютере двух и более криптопровайдеров либо специализированного программного обеспечения для шифрования.
Возникает ситуация, что криптопровайдеры начинают конфликтовать друг с другом, поскольку каждый пытается управлять хранилищем сертификатов самостоятельно.
В такой ситуации рекомендуется временно удалить один из них и посмотреть, будет ли возникать данная ошибка снова.
Если необходимо использовать оба (например, клиентское ПО использует разный набор криптопровайдеров), то тогда необходимо их обновить до самой актуальной версии, поскольку разработчики оперативно исправляют появляющиеся ошибки.
Ошибка импорта
Система Windows может сообщить об ошибке при попытке добавить сертификат в хранилище.
Она чаще всего происходит по одной из следующих причин:
- Установлена старая версия криптопровайдера — в настоящее время сертификаты выпускаются согласно ГОСТ 2021 года, для которого требуется минимально версия Крипто Про 4.0
- Копия открытого ключа данного сертификата уже была установлена в систему (проверить это можно просмотреть перечень установленных ЭЦП через панель управления Крипто Про;
- Windows не может получить доступ к реестру, либо работа с ним заканчивается ошибкой — желательно произвести проверку и восстановление реестра средствами Windows, либо использовать сторонние программы как, например, C&CLeaner.
- Время действия КС удостоверяющего центра, импорт которого пытается выполнить пользователь, истекло. Необходимо получить новый сертификат с действующим периодом.
- Поврежден сам файл сертификата УЦ. Необходимо получить новую копию и осуществить импорт снова.
Если ошибка все равно появляется, то возможно проблема уже непосредственно в установленной копии Windows. В этой ситуации желательно произвести ее переустановку.
Ошибка с правами
Чаще всего эта ошибка возникает если у пользователя, из-под которого производят импорт сертификата УЦ, нет прав для выполнения данного действия.
Тогда требуется войти на компьютер под учетной записью администратора. Либо осуществить импорт используя опцию «Запуск от имени администратора» при щелчке мышью.
Помогла ли вам эта статья?
ДАНЕТ
Способ 1: окно «выполнить»
- При помощи нажатия комбинации клавиш «Win R» попадаем в окошко «Выполнить». Вводим в командную строку
certmgr.msc. - Цифровые подписи хранятся в папке, которая находятся в директории «Сертификаты – текущий пользователь». Здесь сертификаты находятся в логических хранилищах, которые разделены по свойствам.
В папках «Доверенные корневые центры сертификации» и «Промежуточные центры сертификации» находится основной массив сертификатов Виндовс 7.
- Чтобы посмотреть информацию о каждом цифровом документе, наводим на него и кликаем ПКМ. В открывшемся меню выбираем «Открыть».
Переходим во вкладку «Общие». В разделе «Сведения о сертификате» будет отображено предназначение каждой цифровой подписи. Также представлена информация «Кому выдан», «Кем выдан» и сроки действия.
Способ 2: панель управления
Также есть возможность посмотреть сертификаты в Windows 7 через «Панель управления».
- Открываем «Пуск» и переходим в «Панель управления».
- Открываем элемент «Свойства обозревателя».
- В открывшемся окне переходим во вкладку «Содержание» и щелкаем по надписи «Сертификаты».
- В открывшемся окошке предоставлен перечень различных сертификатов. Чтобы посмотреть подробную информацию об определённой цифровой подписи, жмём по кнопке «Просмотр».
После прочтения данной статьи вам не составит никакого труда открыть «Хранилище сертификатов» Windows 7 и узнать подробную информацию о свойствах каждой цифровой подписи в вашей системе.
Установка корневого сертификата | сбис помощь
Каждый сертификат, используемый на компьютере, проверяется на подлинность. Для выполнения такой проверки в системе должен быть установлен корневой или кросс-сертификат того удостоверяющего центра, которым он выдан.
Сертификаты, необходимые для работы в «СБИС Электронная отчетность», ставятся на компьютер автоматически при установке программы; для работы на ЭТП — при запуске мастера настройки рабочего места.
Если в вашей системе нет корневого или кросс-сертификата УЦ, электронная подпись работать не будет. Чтобы установить их вручную, вам потребуется файл с корневым или кросс-сертификатом. Все сертификаты УЦ Тензор можно скачать на сайте.
Корневой или кросс-сертификат УЦ установлен, можно приступать к работе с электронной подписью.
Нашли неточность? Выделите текст с ошибкой и нажмите ctrl enter.
Установка корневого сертификата в локальное хранилище компьютера
Настоящий документ содержит описание последовательности действий по установке и настройке программного обеспечения автоматизированного рабочего места пользователя системы «Электронный бюджет».
Список терминов и сокращений
В документе используются следующие термины и сокращения:
АРМ – автоматизированное рабочее место пользователя системы «Электронный бюджет»;
ПО – программное обеспечение;
Пользователь – зарегистрированный в системе «Электронный бюджет» сотрудник организации, которому предоставлен доступ к определенным функциям в системе «Электронный бюджет», в соответствии с заявкой на подключение;
Система «Электронный бюджет» – государственная интегрированная информационная система управления общественными финансами «Электронный бюджет»;
Порядок подготовки арм
Установка и настройка программного обеспечения автоматизированного рабочего места пользователя должна выполняться под учетной записью пользователя, входящего в группу локальных администраторов операционный системы.
Порядок подготовки АРМ пользователя приведен в таблице (Таблица 1).
Таблица 1. Порядок подготовки АРМ пользователя.
Описание операций
Копирование сертификата сервера TLS
Для копирования файла сертификата сервера TLS в локальную директорию АРМ пользователя необходимо:
Установка сертификата при помощи групповых политик.
Установка самоподписанных сертификатов весьма частая задача для системного администратора. Обычно это делается вручную, но если машин не один десяток? И как быть при переустановке системы или покупке нового ПК, ведь сертификат может быть и не один. Писать шпаргалки-напоминалки? Зачем, когда есть гораздо более простой и удобный способ – групповые политики ActiveDirectory. Один раз настроив политику можно больше не беспокоится о наличии у пользователей необходимых сертификатов.
Сегодня мы рассмотрим распространение сертификатов на примере корневого сертификата Zimbra, который мы экспортировали в прошлой статье. Наша задача будет стоять следующим образом – автоматически распространять сертификат на все компьютеры входящие в подразделение (OU) – Office. Это позволит не устанавливать сертификат туда, где он не нужен: на севера, складские и кассовые рабочие станции и т.д.
Откроем оснастку Управление групповой политикой и создадим новую политику в контейнере Объекты групповой политики, для этого щелкните на контейнере правой кнопкой и выберите Создать. Политика позволяет устанавливать как один, так и несколько сертификатов одновременно, как поступить – решать вам, мы же предпочитаем создавать для каждого сертификата свою политику, это позволяет более гибко менять правила их применения. Также следует задать политике понятное имя, чтобы открыв консоль через полгода вам не пришлось мучительно вспоминать для чего она нужна.
После чего перетащите политику на контейнер Office, что позволит применить ее к данному подразделению.
Теперь щелкнем на политику правой кнопкой мыши и выберем Изменить. В открывшемся редакторе групповых политик последовательно разворачиваем Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Политики открытого ключа – Доверенные корневые центры сертификации. В правой части окна в меню правой кнопкой мыши выбираем Импорт и импортируем сертификат.
Политика создана, теперь самое время проверить правильность ее применения. В оснастке Управление групповой политикой выберем Моделирование групповой политики и запустим по правому щелчку Мастер моделирования.
Большинство параметров можно оставить по умолчанию, единственное что следует задать – это пользователя и компьютер для которых вы хотите проверить политику.
Выполнив моделирование можем убедиться, что политика успешно применяется к указанному компьютеру, в противном случае раскрываем пункт Отклоненные объекты и смотрим причину по которой политика оказалась неприменима к данному пользователю или компьютеру.
После чего проверим работу политики на клиентском ПК, для этого обновим политики вручную командой:
gpupdate
Теперь откроем хранилище сертификатов. Проще всего это сделать через Internet Explorer: Свойства обозревателя – Содержание – Сертификаты. Наш сертификат должен присутствовать в контейнере Доверенные корневые центры сертификации.
Как видим – все работает и одной головной болью у администратора стало меньше, сертификат будет автоматически распространяться на все компьютеры помещенные в подразделение Office. При необходимости можно задать более сложные условия применения политики, но это уже выходит за рамки данной статьи.
Хранилище «локальный компьютер»
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
romanchik_rus пишет: Добрый день! под пользователем нет хранилище «Локальный компьютер» — для установки корневого сертификата. Подскажите ветку в реестре на которую дать полные права пользователю чтобы данное хранилище было ему доступно. Давать админиски права пользователю — вариант не верный )