Пакет сертификатов для windows 7

Что такое хранилище сертификатов в windows системах

Термин «хранилище сертификатов» можно расшифровать как часть оперативной памяти ПК, где помещена на хранение самая секретная зашифрованная информация.  К таковой относятся:

• учетные данные;
• доступ к определенным программным продуктам.

Хранилище сертификатов

Сертификаты служат для идентификации человека посредством сети интернет, после чего он сможет подтвердить допуск к определенным утилитам.

Доступ к секретным документам имеют единицы. Хранилище, как объект ОС, можно обозначить как отдельный файл, но для его открытия используются совсем другие средства, нежели доступные многим программы.

Хранилище имеет два отдельных раздела. В одном хранятся личные данные пользователя, в другом – средства идентификации самого компьютера. Сохранение происходит локально для каждого ПК и для каждого пользователя, который работает на нем.

У файла сертификата расширение .cer или .csr. Он занимает совсем немного места. Объем занятой памяти не превышает нескольких килобайт. Кстати, подобные файлы эксплуатируются в ОС Linux, MacOS. Файлы с подобным расширением можно назвать стандартным форматом ЭЦП. Во многих странах используются сертификаты стандарта .x509. В РФ они распространения не получили.

Что такое эцп и сертификат закрытого ключа

Электронная цифровая подпись используется во многих программных продуктах: 1С: Предприятие (и другие программы для ведения хозяйственного или бухгалтерского учёта), СБИС , Контур.Экстерн (и прочие решения для работы с бухгалтерской и налоговой отчётностью) и других. Также ЭЦП нашла применение в обслуживании физических лиц при решении вопросов с государственными органами.

Как и при подписании бумажных документов, процесс подписания электронных носителей информации связан с “редактированием” первичного источника.

Электронная цифровая подпись документов осуществляется путём преобразования электронного документа с помощью закрытого ключа владельца, этот процесс и называется подписанием документа

На сегодняшний день сертификаты закрытого ключа чаще всего распространяются либо на обычных USB-флешках, либо на специальных защищённых носителях с тем же USB интерфейсом (Рутокен, eToken и так далее).

Если вы используете ЭЦП у себя дома, то каждый раз подключать/отключать токен быстро надоедает. Кроме того, носитель будет занимать один USB-порт, которых и так не всегда хватает для подключения всей необходимой периферии.Если же вы используете ЭЦП на работе, то бывает, что ключ удостоверяющим центром выдан один, а подписывать документы должны разные люди.

Кроме того, и дома, и, особенно, на работе, случается, что на одном компьютере необходимо производить действия с использованием сразу нескольких ключей цифровой подписи. Именно в тех случаях, когда использование физического носителя сертификата неудобно, можно прописать ключ ЭЦП в реестр КриптоПро и использовать сертификат, не подключая носитель к USB-порту компьютера.

Где хранятся сертификаты на компьютере

Для чего оно нужно

Каждый документ в хранилище призван сохранить безопасность работы операционной системы ПК. Это предотвращает проникновение в систему опасных или нежелательных и сомнительных программ. Каждая цифровая подпись отвечает за благонадежность отдельно взятого софта. Иногда такую же проверку проходит и сам пользователь. То есть для него тоже имеется свой идентификатор.

Корневой центр сертификации

У Виндовс есть свои корневые сертификаты. Благодаря им поддерживается стандартная работа ОС. Например, можно совершенно спокойно пользоваться функцией «Центр обновления Windows».

Очень широкое применение сертификация получила в Google Chrome. Особенно она востребована для взаимодействия с государственными сайтами. Чтобы иметь доступ к базам данных, обязательно нужно соответствующее разрешение. Вот его и выдает государственный сайт.

Немало утилит создают свои шифры. Например, если требуется изменить характеристики оборудования. Таким образом они обеспечивают программному продукту законность.

Загрузите, установите и настройте pfx certificate connector

Перед тем как начать, просмотрите требования к соединителю и убедитесь, что ваша среда и ваш сервер Windows готовы поддерживать соединитель.

1. Войдите в центр администрирования Microsoft Endpoint Manager.

2. Выберите Администрирование клиента > Соединители и токены > Соединители сертификатов > добавьте .

3. Выберите Загрузите программное обеспечение соединителя сертификатов для соединителя для PKCS # 12 и сохраните файл в месте, к которому вы можете получить доступ с сервера, на котором вы собираетесь установить соединитель.

4. После завершения загрузки войдите на сервер и запустите установщик (PfxCertificateConnectorBootstrapper.исполняемый).

   • Если вы принимаете расположение установки по умолчанию, коннектор устанавливается в папку Program Files Microsoft Intune PFXCertificateConnector .
   • Служба соединителя запускается под локальной системной учетной записью. Если для доступа в Интернет требуется прокси-сервер, убедитесь, что учетная запись локальной службы может получить доступ к настройкам прокси-сервера на сервере.

5. Соединитель сертификатов PFX для Microsoft Intune открывает вкладку Регистрация после установки.Чтобы включить подключение к Intune, Войдите в систему и введите учетную запись с разрешениями глобального администратора Azure или администратора Intune.

   Предупреждение

   По умолчанию в Windows Server Конфигурация усиленной безопасности IE для установлено значение на , что может вызвать проблемы со входом в Office 365.

6. Выберите вкладку CA Account , а затем введите учетные данные для учетной записи, которая имеет разрешение на выпуск и управление сертификатами в выпускающем центре сертификации.Эти учетные данные будут использоваться для выдачи сертификатов и отзыва сертификатов в Центре сертификации. (До версии соединителя сертификатов PFX версии 6.2008.60.612 эти учетные данные использовались только для отзыва сертификата.)

   Примените свои изменения.

7. Закройте окно.

8. В центре администрирования Microsoft Endpoint Manager вернитесь к Администрирование клиентов > Соединители и маркеры > Соединители сертификатов .Через несколько секунд появится зеленая галочка, и статус подключения обновится. Сервер соединителя теперь может взаимодействовать с Intune.

Как использовать консоль сертификатов – статьи technet – сша (английский)

Применимо к Windows 2000, Windows XP, Windows Server 2003, Windows Server 2003 R2, Windows Vista, Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows 8 и Windows Server 2021.

Консоль сертификатов – это оснастка консоли управления Microsoft (MMC), которую можно использовать для управления хранилищами сертификатов для пользователей, компьютеров и служб.

Вы можете использовать консоль сертификатов для выполнения следующих задач:

• Просмотр информации о сертификатах, например содержимого сертификата и пути сертификации.

• Импортировать сертификаты в хранилище сертификатов.

• Перемещение сертификатов между хранилищами сертификатов.

• Экспорт сертификатов и, при необходимости, экспорт закрытых ключей (если экспорт ключей включен).

• Удалить сертификаты из хранилищ сертификатов.

• Запросите сертификаты от центра сертификации предприятия для личного хранилища сертификатов.

1. Откройте MMC.Если у вас еще нет настроенной консоли MMC, вы можете ее создать. Для этого откройте командную строку, Windows PowerShell или диалоговое окно «Выполнить», введите MMC , а затем нажмите ENTER . Если вы видите Запрос управления учетными записями пользователей , убедитесь, что отображается действие, которое вы хотите предпринять, а затем щелкните Есть .

2. Щелкните Консоль , а затем щелкните Добавить / удалить Snap-in .
   – Или –
   Нажмите CTRL M.
   Появится диалоговое окно Добавить / удалить Snap-in .

3. Щелкните Добавить .
   Откроется диалоговое окно « Добавить отдельную оснастку » .

4. Выберите Certificates из списка оснасток, а затем щелкните Добавьте .
   Появится диалоговое окно Certificates Snap-in .

5. Выберите один из следующих аккаунтов:

   • Моя учетная запись

   • Сервисный счет

   • Учетная запись компьютера

   Консоль сертификатов управляет хранилищами сертификатов для этой учетной записи.

6. Щелкните Далее .
   Если вы выбрали Моя учетная запись , Добавить автономный Snap-in появляется диалоговое окно.Вы можете нажать Добавить , чтобы добавить еще одну оснастку.
   Если вы выбрали Учетная запись службы или Учетная запись компьютера , Выберите компьютер появится диалоговое окно. Для управления локальным компьютером щелкните Далее . Чтобы управлять другим компьютером, введите доменное имя компьютера в Другой компьютер или щелкните Обзор , чтобы выбрать компьютер из списка. Затем нажмите Далее .
   Если вы выбрали Учетная запись компьютера , Добавить автономный Snap-in появляется диалоговое окно.Вы можете нажать Добавить , чтобы добавить еще одну оснастку.
   Если вы выбрали Сервисный аккаунт , сертификаты Snap-in появляется диалоговое окно. Выберите услугу из Услуги account list и нажмите Finish . Когда Появится диалоговое окно Add Standalone Snap-in , вы можете нажать Добавьте , чтобы добавить еще одну оснастку.

7. Когда вы закончите добавлять оснастки, в Добавить автономный В диалоговом окне Snap-in нажмите Close .
   Появится диалоговое окно «Добавить / удалить Snap-in » и отобразить оснастки, которые вы устанавливаете в MMC.

8. В диалоговом окне Добавить / удалить Snap-in щелкните Закройте .

Как удалить сертификат в windows 10

Через какое-то время некоторая важная информация теряет актуальность или становится известной третьим лицам. Иногда файлы, содержащие ее, повреждаются или нуждаются в замене на более новую версию. Тогда ненужные данные требуется удалить. При этом корневые в любой ситуации нужно сохранить!

Внимание! До удаления настоятельно рекомендуется удостовериться в окончательной неактуальности секретного файла. Обратного хода у процесса нет, даже при том, что закрытый ключ остается.

Процедуру выполняет системный администратор или хотя бы один из теоретически подготовленных пользователей.

К хранилищу доступ можно получить двумя способами:

• через Internet Explorer;
• через управление Виндовс.

Удаление сертификата

К примеру, требуется удалить ЭЦП пользователя.

Алгоритм действий:

1. Открыть «Панель управления».
2. Выбрать «Сеть» и «Интернет».
3. Активировать раздел «Управление настройками браузера». Всплывет окошко «Свойства».
4. Открыть пункт «Содержание».
5. Тапнуть кнопку «Сертификаты».

На экране всплывет перечень секретных документов. Ненужные можно выбрать, удалить. Важно не забыть сохраняться.

С использованием панели управления можно получить более полное разрешение к зашифрованной информации. Порядок действий в этом случае будет таким:

• «Пуск»;
• «Командная строка»;
• Команда «certmgr.msc».

В появившемся окне будут перечислены все сертификаты хранилища, как пользовательские, так и корневые.

Сертификаты – важная составляющая безопасной работы компьютерной техники. Их достоверность гарантирует сертификационный центр. Работа с секретной информацией требует определенных знаний, поэтому выполнение работ в этой области нужно доверить специалисту.

Обновляем корневые сертификаты на windows. актуализируем доверенные центры сертификации.

Что такое корневой сертификат?Корневой сертификат (СА) – часть ключа, которым центры сертификации подписывают выпущенные SSL-сертификаты. Выдавая корневой сертификат, каждый такой центр гарантирует, что пользователи или организации, запросившие SSL, верифицированы и действия с доменом или приложением легальны.

Что будет если не обновлять корневые сертификаты?Если не обновлять корневые сертификаты, то:

•  вы не сможете заходить на сайты, которые используют доверенные центры сертификации, которых у вас нет в системе, или срок которых у вас истёк.
•  при включенной проверке издателя, вы не сможете устанавливать новые программы, которые используют доверенные центры сертификации, которых у вас нет в системе, или срок которых у вас истёк.
•  вы не сможете продолжать полноценно использовать приложения, которые используют доверенные центры сертификации, которых у вас нет в системе, или срок которых у вас истёк.

Обязательно ли обновлять сертификаты?Нет. В случае если у вас Windows 7, Windows 8, Windows 8.1, Windows 10, и у вас включено автоматическое обновление Windows (Службы криптографии и BITS), то сертификаты обновляются автоматически.

Общесистемные корневые ca сертификаты

Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.

В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.

Чтобы открыть Менеджер Сертификатов нажмите Win r, введите в открывшееся поле и нажмите Enter:

 certmgr.msc

Перейдите в раздел «Доверенные корневые центры сертификации» → «Сертификаты»:

Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.

Просмотр сертификатов в PowerShell

Чтобы просмотреть список сертификатов с помощью PowerShell:

 Get-ChildItem cert:LocalMachineroot | format-list

Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):

 Get-ChildItem cert:LocalMachineroot | Where {$_.Subject -Match "HackWare"} | format-list

Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:

Сертификаты уровня пользователей:

Сертификаты уровня компьютера:

• HKEY_LOCAL_MACHINESoftwareMicrosoftSystemCertificates — содержит настройки для всех пользователей компьютера
• HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificates — как и предыдущее расположение, но это соответствует сертификатам компьютера, развёрнутым объектом групповой политики (GPO (Group Policy))

Сертификаты уровня служб:

• HKEY_LOCAL_MACHINESoftwareMicrosoftCryptographyServicesServiceNameSystemCertificates — содержит настройки сертификатов для всех служб компьютера

Сертификаты уровня Active Directory:

• HKEY_LOCAL_MACHINESoftwareMicrosoftEnterpriseCertificates — сертификаты, выданные на уровне Active Directory.

И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.

Пользовательские сертификаты (файлы):

Компьютерные сертификаты (файлы):

• C:ProgramDataMicrosoftCryptoRSAMachineKeys

Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.

Пример

На следующем рисунке показан пример трех узлов консоли сертификатов, добавленных в MMC. Первый узел консоли «Сертификаты» управляет сертификатами вошедшего в систему пользователя.Второй узел консоли Certificates управляет сертификатами для мира Служба публикации в Интернете для локального компьютера. Третий узел консоли Certificates управляет сертификатами для самого локального компьютера.

Консоль сертификатов (показана в операционной системе Windows 2000)

Узлы консоли сертификатов на рисунке выше были расширены для отображения логических хранилищ сертификатов. Это называется Режим логического отображения . У вас также есть возможность просматривать сертификаты по их физическим хранилищам или по их назначению.

Чтобы изменить режим отображения, выберите консоль сертификатов (например,

Сертификаты – Консоль текущего пользователя

). Щелкните

View

, а затем щелкните

Опции

. Когда появляется диалоговое окно

View Options

(как показано на следующем рисунке в операционной системе Windows 7), которое позволяет вам выбрать определенные параметры режима отображения.

Параметры просмотра Параметры описаны в следующей таблице. Диалоговое окно параметров просмотра

Просмотр сертификатов в оснастке mmc

Следующая процедура демонстрирует, как проверить магазины на вашем локальном устройстве, чтобы найти соответствующий сертификат:

1. Выберите Run из меню Start , а затем введите mmc .

   Появляется MMC.

2. В меню Файл выберите Добавить / удалить привязку .

   Откроется окно Добавить или удалить оснастки .

3. Из списка Доступные оснастки выберите Сертификаты , затем выберите Добавить .

4. В окне оснастки «Сертификаты» выберите Учетная запись компьютера , а затем выберите Далее .

   При желании вы можете выбрать Моя учетная запись пользователя для текущего пользователя или Учетная запись службы для конкретной службы.

   Примечание

   Если вы не являетесь администратором своего устройства, вы можете управлять сертификатами только для своей учетной записи.

5. В окне Выбор компьютера оставьте Локальный компьютер выбранным, а затем выберите Завершить .

6. В окне Добавить или удалить оснастку выберите OK .

7. Необязательно: В меню Файл выберите Сохранить или Сохранить как , чтобы сохранить файл консоли MMC для дальнейшего использования.

8. Для просмотра сертификатов в оснастке MMC выберите Корень консоли на левой панели, затем разверните Сертификаты (локальный компьютер) .

   Появится список каталогов для каждого типа сертификата. Из каждого каталога сертификатов вы можете просматривать, экспортировать, импортировать и удалять его сертификаты.

Вы также можете просматривать, экспортировать, импортировать и удалять сертификаты с помощью инструмента диспетчера сертификатов.

Просмотр сертификатов через certmgr

В операционных системах семейства Windows также имеется встроенный менеджер для работы с установленными сертификатами. Через него можно просмотреть и личные ключи, и сертификаты удостоверяющих центров, партнеров Microsoft (для предоставления привилегий определенным программам).

Где на компьютере найти сертификат цифровой подписи при помощи менеджера? Для этого необходимо:

• открыть меню «Пуск»;
• ввести команду «certmgr.msc» (без кавычек) и нажать клавишу «Enter»;
• в левой части появившегося окна будут вкладки «Личное» и «Корневые сертификаты удостоверяющего центра» — вот там и можно найти все необходимые ключи.

Для запуска менеджера, а также удаления или копирования файлов сертификатов необходимо обладать правами администратора. В противном случае – программа даже не запустится, ссылаясь на недостаточный уровень прав доступа.

Данное приложение также имеет ряд ограничений по работе с шифрованными сертификатами (со специальной кодировкой данных). Поэтому она не всегда корректно отображает все установленные пользовательские цифровые подписи.

Создать профиль доверенного сертификата

1. Войдите в центр администрирования Microsoft Endpoint Manager.

2. Выберите и перейдите к Устройства > Профили конфигурации > Создайте профиль .

3. Введите следующие свойства:

   • Платформа : выберите платформу устройств, которые получат этот профиль.
   • Профиль : выберите Надежный сертификат

4. Выберите Создать .

5. В Basics введите следующие свойства:

   • Имя : введите описательное имя для профиля. Назовите свои профили, чтобы их можно было легко идентифицировать позже. Например, хорошее имя профиля – Профиль доверенного сертификата для всей компании .
   • Описание : введите описание профиля.Этот параметр не является обязательным, но рекомендуется.

6. Выбрать Далее .

7. В параметрах конфигурации укажите ранее экспортированный сертификат корневого ЦС файла .cer.

   Примечание

   В зависимости от платформы, выбранной на этапе Step 3 , у вас может быть или нет возможность выбрать Целевое хранилище для сертификата.

8. Выбрать Далее .

9. В тегах области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment . Дополнительные сведения о тегах области см. В разделе Использование тегов RBAC и области для распределенной ИТ.

   Выбрать Далее .

10. В Assignments выберите пользователя или группы, которые получат ваш профиль. Запланируйте развертывание этого профиля сертификата в тех же группах, которые получают профиль сертификата PKCS.Дополнительные сведения о назначении профилей см. В разделе Назначение профилей пользователей и устройств.

    Выбрать Далее .

11. ( Применимо только к Windows 10 ) В правилах применимости укажите правила применимости, чтобы уточнить назначение этого профиля. Вы можете назначать или не назначать профиль в зависимости от выпуска ОС или версии устройства.

    Для получения дополнительных сведений см. Правила применимости в Создание профиля устройства в Microsoft Intune .

12. В Review create проверьте свои настройки. Когда вы выбираете «Создать», ваши изменения сохраняются, и профиль назначается. Политика также отображается в списке профилей.

Требования

Чтобы использовать сертификаты PKCS с Intune, вам потребуется следующая инфраструктура:

• Домен Active Directory :
  Все серверы, перечисленные в этом разделе, должны быть присоединены к вашему домену Active Directory.

  Дополнительные сведения об установке и настройке доменных служб Active Directory (AD DS) см. В разделе Проектирование и планирование AD DS.

• Центр сертификации :
  Центр сертификации предприятия (CA).

  Для получения информации об установке и настройке служб сертификации Active Directory (AD CS) см. Пошаговое руководство по службам сертификации Active Directory.

  Предупреждение

  Intune требует, чтобы вы запускали AD CS с центром сертификации предприятия (ЦС), а не с автономным ЦС.

• Клиент :
  Для подключения к Enterprise CA.

• Корневой сертификат :
  Экспортированная копия корневого сертификата из корпоративного центра сертификации.

• Соединитель сертификатов PFX для Microsoft Intune :

  Для получения информации о соединителе сертификатов PFX, включая предварительные требования и версии выпуска, см. Соединители сертификатов.

  Важно

  Начиная с выпуска соединителя сертификатов PFX версии 6.2008.60.607, соединитель Microsoft Intune больше не требуется для профилей сертификатов PKCS. Соединитель сертификатов PFX поддерживает выдачу сертификатов PKCS для всех платформ устройств. Сюда входят следующие платформы, которые не поддерживаются соединителем Microsoft Intune Connector:

  • Android Enterprise – полностью управляемый
  • Android Enterprise – выделенный
  • Android Enterprise – корпоративный рабочий профиль

Управление сертификатами с помощью диспетчера сертификатов или certmgr.msc

Консоль диспетчера сертификатов является частью консоли управления Microsoft в Windows 10/8/7. MMC содержит различные инструменты, которые можно использовать для функций управления и обслуживания. Как упоминалось ранее, используя certmgr.msc, вы можете просматривать свои сертификаты, а также изменять, импортировать, экспортировать, удалять или запрашивать новые.

Для управления сертификатами в меню WinX в Windows выберите «Выполнить». Введите certmgr.msc в поле «Выполнить» и нажмите Enter. Помните, что вам нужно будет войти в систему как администратор. Диспетчер сертификатов откроется.

Вы увидите, что все сертификаты хранятся в разных папках в разделе Сертификаты — текущий пользователь . Когда вы откроете любую папку сертификатов, вы увидите, что сертификаты отображаются на правой панели. На правой панели вы увидите такие столбцы, как «Выдан», «Выдан», «Срок действия», «Назначение», «Понятное имя», «Статус» и «Шаблон сертификата». В столбце «Предполагаемые цели» указано, для чего используется каждый сертификат.

Используя диспетчер сертификатов, вы можете запросить новый сертификат с тем же ключом или другим ключом. Вы также можете экспортировать или импортировать сертификат. Чтобы выполнить какое-либо действие, выберите сертификат, щелкните меню «Действие»>

Если вы хотите экспортировать или импортировать сертификаты , откроется простой в использовании мастер, который выполнит необходимые действия.

Следует отметить, что Certmgr.msc является оснасткой консоли управления Microsoft, тогда как Certmgr.exe является утилитой командной строки. Если вы хотите узнать о параметрах командной строки в certmgr.exe, вы можете посетить MSDN.

Прочтите это, если получите. Проблема с сертификатом безопасности этого веб-сайта в сообщении IE.

Шаг 3. установка сертификатов из контейнера

Щелкните правой клавишей мыши по файлу. В открывшемся контекстном меню выберите команду «Установить сертификат».

При запуске может быть открыто окно предупреждения системы безопасности. Нажмите кнопку «Открыть».

Откроется окно «Мастер импорта сертификатов».

Нажмите кнопку «Далее». Мастер перейдет к выбору хранилища для размещения сертификатов

Установите переключатель в положение «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор». Появится окно «Выбор хранилища сертификатов».

Выберите в списке пункт «Доверенные корневые центры сертификации» и нажмите кнопку «ОК». Окно «Выбор хранилища сертификатов» будет закрыто, и Вы вернетесь в окно «Мастер импорта сертификатов». В поле «Хранилище сертификатов» появится выбранное хранилище сертификатов.

Нажмите кнопку «Далее». Окно «Мастер импорта сертификатов» откроется на шаге «Завершение мастера импорта сертификатов».

Нажмите кнопку «Готово». На экране появится окно предупреждения системы безопасности.

Нажмите на кнопку «ОК», кно будет закрыто. Во всех последующих окнах предупреждения системы безопасности (они будут аналогичны первому) также нажмите кнопку «ОК». После завершения установки всех сертификатов на экран будет выведено окно оповещения.

Нажмите на кнопку «ОК», окно будет закрыто. Сертификаты из контейнера cacer.p7b успешно установлены.