Список доверенных центров сертификации. Управление доверенными корневыми сертификатами
Для выполнения этой операции у вас должны быть права администратора. Сертификат устанавливают на той рабочей станции, где организована доставка отчётности.
Из каталога, где установлена программа криптозащиты (CSP ) на сервере, скопируйте на рабочую станцию файл center_ cert. cer . С помощью проводника откройте файл – появится окно "Сертификат ".
Это называется иерархией доверия, и она выглядит так. В качестве надежных якорей для Интернета, авторитеты сертификации несут большую ответственность. В результате они регулярно подвергаются аудитам, которые трудно выполнить. Выберите «Разместить все сертификаты» в следующем хранилище: Промежуточные центры сертификации. В левом окне дважды щелкните Доверенные корневые центры сертификации. В правом окне дважды щелкните Сертификаты. Щелкните правой кнопкой мыши сертификат и выберите «Удалить». Перезапустите службу для связанного с ней сайта.
Рис. П 2-1 – Установка сертификата
Нажмите кнопку "Установить сертификат " - будет запущен Мастер импорта сертификатов . Для перехода к следующему этапу нажимайте "Далее >" или "ОК ".
1. Для выбора хранилища сертификатов установите флаг рядом с командой "Поместить все сертификаты в следующее хранилище " и нажмите "Обзор ".
Снимите флажок Обновить корневые сертификаты. Это только серверное решение. Сертификат клиента не выдается непосредственно корневым сертификатом органа, а промежуточным сертификатом. Если промежуточный сертификат не установлен на сервере, браузер посетителей отображает предупреждение об отсутствии доверия к сертификату.
Где найти промежуточный сертификат
Вы также найдете промежуточный сертификат в любое время в своем аккаунте с выданным сертификатом или вы также можете загрузить его непосредственно с сайтов органов сертификации по следующим ссылкам. Сохраните полученный файл с промежуточным сертификатом в папке с сертификатами.
Рис. П 2-2 – Выбор места размещения сертификата
2. В открывшемся окне "Выбор хранилища сертификатов " поставьте флаг у команды "Показать физические хранилища ". В списке хранилищ сертификатов откройте папку "Доверенные корневые центры сертификации " и выберите "Локальный компьютер ".
С оснасткой «Сертификаты» вы можете просмотреть хранилище сертификатов для пользователя, компьютера или службы в зависимости от роли, для которой предназначены сертификаты, или на основе их категорий логического хранения. Когда вы просматриваете сертификаты на основе их категорий хранения, вы также можете просмотреть физические хранилища для представления иерархии хранилища сертификатов.
Если у вас есть соответствующие права пользователя, вы можете импортировать или экспортировать сертификаты из любой папки в хранилище сертификатов. Это позволяет всем пользователям или компьютерам с соответствующими разрешениями получать требуемый сертификат. Сертификаты могут отображаться в соответствии с их ролью или логическими магазинами, как показано в таблице ниже. Просмотр сертификатов логическими магазинами - это опция по умолчанию в оснастке «Сертификаты».
Рис. П 2-3 – Выбор хранилища сертификата
Если папка "Локальный компьютер " отсутствует, прервите установку, зайдите в систему с правами администратора и повторите операцию.
3. Завершите установку. Появится сообщение: "Импорт успешно выполнен ".
Когда вы просматриваете сертификаты в логическом хранилище, вы иногда видите две копии одного и того же сертификата в хранилище. Эта ситуация возникает, потому что один и тот же сертификат хранится в разных физических магазинах, сгруппированных в одном логическом хранилище. Когда содержимое различных хранилищ физических сертификатов объединяется в один логический магазин, отображаются все экземпляры одного и того же сертификата.
Чтобы убедиться в этом, установите параметры отображения, чтобы увидеть хранилища сертификатов; вы заметите, что сертификат находится в отдельных физических хранилищах, которые зависят от одного и того же логического хранилища. Вы увидите, что это единственный сертификат, сравнивая серийные номера.
4. Убедитесь в том, что установленный сертификат стал доступен в системе "СБиС++ Электронная отчетность ". Для этого войдите в программу, в карточке организации перейдите на закладку "Сертификаты ". В поле "Статус " должна появиться запись "Действителен ". Иначе, обратитесь к главе "Дополнительные возможности отправки отчётности ", разделу "Решение проблем доставки отчётности ".
Эта ошибка является сообщением о статусе информации. Обычно рекомендуется использовать одобренные сертификаты сертификатов независимых производителей. Это сообщение о статусе указывает, что имя домена в поле «Имя субъекта» или «Другое имя» объекта сертификата не совпадает с полным доменным именем отправителя или получателя.
Это сообщение о статусе указывает, что сертификат, который использовался для этой операции, не доверяется хранилищем сертификатов компьютера. Чтобы утвердить этот сертификат, корневой ЦС для соответствующего сертификата должен находиться в хранилище сертификатов этого компьютера.
Сертификаты, которые используются в работе системы Контур Экстерн, можно добавить или удалить c помощью консоли mmc из следующих хранилищ:
- Другие пользователи (хранилище сертификатов контролирующих органов)
- Доверенные корневые центры сертификации и Промежуточные центры сертификации (хранилища сертификатов Удостоверяющего Центра ).
Установка личных сертификатов производится только с помощью программы Крипто Про.
Это сообщение о статусе указывает, что вы должны включить сертификат для использования в текущем приложении. Это сообщение статуса также может указывать на то, что поле расширенного использования ключа сертификата, которое вы используете, не содержит правильных данных.
Это сообщение о состоянии указывает, что системное время неверно, срок действия сертификата истек, или время, когда система, которая подписала файл, является неправильной. Убедитесь, что выполняются следующие условия.
- Часы локального компьютера точны.
- Точки отправки системы являются точными.
Для запуска консоли необходимо выполнить следующие действия:
1. Выбрать меню Пуск / Выполнить (или на клавиатуре одновременно нажать клавиши Win+R ).
2. Указать команду mmc и нажать на кнопку ОК .
3. Выбрать меню Файл / Добавить или удалить оснастку (см. рис. 1).
Рис. 1. Окно консоли
4. Выбрать из списка оснастку Сертификаты и кликнуть по кнопке Добавить (см. рис. 2).
Это сообщение о статусе указывает, что цепочка сертификатов повреждена или ненадежна. Создайте новый сертификат с помощью командлета или свяжитесь со своим ЦС, чтобы проверить цепочку сертификатов, используемую для этого сертификата. Это сообщение о статусе указывает, что сертификат недействителен, поскольку он был выпущен сертификатом конечного объекта, а не центром сертификации. Сертификат конечной сущности - это сертификат, созданный для криптографического использования конкретного приложения.
Создайте новый сертификат с помощью командлета. Одной из наиболее распространенных форм криптографии сегодня является криптография с открытым ключом. Криптография открытого ключа использует открытый ключ и закрытый ключ, который шифрует информацию с использованием открытого ключа. затем дешифровать только с помощью закрытого ключа.
Рис. 2. Добавление оснастки
5. В открывшемся окне установить переключатель Моей учетной записи пользователя и нажать на кнопкуГотово (см. рис. 3).
Рис. 3. Оснастка диспетчера сертификатов
Это позволяет шифровать шифрование трафика. Сертификат - это метод, используемый для распространения открытого ключа и другой информации о сервере и организации, которая несет за это ответственность. В большинстве случаев для настройки защищенного сервера с использованием шифрования с открытым ключом вы отправляете запрос сертификата в центр сертификации вместе с подтверждением вашей личности и оплаты. Альтернативой является создание собственного самозаверяющего сертификата.
Обратите внимание, что самозаверяющие сертификаты не должны использоваться в большинстве производственных сред. Браузеры автоматически распознают сертификат и позволяют устанавливать безопасное соединение без вмешательства пользователя. Когда центр сертификации выдает сертификат, это гарантирует идентичность организации, предоставляющей веб-страницы в браузере. Если браузер встречает сертификат, чей центр сертификации отсутствует в списке, браузер предлагает пользователю принять или отклонить соединение.
6. Выбрать из списка справа добавленную оснастку и нажать на кнопку ОК (см. рис. 4).
Рис. 4. Выбор добавленной оснастки
Установка сертификатов
1. Открыть необходимое хранилище (например, доверенные корневые центры сертификации). Для этого раскрыть ветку Сертификаты — текущий пoльзователь / Доверенные корневые центры сертификации / Сертификаты (см. рис. 5).
Кроме того, другие приложения могут генерировать сообщение об ошибке при использовании самозаверяющего сертификата. Запрос сертификата содержит информацию о вашем сервере и компании, принимающей его. Отправьте свой сертификат вместе с документами, подтверждающими вашу личность, в центр сертификации. Ваше решение может основываться на вашем прошлом опыте или опыте ваших друзей или коллег или просто на финансовых соображениях. После того, как вы выбрали сертификационный орган, вы должны следовать инструкциям, которые они вам дали сертификат от них. Когда центр сертификации уверен, что вы тот, кого вы утверждаете, он отправляет вам цифровой сертификат. Установите этот сертификат на защищенный сервер и настройте соответствующие приложения для использования сертификата.
- Создайте пару частных и открытых ключей.
- Создайте запрос сертификата на основе открытого ключа.
- Мы не можем сказать вам, какой орган сертификации выбрать.
Рис. 5. Окно консоли
2. Выбрать меню Действие / Все задачи / Импорт (см. рис. 6).
Рис. 6. Меню «Все задачи / Импорт»
3. В отрывшемся окне нажать на кнопку Далее .
4. Далее следует нажать на кнопку Обзор и указать файл сертификата для импорта (корневые сертификатыУдостоверяющего Центра можно скачать с сайта Удостоверяющего центра , сертификаты контролирующих органов находятся на сайте системы «Контур-Экстерн»). После выбора сертификата необходимо кликнуть по кнопке Открыть (см. рис. 7), а затем по кнопке Далее .
Отсутствие кодовой фразы позволяет запускать службы без ручного вмешательства, обычно это предпочтительный способ запуска демона. В этом разделе описывается настройка ключа с и без кодовой фразы. Затем ключ без кодовой фразы будет использоваться для создания сертификата, который может использоваться для различных служб или демонов.
Использование защищенного сервиса без кодовой фразы полезно, поскольку эти службы могут запускаться без необходимости вводить эту фразу каждый раз, но это может быть уязвимость безопасности, которая может поставить под угрозу весь сервер. Чтобы сгенерировать ключи для запроса подписи сертификата, выполните следующую команду в терминале.
Рис. 7. Выбор сертификата для импорта
5. В следующем окне необходимо нажать на кнопку Далее (нужное хранилище выбрано автоматически). См. рис. 8.
Рис. 8. Выбор хранилища
6. Нажать на кнопку Готово для завершения импорта (см. рис. 9).
Теперь вы можете ввести свой пароль. Для лучшей безопасности он должен содержать не менее восьми символов. Помните также, что ваш пароль чувствителен к регистру. Повторно введите пароль для проверки. Теперь создайте незащищенный ключ и замените имя ключей.
Создание самозаверяющего сертификата
Затем вам будет предложено ввести кодовую фразу, если она верна, вам будет предложено ввести название компании, имя сайта, адрес электронной почты и т.д. Чтобы создать самозаверяющий сертификат, используйте следующую команду в терминале. Вышеупомянутая команда попросит вас ввести ваш пароль.
Рис. 9. Завершение импорта сертификата
Удаление сертификатов
Чтобы удалить сертификаты с помощью консоли mmc (например, из хранилища Другие пользователи), необходимо проделать следующие действия:
Раскрыть ветку Сертификаты — текущий пoльзователь / Другие пользователи / Сертификаты . В правой части окна отобразятся все сертификаты, установленные в хранилище Другие пользователи . Выделите необходимый сертификат, щелкните по нему правой кнопкой мыши и выберите Удалить (см. рис. 10).
Если ваш сервер должен использоваться в рабочей среде, вам, вероятно, нужен сертификат, подписанный центром сертификации. Не рекомендуется использовать самозаверяющий сертификат. Теперь вы должны настроить приложения, которые могут использовать шифрование с открытым ключом, для использования файлов сертификатов и ключей.
Если для служб в вашей сети требуется несколько сертификатов, может оказаться целесообразным создать собственный внутренний центр сертификации. Хотя это не является абсолютно необходимым, полезно при создании нескольких сертификатов, и при создании сертификата будет прокручиваться большой объем данных на экране. Это позволяет нескольким службам использовать один и тот же сертификат без чрезмерного усложнения управления правами доступа к файлам. В защищенной связи сертификаты используются для аутентификации сервера.
Рис. 10. Окно консоли
Загрузка...
