Локальное хранилище сертификатов windows 7. Управление доверенными корневыми сертификатами
Эта документация перемещена в архив и не поддерживается.
Управление доверенными корневыми сертификатами
Назначение: Windows 7, Windows Server 2008 R2
Из-за растущего разнообразия используемых сертификатов и в виду увеличения количества выпускаемых сертификатов некоторые организации могут захотеть управлять доверительными отношениями сертификатов и пожелают запретить пользователям в домене конфигурирование своих собственных наборов доверенных корневых сертификатов. Кроме того, в некоторых организациях могут пожелать определять и распределять конкретные доверенные корневые сертификаты для поддержки бизнес-сценариев, для которых необходимы дополнительные доверительные отношения.
Окно запрашивает аутентификацию. Нажмите на маленький замок в адресной строке, чтобы отобразить информацию о сертификате. Нажмите «Просмотр сертификатов» для получения дополнительной информации. Также на открывшейся веб-странице щелкните ссылку «Загрузить сертификат центра сертификации, цепочку сертификатов или список отзыва сертификатов».
Нажмите «Настройки», а затем «Свойства обозревателя». Перейдите на вкладку «Безопасность», затем «Надежные сайты» и, наконец, «Сайты». Нажмите «Добавить», затем «Закрыть». Вернитесь на веб-страницу и нажмите на одну из ссылок в соответствии с вашими потребностями.
В этом разделе описаны процедуры для следующих задач.
Управление доверенными корневыми сертификатами для локального компьютера
Администраторы .
Чтобы управлять доверенными корневыми сертификатами локального компьютера, выполните следующие действия.Нажмите кнопку Пуск , выберите Начать поиск , введите mmc
Если в веб-интерфейсе появится следующее сообщение, нажмите «Да». «Инструменты» и, наконец, «Центр сертификации». Затем в разделе «Все задачи» нажмите «Отменить сертификат». Выберите причину отзыва сертификата и дату отзыва. Вы можете видеть, что ваш сертификат теперь находится в каталоге «Отмененные сертификаты».
Выберите «Новый список отзыва сертификатов». Если у вас уже есть много отозванных сертификатов, вы можете выбрать другой вариант. На сервере откройте веб-браузер и введите адрес веб-сайта. Вы можете заметить, что сертификат отозван, и поэтому вы не можете получить доступ к веб-сайту.
В меню Файл выберите команду .
В группе Доступные оснастки щелкните Редактор объектов локальной групповой политики , нажмите кнопку Добавить , выберите компьютер, на котором располагается изменяемый объект групповой политики (GPO), а затем нажмите кнопку Готово .
ОК .
В дереве консоли щелкните Политика локального компьютера , Конфигурация компьютера , Параметры Windows , Настройка безопасности , а затем щелкните Политики открытого ключа .
Вы можете заметить, что сертификат все еще действителен. Это различие связано с конфигурацией выпуска отозванных сертификатов. Поскольку параметры публикации регистрируются в сертификатах, если вы изменяете конфигурацию отозванной публикации сертификата, вы должны отозвать свои сертификаты и затем сгенерировать их снова. Затем будут учтены новые параметры конфигурации.
Откройте диспетчер сервера, в меню в правом верхнем правом углу нажмите «Инструменты» и, наконец, «Центр сертификации». Выберите свой ЦС, щелкните правой кнопкой мыши и выберите «Свойства». Вы можете видеть, что все опции отмечены, кроме последнего. Вы можете видеть, что опция не включена.
Дважды щелкните , а затем щелкните вкладкуХранилища .
Установите флажок Определить следующие параметры политики .
В группе снимите флажки и .
В группе ОК
Управление доверенными корневыми сертификатами для домена
Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы домена .
Проверьте все доступные параметры, кроме последнего. Нажмите «Применить» для подтверждения. Если вы можете сделать это, нажмите «Да». Также на вкладке «Расширения» выберите расширение «Доступ к полномочиям». Выберите строку «Файл», а затем выберите ту же опцию.
В противном случае нажмите «Нет» и запланируйте перезапуск в ночное время. Щелкните правой кнопкой мыши каталог «Личный», выберите «Все задачи», а затем «Запросить новый сертификат». В открывшемся окне нажмите «Далее». Если ваша организация уже имеет инфраструктуру открытого ключа, настроенную с доверенным центром сертификации, вы можете импортировать сертификат на свое устройство, подписанное центром сертификации вашей организации.
- Выберите «Свойства обозревателя».
- Перейдите на вкладку «Содержание».
- Нажмите «Сертификаты».
- Откройте приложение «Почта».
- Появится диалоговое окно «Установить профиль».
- Откройте электронное письмо, содержащее сертификат в качестве вложения.
- Нажмите сертификат в качестве вложения.
- Вы забыли ввести адрес электронной почты.
- Указанный адрес электронной почты представляется неверным.
- Это электронное письмо уже зарегистрировано.
- Пожалуйста, зарегистрируйтесь здесь.
- Вы превысили максимально допустимое количество символов.
Откройте Диспетчер сервера и в группе Сводка функций нажмите кнопку Добавить функции . Установите флажок , нажмите кнопку Далее , а затем нажмите кнопку Установить .
После того как на странице Результаты установки появится сообщение об успешной установке консоли управления групповыми политиками, нажмите кнопку Закрыть .
Каждая клиентская операционная система и веб-браузер имеют разные методы импорта сертификатов. Инструкции для наиболее распространенных операционных систем и веб-браузеров приведены в следующих разделах. Документацию производителя. Затем вы можете распространить этот сертификат на пользователей, которые могут дважды щелкнуть файл сертификата, чтобы запустить установщик сертификатов в своей системе.
Нажмите кнопку Пуск Администрирование , а затем щелкните элемент Управление групповой политикой .
Объекты групповой политики в лесу и домене, содержащем изменяемый объект групповой политики (GPO) Политика домена по умолчанию .
Политика домена по умолчанию и выберите командуИзменить .
В консоли GPMC перейдите к Конфигурация компьютера , Параметры Windows , Настройка безопасности , а затем щелкните Политики открытого ключа .
Дважды щелкните Параметры подтверждения пути сертификата , а затем щелкните вкладку Хранилища .
Установите флажок Определить параметры политики .
В группе Хранилища сертификатов отдельных пользователей снимите флажки Разрешить использование корневых ЦС, которым доверяет пользователь, для проверки сертификатов и Разрешить пользователям доверять сертификатам одноранговой групп в группе флажков Хранилища сертификатов отдельных пользователей .
Затем устройства могут идентифицировать законные сетевые серверы. Каждый сертификат связывает личность субъекта с парой открытых или закрытых ключей. Идентичность субъекта и открытого ключа включается в сертификат вместе с именем и подписью центра сертификации.
Открытые и закрытые ключи, Закрытые ключи
Они также несут ответственность за продление и, при необходимости, отмену сертификатов. Как только паспорт предоставляется лицу, эта аккредитация может быть представлена подписи для подтверждения личности. Заявитель на сертификат должен создать пару ключей: один частный и только известный ему; другой общественности, используемой в последующих аутентификациях.
В группе Хранилища корневых сертификатов выберите корневые центры сертификации, которым могут доверять клиентские компьютеры, а затем нажмите кнопку ОК , чтобы применить новые параметры.
Добавление сертификатов в хранилище доверенных корневых центров сертификации для локального компьютера
Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы .
Субъект может подтвердить свою личность, используя свой секретный ключ для генерации цифровых подписей, которые каждый может проверить с помощью открытого ключа субъекта. Таким образом, ИТ-отдел может защищать подключения к доверенным серверам, не открывая большие двери.
Пользователь, который нажимает на вложение, затем запускает диалог установки профиля. Вы также можете посоветовать пользователям убедиться, что они находятся на законном веб-сайте, прежде чем загружать сертификат; например, путем открытия сеанса на корпоративном веб-портале.
Нажмите кнопку Пуск , выберите Начать поиск , введите mmc , а затем нажмите клавишу ВВОД.
В меню Файл выберите пункт Добавить или удалить оснастку .
В группе Доступные оснастки щелкните Сертификаты , а затем нажмите кнопку Добавить .
В группе Эта оснастка всегда будет управлять сертификатами для щелкните Учетная запись компьютера , а затем нажмите кнопку Далее
Режимы развертывания для профилей конфигурации
К ним относятся сертификаты и параметры для приложений, которые их используют. Прежде чем начать, мы имеем. На «Перед тем, как начать» нажмите «Далее». В «Тип установки» сохраните параметр «Роль или функция на основе установки» и нажмите «Далее». Откроется окно и предложит добавить необходимые функциональные возможности, например инструменты управления сертификатами. Подтвердите выбор, нажав «Добавить функции».
В разделе «Роли сервера» нажмите «Далее». В «Функциональности» нажмите «Далее». В разделе «Услуги ролей» по умолчанию проверяется опция «Центр сертификации». Мы добавим параметр «Регистрация центра сертификации через Интернет». Несколько слов о других вариантах, не вдаваясь в подробности.
Щелкните Локальный компьютер , а затем нажмите кнопку Готово .
Если на консоль не нужно добавлять другие оснастки, нажмите кнопку ОК .
В дереве консоли дважды щелкните Сертификаты .
.
Нажмите кнопку Импорт , чтобы импортировать сертификаты и выполнить инструкции мастера импорта сертификатов.
Это позволяет вам создавать сертификаты для партнерских лесов, например, или для мобильных работников. На странице «Роль веб-сервера» нажмите «Далее». В разделе «Услуги роли» сохраните настройки по умолчанию и нажмите «Далее». В окне подтверждения нажмите «установить» и дождитесь установки двоичных файлов.
В первом окне, поскольку мы используем учетную запись администратора домена, вам не нужно менять учетные данные. У вас есть возможность создать два типа ЦС. Орган сертификации предприятия. Интеграция доменов позволяет добавлять функции автоматической регистрации для пользователей и компьютеров, используя Он также позволяет хранить закрытые ключи объекта в каталоге и управлять агентами восстановления ключей. Мы создадим корневой ЦС, который выдает собственный сертификат в качестве ЦС. Если вы хотите создать многоуровневую структуру, первый ЦС будет корневым ЦС и будет генерировать самозаверяющий сертификат. используйте сертификат, предоставленный корневым ЦС.
Добавление сертификатов в хранилище доверенных корневых центров сертификации для домена
Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы домена .
Чтобы добавить сертификаты в хранилище доверенных корневых центров сертификации домена, выполните следующие действия.- Это позволяет установить безопасное соединение с веб-сервером.
- Заблокированные сертификаты никогда не считаются доверенными сертификатами.
Откройте Диспетчер сервера и в группе Сводка компонентов нажмите кнопку Добавить компоненты . Установите флажок Управление групповой политикой , нажмите кнопку Далее , а затем кнопку Установить .
В течение срока действия сертификата сертификационного органа мы будем генерировать сертификат продолжительности, это позволит избежать слишком быстрого обновления сертификата. Наконец, просто нажмите «Настроить», чтобы завершить установку нашего центра сертификации.
Через несколько минут мастер настройки указывает, что настроены 2 службы. Мы находим в инструментах администрирования консоль «Центр сертификации». Если мы посмотрим на средство просмотра событий, в журнале приложений мы увидим событие 103, которое указывает, что сертификат органа будет установлен в хранилище доверенных корневых ресурсов.
После того как на странице Результаты установки появится сообщение об успешной установке консоли управления групповой политикой (GPMC), нажмите кнопку Закрыть .
Нажмите кнопку Пуск , наведите указатель мыши на пункт Администрирование и выберите пункт Управление групповой политикой .
В дереве консоли дважды щелкните узел Объекты групповой политики в лесу и домене, содержащем изменяемый объект групповой политики Политика домена по умолчанию .
После предоставления учетной записи и пароля мы будем подключены к веб-службам этого органа. Наши полномочия теперь установлены. В других статьях этого же раздела подробно описывается работа органа. В свете этих открытий мы предприняли шаги по защите пользователей от обновления безопасности.
О доверенных сертификатах
Мы предпринимаем шаги для защиты пользователей в предстоящем обновлении для системы безопасности. Доверительные сертификаты используются для установки цепочки доверия для проверки других сертификатов, подписанных доверенными корнями. Когда используется один из этих сертификатов, вы должны указать, хотите ли вы полагаться на него.
Щелкните правой кнопкой мыши объект групповой политики Политика домена по умолчанию и выберите команду Изменить .
В консоли управления групповой политикой перейдите в раздел Конфигурация компьютера , Параметры Windows , Настройка безопасности и щелкните Политики открытого ключа .
Щелкните правой кнопкой мыши хранилище Доверенные корневые центры сертификации .
Другие названия компаний и продуктов могут быть товарными знаками соответствующих владельцев. Органы сертификации выдают цифровые сертификаты. Цифровые сертификаты - это небольшие, проверенные файлы данных, содержащие учетные данные, которые позволяют веб-сайтам, отдельным лицам и устройствам доказывать подлинность своей онлайн-идентичности. Каждый год они выдают миллионы цифровых сертификатов, а эти сертификаты может использоваться для защиты информации, шифрования миллиардов транзакций и безопасной связи.
Органы сертификации используют эти предварительно установленные корневые сертификаты для выдачи промежуточных корневых сертификатов и цифровых сертификатов и получают запросы сертификатов, которые должны быть сначала проверены до выдачи корневых сертификатов. Затем они публикуют свой статус действительности, чтобы гарантировать, что все стороны, зависящие от него, могут быть гарантированы.
Нажмите кнопку Импорт и выполните инструкции мастера импорта сертификатов, чтобы импортировать сертификаты.
Дополнительные источники информации
Аннотация
Настоящий документ содержит описание последовательности действий по установке и настройке программного обеспечения автоматизированного рабочего места пользователя системы «Электронный бюджет».
Список терминов и сокращений
В документе используются следующие термины и сокращения:
АРМ – автоматизированное рабочее место пользователя системы «Электронный бюджет»;
ОС – операционная система;
ПО – программное обеспечение;
Пользователь – зарегистрированный в системе «Электронный бюджет» сотрудник организации, которому предоставлен доступ к определенным функциям в системе «Электронный бюджет», в соответствии с заявкой на подключение;
Система «Электронный бюджет» – государственная интегрированная информационная система управления общественными финансами «Электронный бюджет»;
УЦ – Удостоверяющий центр.
Порядок подготовки арм
Установка и настройка программного обеспечения автоматизированного рабочего места пользователя должна выполняться под учетной записью пользователя, входящего в группу локальных администраторов операционный системы.
Порядок подготовки АРМ пользователя приведен в таблице (Таблица 1 ).
Таблица 1. Порядок подготовки АРМ пользователя.
| № п/п | Операция | Раздел |
| 1. | Копирование сертификата сервера TLS в локальную директорию АРМ пользователя. | 3.1 |
| 2. | Копирование корневого сертификата УЦ Федерального казначейства в локальную директорию АРМ пользователя. | 3.2 |
| 3. | Установка корневого сертификата УЦ Федерального казначейства в локальное хранилище компьютера. | 3.3 |
| 4. | Установка сертификата пользователя в хранилище личных сертификатов АРМ пользователя (при необходимости). | 3.4 |
| 5. | Установка ПО «Windows Installer». | 3.5 |
| 6. | Установка драйвера используемого носителя ключевой информации сертификата пользователя. | 3.6 |
| 7. | Установка ПО «Jinn-Admin» для генерации запроса к УЦ на получение квалифицированного сертификата пользователя (устанавливается при необходимости). | 3.7 |
| 8. | Установка и настройка средства создания защищенного TLS-соединения «Континент TLS Клиент». | 3.8 |
| 9. | Настройка используемого пользователем веб-обозреватель для подключения к системе «Электронный бюджет». | 3.9 |
| 10. | Установка средства электронной подписи «Jinn-Client». | 3.10 |
| 11. | Установка модуля для работы с электронной подписью «Cubesign». | 3.11 |
Описание операций
Копирование сертификата сервера TLS
Для копирования файла сертификата сервера TLS в локальную директорию АРМ пользователя необходимо:
Рисунок 1. Копирование сертификата сервера TLS.
2. Перейти в раздел «Электронный бюджет > Подключение к системе».
Копирование корневого сертификата УЦ Федерального казначейства
Для копирования файла корневого сертификата УЦ Федерального казначейства в локальную директорию АРМ пользователя необходимо:
1. Открыть в веб-обозревателе официальный сайта Федерального казначейства, перейдя по адресу в сети Интернет: www.roskazna.ru
Рисунок 2. Копирование корневого сертификата УЦ Федерального казначейства.
2. Перейти в раздел «Удостоверяющий центр > Корневые сертификаты».
Установка корневого сертификата в локальное хранилище компьютера
Для установки корневого сертификата УЦ в хранилище сертификатов компьютера средствами операционной системы семейства Windows необходимо:
1. Через контекстное меню файла корневого сертификата УЦ Федерального казначейства выбрать пункт меню «Установить сертификат».
2. На экране отобразится мастер импорта сертификатов.
Рисунок 3. Мастер импорта сертификатов.
Рисунок 4. Выбор хранилища сертификата.
4. В окне «Хранилище сертификата» выбрать размещение сертификата вручную, указав поле «Поместить сертификаты в следующее хранилище».
5. Нажать кнопку «Обзор…».
Рисунок 5. Выбор хранилища сертификата. Локальный компьютер.
6. Отметить поле «Показывать физические хранилища».
7. В окне выбора хранилища сертификатов раскрыть контейнер «Доверенные корневые центры сертификации».
8. В контейнере «Доверенные корневые центры сертификации» выбрать вложенный контейнер «Локальный компьютер».
9. Нажать кнопку «Ок».
Рисунок 6. Выбор хранилища сертификата. Установка.
Рисунок 7. Завершение установки.
11. Нажать кнопку «Готово».
12. В случае успешного импорта сертификата отобразится диалог «Импорт успешно выполнен».
13. Нажать кнопку «ОК».
Рисунок 8. Успешный импорт сертификата.
Загрузка...
