Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Добрый день! Уважаемые читатели и гости крупнейшего IT блога в России pyatilistnik.org. В прошлый раз мы разбирали ситуацию, что утилита КриптоПРО не видела токен Jacarta, согласитесь, что при решении этой проблемы было бы здорово иметь тестовый ключ с сертификатом, и параллельно ваш коллега мог бы тоже траблшутить. Еще тестовый сертификат CryptoPRO может быть полезен, при процедуре переноса контейнера КриптоПРО из реестра в случае с не экспортируемым закрытым ключом. Сегодня я вас научу генерировать нормальный, тестовый сертификат шифрования или подписи для разных задачу.

  • Инструкции по учету в программах 1С
  • Справочник 1С-ЭДО
  • Решение проблем
  • Цепочка сертификатов не может быть построена до доверенного корневого сертификата

При возникновении ошибки «Цепочка сертификатов не может быть построена до доверенного корневого сертификата.» необходимо выполнить проверку сертификата электронной подписи.

Алгоритм проверки электронной подписи:

В программном продукте 1С необходимо

1. перейти в раздел «Администрирование»

2. «Обмен электронными документами»

3. «Настройка электронной подписи и шифрования»

4. На вкладке «Сертификаты» открыть используемый сертификат

5. Нажать на кнопку «Проверить»

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

6. Ввести пароль закрытой части ключа и нажать «Проверить»

Обращаем Ваше внимание, что программа сама увеличит количество * в поле «Пароль:» до 16 при проверке. Данное поведение является штатным и выступает дополнительной защитой конфиденциальных данных в виде количества символов в пароле. Проверка будет осуществлена на основании введенных Вами данных

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

сертификата.» это обозначает, что цепочка сертификации выстроена не полностью. Данная ошибка чаще всего встречается при первичной установке сертификата. Для просмотра пути сертификации необходимо сохранить сертификат, указав директорию компьютера, где его можно будет найти. Сделать это можно из программы 1С открыв сертификат в настройках электронной подписи и шифрования и нажать кнопку «Сохранить в файл» и указать директорию операционной системы для сохранения файла.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

После сохранения сертификата необходимо открыть его в сохраненной директории.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Открыть сертификат можно дважды нажав на него левой кнопкой мыши или правая кнопка мыши — Открыть.

На вкладке «Общие» в логотипе сертификата будет присутствовать сигнализирующий о проблеме желтый знак, а в сведениях о сертификате будет присутствовать надпись «Недостаточно информации для проверки этого сертификата».

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Следующим этапом необходимо перейти во вкладку «Путь сертификации». Можно заметить, что путь сертификации состоит из одного личного сертификата, а в состоянии сертификата присутствует надпись «Невозможно обнаружить поставщика этого сертификата».

В компьютерной безопасности цифровые сертификаты проверяются с помощью цепочки доверия. Сертификаты удостоверяются ключами тех сертификатов, которые находятся выше в иерархии сертификатов. Наивысший сертификат в цепочке называется корневым.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Пример корректного пути сертификации

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Решение: Восстановить путь сертификацию

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Открыть браузер и вставить скопированное ранее значение в адресную строку, нажать «Перейти» (Enter). Откроется окно просмотра загрузок, в котором браузер предложит сохранить или открыть файл. Необходимо нажать «Сохранить как» и указать директорию, куда произойдёт сохранение.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Произойдет скачивание сертификата удостоверяющего центра, который выдал личный сертификат. После скачивания необходимо перейти в указанную директорию и открыть скаченный сертификат. В нашем примере это сертификат astral-883-2018.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

После открытия сертификата удостоверяющего центра необходимо нажать «Установить сертификат»

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

В открывшемся мастере импорта сертификатов выбрать Расположение хранилища: «Текущий пользователь» и нажать «Далее».

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

В следующем окне выбрать «Поместить все сертификаты в следующее хранилище» нажать «Обзор» и выбрать «Доверенные корневые центры сертификации», нажать «Далее» и завершить установку.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

После появится окно предупреждения системы безопасности. Для установки сертификата необходимо нажать «Да»

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Затем появится окно, сообщающее о том, что импорт сертификата успешно выполнен.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

После установки сертификата удостоверяющего центра путь сертификации будет состоять уже из двух сертификатов: личного сертификата сотрудника организации, который ссылается на доверенный сертификат удостоверяющего центра, который выдал данному сотруднику сертификат.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Сертификат удостоверяющего центра не может сослаться на вышестоящий сертификат Головного удостоверяющего центра в виду его отсутствия на рабочем месте.

Для установки сертификата Головного удостоверяющего центра необходимо открыть сертификат удостоверяющего центра и перейти во вкладку «Состав». В верхнем окне выбрать поле «Идентификатор ключа центра сертификатов», а затем в нижнем окне скопировать серийный номер сертификата (Ctrl+C).

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

После нажатия на отпечаток произойдет скачивание сертификата Головного удостоверяющего центра. Необходимо нажать «Сохранить как» и выбрать необходимую директорию для сохранения сертификата Головного удостоверяющего центра.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Необходимо перейти в директорию, куда был скачан сертификат и открыть его.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

В открывшемся сертификате необходимо нажать «Установить сертификат»

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

В мастере импорта сертификатов необходимо выбрать «Текущий пользователь» и нажать «Далее»

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

В следующем окне необходимо выбрать «Поместить все сертификаты в следующее хранилище», нажать «Обзор». В окне выбора хранилища сертификата необходимо поставить галочку «Показать физические хранилища», затем развернуть «Доверенные корневые центры сертификации» нажатием на «+» и выбрать «Локальный компьютер» и нажать «ОК». Завершить установку сертификата.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

После установки сертификата Головного удостоверяющего центра путь сертификации личного сертификата восстановлен.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

После восстановления пути сертификации ошибка не воспроизводится.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

В этой статьей расскажем, что такое корневой сертификат УЦ, для чего нужен и как его установить.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Корневой сертификат — это файл, в котором указаны данные удостоверяющего центра (УЦ). Например, название УЦ, его ИНН и адрес, срок действия сертификата, какой алгоритм шифрования использует УЦ.

К этим данным обращается криптопровайдер, когда проверяет действительность электронной подписи пользователя. Если не установить корневой сертификат на компьютер, где используется электронная подпись, то подпись не будет работать корректно.

Чтобы быстро установить корневой сертификат и настроить компьютер, используйте бесплатный сервис Контур.Веб-диск. Он скачает все плагины и файлы, необходимые для правильной работы электронной подписи.

Удостоверяющий центр использует корневой сертификат, чтобы:

  • выдавать  сертификаты электронной подписи (ЭП, она же ЭЦП) пользователям, например, гендиректору организации или нотариусу,
  • отзывать эти сертификаты, подписывая корневым сертификатом список отозванных (аннулированных) сертификатов.

Если вы еще не получили электронную подпись, оформите ЭП в удостоверяющем центре, который прошел аккредитацию. В УЦ Контура есть подписи для сотрудников и руководителей, торгов, отчетности и личных дел.

Корневой сертификат участвует в «цепочке доверия». «Цепочка доверия» — это взаимосвязь нескольких сертификатов, которая позволяет проверить, действительна ли электронная подпись и можно ли доверять сертификату ЭП.

Рассмотрим «цепочку доверия», сформированную для квалифицированного сертификата электронной подписи:

1. Корневой сертификат Минцифры РФ (ранее — Минкомсвязь РФ).

Читать также:  Кто имеет право на получение сертификата веб-сервера без дополнительных настроек по умолчанию

Это верхнее звено «цепочки доверия». Минцифры РФ осуществляет функции головного удостоверяющего центра в России. Оно наделяет другие удостоверяющие центры, прошедшие аккредитацию, правом выдавать квалифицированные сертификаты ЭП — выдает им собственные сертификаты, подписанные корневым сертификатом Минцифры РФ.

Например, в Windows корневой сертификат можно найти через «Управление сертификатами» — «Доверенные корневые центры сертификации» — «Сертификаты».

2. Сертификат удостоверяющего центра. Официально его называют «промежуточный сертификат», но распространено также название «корневой сертификат УЦ».

Среднее звено «цепочки доверия». УЦ получает этот сертификат от Минцифры РФ, когда становится аккредитованным. С помощью своего промежуточного сертификата УЦ выдает квалифицированные сертификаты пользователям: организациям, их сотрудникам, простым физлицам (п.2.1 ст.15 63-ФЗ).

В Windows промежуточный сертификат хранится в «Управление сертификатами» — «Промежуточные центры сертификации» — «Сертификаты».

3. Личный сертификат пользователя — квалифицированный сертификат электронной подписи.

Конечное звено «цепочки». Пользователь обращается в УЦ и получает там квалифицированный сертификат ЭП (он же КЭП, ЭП или ЭЦП). В его сертификате указаны данные «вышестоящих» сертификатов — УЦ и Минцифры.

В Windows личный сертификат можно найти через «Управление сертификатами» — «Личное».

Все сертификаты должны быть установлены в хранилище сертификатов (на компьютер) и действительны. Только тогда криптопровайдер сможет проверить доверие к сертификату пользователя и действительность электронной подписи, сформированной на основе этого сертификата.

«Путь сертификации» в составе сертификата показывает цепочку доверия: корневой сертификат, промежуточный и личный сертификат пользователя. Установить сертификаты можно с помощью сервиса от УЦ Контур или браузера-обозревателя.

Выше мы описали «цепочку доверия» для квалифицированных сертификатов. Поскольку такие сертификаты могут выдавать только аккредитованные УЦ, то в цепочке три звена: Минцифры — аккредитованный УЦ — пользователь. Именно такую связь можно увидеть, если открыть личный сертификат пользователя на вкладке «Путь сертификации» (см. скриншот выше).

Для неквалифицированных сертификатов ЭП «цепочка доверия» может состоять только из двух звеньев: УЦ — пользователь. Это возможно потому, что УЦ для выдачи неквалифицированных сертификатов не нужна аккредитация. Звенья такой «цепочки» будут называться: «корневой сертификат» и «пользовательский (личный) сертификат»

Программа установки всех сертификатов импортирует корневой сертификат Минцифры и промежуточные сертификаты УЦ. Подключение к интернету на момент установки не требуется.

Да, можно, но работать она не будет. Корневой и промежуточный сертификат является тем ключом, к которому обращается криптопровайдер при проверке  подлинности подписи. Для признания ключа действительным в системе должен быть установлен корневой сертификат. В противном случае пользователь увидит окно с уведомлением об ошибке.

Это актуально как для ЭП, хранящейся на компьютере, так и для ЭП на токене, с небольшой разницей:

  • при работе с ЭП на компьютере, корневой сертификат устанавливается один раз, обычно при первой установке ЭП,
  • если ЭП хранится на токене, то корневой сертификат необходимо устанавливать на тот компьютер, с которым предстоит работать.

Корневой сертификат представляет собой файл, который содержит свойства и данные:

  • серийный номер,
  • сведения об УЦ,
  • сведения о владельце сертификата,
  • сроки его действия,
  • используемые алгоритмы
  • открытый ключ электронной подписи,
  • используемые средства УЦ и средства электронной подписи,
  • класс средств ЭП,
  • ссылка на сертификат «вышестоящего» УЦ, который выдал данный сертификат (для промежуточного сертификата),
  • ссылка на реестр аннулированных (отозванных) сертификатов (для промежуточного сертификата),
  • электронную подпись УЦ, выдавшего сертификат.

Какой срок действия корневого сертификата удостоверяющего центра

Корневой сертификат УЦ Минцифры действует 18 лет. Промежуточный сертификат аккредитованного УЦ действует 15 лет — это дольше, чем действие любого пользовательского сертификата ЭП, который такой УЦ выдаст клиенту. Пользовательские сертификаты выдаются обычно на 12, 15 месяцев.

УЦ сам следит за сроками действия своих промежуточных и корневых сертификатов, чтобы не доставить неудобств клиентам. УЦ Контура обновляет сертификаты в среднем раз в год — это необходимо, чтобы соблюдать требования эксплуатационной документации к срокам ключей электронной подписи на сертифицированные средства УЦ и ЭП. Обновление происходит незаметно для пользователей и не влияет на их работу.

Для начала работы с электронной подписью необходимо установить корневые и промежуточные сертификаты УЦ. У клиентов УЦ Контура установка обычно происходит автоматически — во время автонастройки компьютера. Ниже мы опишем и автоматический, и ручной способ.

Автоматическая установка — наиболее простой и быстрый способ, который не требует специальных знаний и навыков от вас:

  • Откройте любой удобный браузер, это может быть Google Chrome, Mozilla Firefox, Internet Explorer или другой.
  • Зайдите в сервис автоматической настройки рабочего места Контур.Веб-диск.
  • Действуйте по указаниям сервиса: он продиагностирует ваш компьютер, найдет каких плагинов и файлов не хватает, предложит их установить. Вместе с ними установит необходимые корневые и промежуточные сертификаты.
  • Перейдите в раздел «Корневые сертификаты». Дальше возможны два варианта.
  • Выберите год, когда был выдан промежуточный сертификат УЦ Контура. Чтобы найти дату, откройте личный сертификат пользователя, выберите вкладку «Путь сертификации» и откройте промежуточный сертификат.

Если возникли ошибки — при установке корневого сертификата или при работе с электронной подписью — обратитесь в нашу техподдержку. Специалисты помогут разобраться в проблеме. Звоните на или пишите по контактам Центра поддержки, указанным в правом нижнем углу страницы.

Управление доверенными корневыми сертификатами в Windows

Чтобы добавить сертификаты в хранилище доверенных корневых центров сертификации для локального компьютера , в меню WinX в Windows 10/8.1 откройте окно «Выполнить» и введите mmc и нажмите Enter, чтобы открыть Microsoft Management Control.

Нажмите ссылку меню «Файл» и выберите «Добавить/удалить оснастку». Теперь в разделе «Доступные оснастки» нажмите Сертификаты и нажмите «Добавить».

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Нажмите ОК. В следующем диалоговом окне выберите Учетная запись компьютера , а затем нажмите Далее.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Теперь выберите Локальный компьютер и нажмите «Готово».

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Теперь вернувшись в MMC, в дереве консоли дважды щелкните Сертификаты , а затем щелкните правой кнопкой мыши Хранилище доверенных корневых центров сертификации . В разделе Все задачи выберите Импорт .

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Откроется мастер импорта сертификатов.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Теперь давайте посмотрим, как настроить и доверенные корневые сертификаты для локального компьютера . Откройте MMC, нажмите ссылку меню «Файл» и выберите «Добавить/удалить оснастку». Теперь в разделе «Доступные оснастки» нажмите Редактор объектов групповой политики и нажмите кнопку Добавить. Выберите компьютер, локальный объект групповой политики которого вы хотите редактировать, и нажмите «Готово»/«ОК».

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Здесь установите флажки Определить эти параметры политики , Разрешить использование доверенных корневых центров сертификации для проверки сертификатов и Разрешить пользователям доверять сертификатам равноправного доверия . .

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Чтобы узнать, как управлять доверенными корневыми сертификатами для домена и как добавить сертификаты в хранилище доверенных корневых центров сертификации для домена , посетите Technet .

RCC – это бесплатный сканер корневых сертификатов, который может помочь вам сканировать корневые сертификаты Windows на наличие ненадежных.

Настройка доверенных SSL/TLS сертификатов для защиты RDP подключений

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Windows 10, Windows Server 2016, Групповые политики

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

В этой статье мы покажем, как использовать доверенные SSL/TLS сертификаты для защиты RDP подключений к компьютерам и серверам Windows в домене Active Directory. Эти сертфикаты мы будем использовать вместо самоподписанных RDP сертификатов (у пользователей появляется предупреждение о невозможности проверки подлинности при подключению к RDP хосту с таким сертификатом). В этом примере мы настроим специальный шаблон для выпуска RDP сертификатов в Certificate Authority и настроим групповую политику для автоматического выпуска и привязки SSL/TLS сертификата к службе Remote Desktop Services.

Читать также:  С даты выхода Постановления Правительства РФ N 1265 "Об утверждении Правил добровольного подтверждения соответствия продукции" действуют сертификаты и свидетельства об аккредитации в системах обязательной сертификации

Предупреждение о самоподписанном сертификате RDP

По умолчанию в Windows для защиты RDP сессии генерируется самоподписанный

сертификат. В результате при первом подключении к RDP/RDS серверу через клиента mstsc.exe, у пользователя появляется предупреждение:

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Чтобы продолжить установление RDP подключении пользователь должен нажать кнопку Да. Чтобы RDP предупреждение не появлялось каждый раз, можно включить опцию “Больше не выводить запрос о подключениях к этому компьютеру».

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Создаем шаблон RDP сертификата в центре сертификации (CA)

Попробуем использовать для защиты RDP подключений доверенный SSL/TLS сертификат, выданный корпоративным центром сертификации. С помощью такого сертификата пользователь может выполнить проверку подлинности RDP сервера при подключении. Предположим, что у вас в домене уже развернут корпоративной центр сертификации (Microsoft Certificate Authority), в этом случае вы можете настроить автоматическую выдачу и подключение сертификатов всем компьютерам и серверам Windows в домене.

Н на вашем CA нужно создать новый тип шаблона сертификата для RDP/RDS серверов.

  • Запустите консоль Certificate Authority и перейдите в секцию Certificate Templates;
  • На вкладке General укажите имя нового шаблона сертификата – RDPTemplate. Убедитесь, что значение поля Template Name полностью совпадает с Template display name;
  • На вкладке Compatibility укажите минимальную версию клиентов в вашем домене (например, Windows Server 2008 R2 для CA и Windows 7 для клиентов). Тем самым будут использоваться более стойкие алгоритмы шифрования;
  • В настройках шаблона сертификата (Application Policies Extension) удалите все политики кроме Remote Desktop Authentication;
  • Чтобы использовать данный шаблон RDP сертификатов на контролерах домена, откройте вкладку Security, добавьте группу Domain Controllers и включите для нее опцию Enroll и Autoenroll;
  • Сохраните шаблон сертификата;

Настройка групповой политики для выдачи RDP сертификатов

Теперь нужно настроить доменную политику, которая будет автоматически назначать RDP сертификат компьютерам/серверам согласно настроенного шаблона.

  • Откройте консоль управления доменными групповыми политиками gpmc.msc, создайте новый объект GPO и назначьте его на OU с RDP/RDS серверами или компьютерами, для которых нужно автоматически выдавать TLS сертификаты для защиты RDP подключения;
  • Затем в этом же разделе GPO включите политику Require use of specific security layer for remote (RDP) connections и установите для нее значение SSL;

Для применения нового RDP сертификата, перезапустите службу Remote Desktop Services:

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Теперь при RDP подключении к серверу перестанет появляться запрос на доверие сертификату (чтобы появился запрос о доверии сертификату, подключитесь к серверу по IP адресу вместо FQDN имени сервера, для которого выпущен сертификат). Нажмите кнопку “Посмотреть сертификат”, перейдите на вкладку “Состав”, скопируйте значение поля “Отпечаток сертификата”.

Также можете в консоли Certification Authority в секции Issued Certificates проверить, что по шаблону RDPTemplate был выдан сертификат определённому Windows компьютеру/серверу. Также проверьте значение Thumbprint сертификата:

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Теперь, при подключении к удаленном столу любого сервера или компьютера, на который действует эта политика, вы не увидите предупреждения о недоверенном RDP сертификате.

Подписываем RDP файл и добавляем отпечаток доверенного RDP сертификата

Если у вас отсутствует CA, но вы хотите, чтобы при подключении к RDP/RDS серверу у пользователей не появлялось предупреждения, вы можете добавить сертификат в доверенные на компьютерах пользователей.

Как описано выше получите значение отпечатка (Thumbprint) RDP сертификата:

Используйте этот отпечаток для подписывания .RDP файла с помощью RDPSign.exe:

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Чтобы работал прозрачных RDP вход без ввода пароля (RDP Single Sign On), нужно настроить политику Allow delegation defaults credential и указать в ней имена RDP/RDS серверов (см. статью).

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Предыдущая статья Следующая статья

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Установка через Internet Explorer

  • Запустите iexplorer. В главном меню выберите Сервис / Свойства обозревателя.
  • Откройте «Свойства обозревателя» через Пуск / Панель управления.
  • Переключитесь на вкладку «Содержание».
  • Откроется окно «Сертификаты». Переключитесь на вкладку «Доверенные корневые центры сертификации».
  • Нажмите кнопку «Импорт».
  • Запустите файл сертификата как программу. Появится окно «Сертификат».
  • Нажмите кнопку «Установить сертификат».

Установка КриптоПро ЭЦП Browser plug-in.

Сама инсталляция плагина, очень простая, скачиваем его и запускаем.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Для запуска нажмите «Выполнить»

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Далее у вас появится окно с уведомлением, что будет произведена установка КриптоПро ЭЦП Browser plug-in, соглашаемся.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

После инсталляции утилиты, вам нужно будет обязательно перезапустить ваш браузер.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Открыв ваш браузер, вы увидите предупредительный значок, нажмите на него.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

В открывшемся окне нажмите «Включить расширение»

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Не забудьте установить КриптоПРО CSP на компьютер, где будет генерироваться сертификат

Теперь у нас все готово. Нажимаем «Сформировать ключи и отправить запрос на сертификат». Согласитесь с выполнением операции.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

У вас откроется форма расширенного запроса сертификата. Вначале заполним раздел «Идентифицирующие сведения». В него входят пункты:

  • Имя
  • Электронная почта
  • Организация
  • Подразделение
  • Город
  • Область
  • Страна

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Далее вам нужно указать тип требуемого сертификата. В двух словах, это область применения ЭЦП:

  • Сертификат проверки подлинности клиента (самый распространенный вариант, по сути для подтверждения, что вы это вы)
  • Сертификат защиты электронной почты
  • Сертификат подписи кода
  • Сертификат подписи штампа времени
  • Сертификат IPSec, для VPN тунелей.
  • Другие, для специальных OID

Я оставляю «Сертификат проверки подлинности клиента».

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Далее вы задаете параметры ключа, указываете, что будет создан новый набор ключей, указываете гост CSP, от него зависит минимальная длина ключа. Обязательно пометьте ключ как экспортируемый, чтобы вы его могли при желании выгружать в реестр или копировать на флешку.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Для удобства еще можете заполнить поле «Понятное имя», для быстрой идентификации вашей тестовой ЭЦП от КриптоПРО. Нажимаем выдать тестовый сертификат.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

У вас появится запрос на создание, в котором вам необходимо указать устройство, на которое вы будите записывать тестовый сертификат КриптоПРО, в моем случае это е-токен.

Читать также:  Областной сертификат на второго ребенка в свердловской области в 2021 году

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Как только вы выбрали нужное устройство появится окно с генерацией случайной последовательности, в этот момент вам необходимо нажмить любые клавиши или водить мышкой, это защита от ботов.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Все наш контейнер КриптоПРО сформирован и для его записи введите пин-код.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Вам сообщат, что запрошенный вами сертификат был вам выдан, нажимаем «Установить этот сертификат».

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Если у вас еще не установленны корневые сертификаты данного центра сертификации, то вы получите вот такую ошибку:

Данный ЦС не является доверенным

Для ее устранения нажмите на ссылку «установите этот сертификат ЦС»

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

У вас начнется его скачивание.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Запускаем его, как видите в левом верхнем углу красный значок, чтобы его убрать нажмите «Установить сертификат», оставьте для пользователя.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Далее выбираем пункт «Поместить все сертификаты в следующее хранилище» и через кнопку обзор указываете контейнер «Доверенные корневые центры сертификации». Далее ок.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

На последнем этапе у вас выскочит окно с предупреждением, о подтверждении установки сертификатов, нажимаем «Да».

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Открываем снова окно с выпуском тестового сертификата КриптоПРО и заново нажимаем «Установить сертификат», в этот раз у вас вылезет окно с вводом вашего пин-кода от вашего носителя.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Если вы его ввели правильно, то увидите, что новый сертификат успешно установлен.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Теперь открывайте ваш КриптоПРО и посмотрите есть ли сертификат в контейнере. Как видите в контейнере есть наша ЭЦП.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Если посмотреть состав, то видим все наши заполненные поля. Вот так вот просто выпустить бесплатный, тестовый сертификат КриптоПРО, надеюсь было не сложно.

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Добавление сертификатов в хранилище доверенных корневых центров сертификации для локального компьютера

Чтобы добавить сертификаты в хранилище доверенных корневых центров сертификации локального компьютера, выполните следующие действия.

Генерация тестового сертификата

Как я и писал выше вы много, где сможете его применять, я когда знакомился с миром сертификатов и электронных подписей, то использовал тестовые ЭЦП от КриптоПРО для проверки правильности настройки программного обеспечения для работы на электронных, торговых площадках. Чтобы сгенерировать тестовый электронный сертификат, компания КриптоПРО предоставила вам специальный удостоверяющий, виртуальный центр, которым мы и воспользуемся. Переходим по ссылке:

В самом низу у вас будет ссылка на пункт «Сформировать ключи и отправить запрос на сертификат».

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Я вам советую этот сайт открывать в Internet Explore, меньше будет глюков. Как открыть Internet Explore в Windows 10, читайте по ссылке слева

Если же вы хотите использовать другой браузер, то установите КриптоПро ЭЦП Browser plug-in.

Через консоль MS Windows

  • Появится окно консоли. В главном меню выберите Консоль / Добавить или удалить оснастку
  • В списке оснастки выберите «Сертификаты» и нажмите «Добавить».
  • В окне «Оснастка диспетчера сертификатов» оставьте значения по умолчанию и нажмите «Готово»
  • Закройте окно «Добавить изолированную оснастку» (кнопка «Закрыть»)
  • В окне «Добавить или удалить оснастку» нажмите «ОК»
  • В дереве консоли появится запись «Сертификаты». Раскройте ее и найдите раздел «Доверенные корневые центры сертификации», «Сертификаты»
  • На строке «Сертификаты» нажмите правую кнопку мыши и в контекстном меню выберите Все задачи / Импорт

Как добавить корневой сертификат в доверенные в Windows в веб браузеры

Chrome, Chromium, Opera и сделанные на их основе веб браузеры используют общесистемные корневые CA сертификаты. То есть для добавления новых доверенных CA достаточно добавить их в систему, как это показано выше.

Firefox использует исключительно своё хранилище. Для добавления корневых сертификатов CA в Firefox нужно сделать так:

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Нажмите кнопку «Импортировать»:

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Как включить доверия центру сертификации

Имеется WIN 2008, установлена роль «службы удаленны рабочих столов» и службы: узел сеансов удаленных рабочих столов и лицензирование удаленных рабочих столов, все по старой схеме, ставим активируем сервер, ставим лицензии, подключаемся по RDP все ок, через диспетчер удаленных приложений Remoteapp закидывает 1с-ку, подключаемся на клиенте, вместо привычного окна о небезопасном сертификате и галкой не спрашивать более, выводит окошко с надписью «Сертификат выдан не имеющим доверие центром сертификации» и две кнопки посмотреть сертификат и ОК, по нажатию на ок окно закрывает и не подключается сертификат можно посмотреть и установить в доверенные центры сертификации и тогда вылазит новое окно с ошибкой «имя сервера в этом сертификате указано неправильно». Сервер не в домене, шлюз не установлен, подключаемся по внешнему айпи через роутер, за роутером еще управляемый коммутатор, сервер и роутер в разных подсетях, но проброс есть (RDP работает без проблем), подскажите пожалуйста куда копнуть?

Ответы

Очевидно, причина в том, что вы подключаетесь по IP адресу, а в сертификате (поля Subject и Subject Alternative Name) указано имя сервера.

Использовать самоподписанные сертификаты вообще неправильно, ну да ладно.

Для вас обходным решением было бы настроить разрешение имен у клиента и обращаться по имени сервера.

Разрешение имен, в случае малого числа клиентов, можно организовать через файл hosts. Если клиентов много, то на клиентском DNS сервере создать соответствующую A-запись.

Управление доверенными корневыми сертификатами в Windows 10/8

1. Мастер импорта сертификатов

Если сертификат имеет расширение .crt, то его достаточно запустить двойным кликом:

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

В открывшемся окне нажмите кнопку «Установить сертификат»:

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Выберите один из вариантов:

  • «Текущий пользователь» — сертификат будет иметь эффект только для одного пользователя
  • «Локальный компьютер» — сертификат будет иметь эффект для всех пользователей данного компьютера

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Выберите «Пометить все сертификаты в следующие хранилища»:

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Нажмите кнопку «Обзор» и выберите «Доверенные корневые центры сертификации»:

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Сообщение об успешном импорте:

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Теперь сертификат будет доступен в Менеджере Сертификатов:

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

2. Добавление root CA сертификата в Менеджере Сертификатов

Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Укажите папку и имя файла:

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Теперь действительно всё готово:

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Только что импортированный сертификат в Менеджере Сертификатов:

Ц С не является доверенным ЦС, но может быть уполномочен выдавать сертификаты, выпущенные этим ЦС

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *