Для Web-браузера Mozilla Firefox
В Web-браузере Mozilla Firefox открыть вкладку «Настройки» и выбрать раздел «Приватность и защита»
Устанавливаем галочку на пункте «Доверять при идентификации веб-сайтов» и нажимаем «ОК»
Настройка окончена.
Для других Web-браузеров
Дважды щелкаем мышью на предоставленный сертификат и нажимаем кнопку «Установить сертификат»
При выборе расположения хранилища выбираем пункт «Локальный компьютер» и нажимаем кнопку «Далее»
Выбираем раздел «Поместить все сертификаты в следующее хранилище» и нажимаем кнопку «Обзор». Выбираем папку «Доверенные корневые центры сертификации»
Нажимаем последовательно кнопки «ОК» и «Далее»
Нажимаем кнопку «Готово».
Установка сертификата удостоверяющего центра производится один раз.
Для того чтобы добавить сертификат удостоверяющего центра в список доверенных корневых центров сертификации, необходимо:
Открыть свойства установленного криптопровайдера (через меню компьютера «
Открыть свойства сертификата. В появившейся форме » необходимо перейти на вкладку и выбрать сертификат удостоверяющего центра (см.145).
Рисунок 145 — Порядок открытия свойств сертификата удостоверяющего центра
Нажать кнопку «. В открывшейся форме «
Рисунок 146 — Форма сертификата удостоверяющего центра
Откроется мастер импорта сертификатов, необходимо нажать кнопку
Рисунок 147 — Форма мастера импорта сертификатов
В открывшейся форме выбрать пункт «Поместить все сертификаты в следующее хранилище» и нажать кнопку «. В появившемся окне «Выбор хранилища сертификатов» выбрать папку «Доверенные корневые центры сертификации» и нажать кнопку «, чтобы подтвердить свой выбор (рис.148).
Рисунок 148 — Помещение сертификата в доверенные корневые центры сертификации
Нажать кнопку «, в открывшейся форме нажать «, чтобы завершить установку либо «, чтобы отменить внесённые изменения (рис.149).
Рисунок 149 — Завершение мастера импорта сертификатов
В результате после нажатия кнопки » появится сообщение (рис.150).
Рисунок 150 — Сообщение в результате успешного импорта сертификата
Далее можно подписывать документы.
44-фз — storie di tutti i giorni
По умолчанию, все операционные системы семейства Windows автоматически получают и обновляют корневые сертификаты с сайта Microsoft. Компания MSFT в рамках программы корневых сертификатов Microsoft Trusted Root Certificate Program, ведет и публикует в своем онлайн хранилище сертификаты для клиентов и устройств Windows. Если проверяемый сертификат в своей цепочке сертификации относится к корневому CA, который участвует в этой программе, Windows автоматически скачает с узла Microsoft Update и добавит такой корневой сертификат в доверенные на вашем компьютере.
Windows запрашивает обновление списка корневых сертификатов (certificate trust lists — CTL) один раз в неделю. Если в Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневые сертификаты, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны недоверенными CA, см. статью об ошибке в Chrome Этот сайт не может обеспечить безопасное соединение), либо с установкой запуском подписанных приложений или скриптов.
В этой статье попробуем разобраться, как в Windows вручную обновить список корневых сертификатов в TrustedRootCA в изолированных сетях, или компьютерах/серверах без прямого подключения к Интернету.
Примечание. Если ваши компьютеры выходят в Интернет через прокси-сервер, для автоматического обновления корневых сертификатов Microsoft рекомендует открыть прямой доступ (bypass) к веб-узлам Microsoft. Но это не всегда возможно/применимо.
Windows, Windows 10, Windows 7, Windows 8, Windows Server, Windows Vista, Windows XP, Безопасность, Программное обеспечение
Ошибка создания подписи: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)
Причина возникновения ошибкиНа самом деле, вся суть проблемы более чем корректно описана в тексте ошибки — отсутствуют сертификаты доверенных корневых центров.Убедиться в этом, можно, открыв проблемный сертификат на компьютере, при использовании которого появляется ошибка. Если в окне сертификата, на вкладке «Общие» написано «При проверке отношений доверия произошла системная ошибка» или «Этот сертификат не удалось проверить, проследив его до доверенного центра сертификации», то проблема точно в этом. О том, как устранить её — читайте ниже.
Исправление ошибкиКак писалось выше, вся проблема в отсутствующих корневых сертификатах. Для того, чтобы данная ошибка ушла, нужно поставить эти самые корневые сертификаты — взять их можно у издателя сертификата (почти наверняка, они должны быть на их сайте). Издателя сертификата можно увидеть в поле «Кем выдан» свойств сертификата (выделено оранжевым на картинке ниже).
В качестве примера разберем как исправить подобную ошибку для сертификатов выданных Федеральным Казначейством России.Переходим на сайт федерального казначейства, в раздел «Корневые сертификаты». Скачиваем «Сертификат Минкомсвязи России (Головного удостоверяющего центра) ГОСТ Р 34.10-2012» и «Сертификат Удостоверяющего центра Федерального казначейства ГОСТ Р 34.10-2012 CER». Открываем оба скачанных файла и устанавливаем оба сертификата.Установка сертификата состоит из следующих действий:
Чтобы добавить сертификаты в хранилище доверенных корневых центров сертификации локального компьютера, выполните следующие действия.
Установка через Internet Explorer:
Обновление корневых сертификатов в Windows с помощью GPO в изолированных средах
Если у вас возникла задача регулярного обновления корневых сертификатов в изолированном от Интернета домене Active Directory, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. В изолированных сетях Windows вы можете настроить обновление корневых сертификатов на компьютерах пользователей несколькими способами.
Первый способ предполагает, что вы регулярно вручную скачиваете и копируете в вашу изолированную сеть файл с корневыми сертификатами, полученный так:
certutil.exe –generateSSTFromWU roots.sst
Второй способ предполагает получение актуальных корневых сертификатов с помощью команды:
Certutil -syncWithWU -f dc01SYSVOLwinitpro.rurootcert
В указанном сетевом каталоге появится ряд файлов корневых сертификатов (CRT) и в том числе файлы (authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt).
Action: UpdateHive: HKLMKey path: SoftwareMicrosoftSystemCertificatesAuthRootAutoUpdateValue name: RootDirURLType: REG_SZValue data: file://dc01SYSVOLwinitpro.rurootcert
Осталось назначить эту политику на компьютеры и после обновления настроек GPO на клиенте проверить появление новых корневых сертификатов в хранилище.
Управление доверенными корневыми сертификатами в Windows
Чтобы добавить сертификаты в хранилище доверенных корневых центров сертификации для локального компьютера , в меню WinX в Windows 10/8.1 откройте окно «Выполнить» и введите mmc и нажмите Enter, чтобы открыть Microsoft Management Control.
Нажмите ссылку меню «Файл» и выберите «Добавить/удалить оснастку». Теперь в разделе «Доступные оснастки» нажмите Сертификаты и нажмите «Добавить».
Нажмите ОК. В следующем диалоговом окне выберите Учетная запись компьютера , а затем нажмите Далее.
Теперь выберите Локальный компьютер и нажмите «Готово».
Теперь вернувшись в MMC, в дереве консоли дважды щелкните Сертификаты , а затем щелкните правой кнопкой мыши Хранилище доверенных корневых центров сертификации . В разделе Все задачи выберите Импорт .
Откроется мастер импорта сертификатов.
Теперь давайте посмотрим, как настроить и доверенные корневые сертификаты для локального компьютера . Откройте MMC, нажмите ссылку меню «Файл» и выберите «Добавить/удалить оснастку». Теперь в разделе «Доступные оснастки» нажмите Редактор объектов групповой политики и нажмите кнопку Добавить. Выберите компьютер, локальный объект групповой политики которого вы хотите редактировать, и нажмите «Готово»/«ОК».
Здесь установите флажки Определить эти параметры политики , Разрешить использование доверенных корневых центров сертификации для проверки сертификатов и Разрешить пользователям доверять сертификатам равноправного доверия . .
Чтобы узнать, как управлять доверенными корневыми сертификатами для домена и как добавить сертификаты в хранилище доверенных корневых центров сертификации для домена , посетите Technet .
RCC – это бесплатный сканер корневых сертификатов, который может помочь вам сканировать корневые сертификаты Windows на наличие ненадежных.
Открываем «Хранилище сертификатов»
Чтобы просмотреть сертификаты в Виндовс 7, заходим в ОС с правами администратора.
Необходимость в доступе к сертификатам особенно важна для пользователей, которые часто совершают платежи в интернете. Все сертификаты хранятся в одном месте, так называемом Хранилище, которое разбито на две части.
Окно «Выполнить»
Переходим во вкладку «Общие». В разделе «Сведения о сертификате» будет отображено предназначение каждой цифровой подписи. Также представлена информация «Кому выдан», «Кем выдан» и сроки действия.
Панель управления
Также есть возможность посмотреть сертификаты в Windows 7 через «Панель управления».
После прочтения данной статьи вам не составит никакого труда открыть «Хранилище сертификатов» Windows 7 и узнать подробную информацию о свойствах каждой цифровой подписи в вашей системе.
Помимо этой статьи, на сайте еще 12336 инструкций. Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.
Отблагодарите автора, поделитесь статьей в социальных сетях.
Как добавить корневой сертификат в доверенные в Windows на уровне системы
1. Мастер импорта сертификатов
Если сертификат имеет расширение .crt, то его достаточно запустить двойным кликом:
В открывшемся окне нажмите кнопку «Установить сертификат»:
Выберите один из вариантов:
Выберите «Пометить все сертификаты в следующие хранилища»:
Нажмите кнопку «Обзор» и выберите «Доверенные корневые центры сертификации»:
Сообщение об успешном импорте:
Теперь сертификат будет доступен в Менеджере Сертификатов:
2. Добавление root CA сертификата в Менеджере Сертификатов
Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:
Укажите папку и имя файла:
Теперь действительно всё готово:
Только что импортированный сертификат в Менеджере Сертификатов:
Просмотр сертификатов с помощью средства диспетчера сертификатов
Вы также можете просматривать, экспортировать, импортировать и удалять сертификаты с помощью средства диспетчера сертификатов.
Просмотр сертификатов для локального устройства
Откроется средство диспетчера сертификатов для локального устройства.
Для просмотра сертификатов в разделе Сертификаты — локальный компьютер в левой области разверните каталог для типа сертификата, который нужно просмотреть.
Просмотр сертификатов для текущего пользователя
Выберите параметр Выполнить в меню Пуск, а затем введите certmgr.msc.
Отобразится инструмент диспетчера сертификатов для текущего пользователя.
Чтобы просмотреть сертификаты, в разделе Сертификаты — текущий пользователь в левой области разверните каталог для типа сертификата, который нужно просмотреть.
Общесистемные корневые CA сертификаты
Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.
В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.
Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.
Просмотр сертификатов в PowerShell
Чтобы просмотреть список сертификатов с помощью PowerShell:
Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):
Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:
Сертификаты уровня пользователей:
Сертификаты уровня компьютера:
Сертификаты уровня служб:
Сертификаты уровня Active Directory:
И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.
Пользовательские сертификаты (файлы):
Компьютерные сертификаты (файлы):
Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.
Включить/отключить автоматическое обновление корневых сертификатов в Windows
Как мы уже упомянули, Windows по умолчанию сама обновляет корневые сертификаты. Вы можете включить или отключить обновление сертификатов в Windows через GPO или реестр.
Параметр Turn off Automatic Root Certificates Update в этом разделе позволяет отключить автоматическое обновление корневых сертификатов через сайт Windows Update. По умолчанию это политика не настроена и Windows всегда пытается автоматически обновлять корневые сертификаты.
Если эта политика не настроена, а сертификаты не обновляются автоматически, проверьте не включен ли вручную параметр реестра, отвечающий за эту настройку. Проверьте значение параметра реестра с помощью PowerShell:
Get-ItemProperty -Path ‘HKLM:SoftwarePoliciesMicrosoftSystemCertificatesAuthRoot’ -Name DisableRootAutoUpdate
Если команда вернет, что значение ключа
DisableRootAutoUpdate=1
, значит на вашем компьютере отключено обновление корневых сертификатов. Чтобы включить его, измените значение параметра на 0.
Пошаговое руководство. Просмотр сертификатов с помощью оснастки MMC
При создании защищенного клиента или службы можно использовать сертификат в качестве учетных данных. Например, общий тип учетных данных — это сертификат X. 509, который создается с помощью X509CertificateInitiatorClientCredential.SetCertificate метода.
существует три разных типа хранилищ сертификатов, которые можно проверить с помощью консоли управления (mmc) в Windows systems:
Локальный компьютер. хранилище является локальным для устройства и является глобальным для всех пользователей на устройстве.
Текущий пользователь: хранилище является локальным по отношению к текущей учетной записи пользователя на устройстве.
Учетная запись службы. хранилище является локальным для определенной службы на устройстве.
Opera
Выписка сертификатов пользователю Administrator и обычным пользователям с помощью mmc-консоли
Закройте окно Консоль1. Для сохранения консоли нажмите Да.
Как добавить корневые сертификаты Windows 10 вручную?
Вот как вы можете добавить цифровые сертификаты в Windows 10 из доверенных центров сертификации.
Способ 2. Установите сертификаты с помощью консоли управления Microsoft
Теперь вы установили новый доверенный корневой сертификат в Windows 10. Таким же образом вы можете добавить еще много цифровых сертификатов для этой ОС и других платформ Windows. Просто убедитесь, что сторонние цифровые сертификаты поступают от доверенных центров сертификации, таких как GoDaddy, DigiCert, Comodo, GlobalSign, Entrust и Symantec.
Просмотр сертификатов в оснастке MMC
В следующей процедуре показано, как проверить магазины на локальном устройстве, чтобы найти соответствующий сертификат:
В меню Пуск выберите пункт выполнить и введите MMC.
Откроется консоль MMC.
В меню файл выберите команду Добавить или удалить оснастку.
В списке Доступные оснастки выберите Сертификаты, а затем щелкните добавить.
В окне оснастки «сертификаты » выберите учетная запись компьютера, а затем нажмите кнопку Далее.
При необходимости можно выбрать учетную запись пользователя для текущего пользователя или учетной записи службы для конкретной службы.
Если вы не являетесь администратором устройства, вы можете управлять сертификатами только для учетной записи пользователя.
В окне Выбор компьютера оставьте выбранным параметр локальный компьютер и нажмите кнопку Готово.
В окне Добавление или удаление оснастки нажмите кнопку ОК.
Чтобы просмотреть сертификаты в оснастке MMC, выберите корень консоли в левой области, а затем разверните узел Сертификаты (локальный компьютер).
Появится список каталогов для каждого типа сертификатов. Из каждого каталога сертификатов можно просматривать, экспортировать, импортировать и удалять свои сертификаты.
Как добавить корневой сертификат в доверенные в Windows в веб браузеры
Chrome, Chromium, Opera и сделанные на их основе веб браузеры используют общесистемные корневые CA сертификаты. То есть для добавления новых доверенных CA достаточно добавить их в систему, как это показано выше.
Firefox использует исключительно своё хранилище. Для добавления корневых сертификатов CA в Firefox нужно сделать так:
Нажмите кнопку «Импортировать»:
Выберите файл с сертификатом.
Укажите, какие полномочия вы даёте этому сертификату:
Установка корневого и личного сертификатов в КриптоПро
При работе с ЭЦП во время подписи документов может понадобиться установка нового сертификата с использованием «КриптоПро CSP» — например, когда у ЭЦП закончился срок, произошла смена главного бухгалтера или директора предприятия, либо необходима установка нового сертификата после оформления в удостоверяющем центре.
Для корректной работы может потребоваться установка личного и корневого сертификата в КриптоПро. Чтобы это сделать придерживайтесь следующей инструкции.
Установка личного сертификата
Для того чтобы установить сертификат с помощью «КриптоПро CSP», выполните следующий алгоритм:
Обратите внимание, что при установке система запоминает последний контейнер, с которого была проведена операция. Например, если вы установили личный сертификат из реестра вашего компьютера, а потом повторили процедуру с флешки, то при отсутствии последней система не сможет найти контейнер.
Как установить корневой сертификат КриптоПро
Для корректной работы сервера надо установить предварительно корневой сертификат в ваше хранилище. Для его получения необходим тестовый центр по сертификации продукта, куда можно попасть при наличии прав администратора. Также для предотвращения проблем необходимо добавить адрес интернет-сайта в список доверенных. Запросите сертификат, загрузив его из сертификационного центра. Чтобы его установить, откройте его и выполните следующие действия:
Если процесс пройдёт корректно, то корневой сертификат появится в хранилище среди доверенных центров.
Как установить контейнер закрытого ключа в реестр
После успешного копирования контейнера личный сертификат нужно установить в хранилище «Личные».
Ошибки при установке
Довольно распространённой проблемой при установке становится зависание компьютера. Обычно это связано с установкой нелицензионного ПО, наличием ошибок или отсутствием критических обновлений. Также проблемы могут возникнуть в следующих случаях:
Для корректной работы рекомендуем использовать только лицензионное ПО. Приобрести его и получить комплексную техническую поддержку можно в компании «Астрал-М». Мы входим в число официальных дилеров компании «КриптоПро», что подтверждает информация на сайте разработчика. Обращаясь в «Астрал-М», вы получаете:
Для приобретения электронной подписи или криптопровайдера заполните форму обратной связи, чтобы наш специалист связался с вами.
Google Chrome
Использует общесистемные доверенные корневые центры сертификации.
Как установить корневые сертификаты Windows 10
Корневые сертификаты – это сертификаты открытых ключей, которые помогают вашему браузеру определить, является ли общение с веб-сайтом подлинным, и основано на том, является ли орган, выдавший лицензию, доверенным и остается ли цифровой сертификат действительным. Если цифровой сертификат не принадлежит доверенному органу, вы получите сообщение об ошибке в виде « Проблема с сертификатом безопасности этого веб-сайта », и браузер может заблокировать связь с веб-сайтом.
Windows 10 имеет встроенные сертификаты и автоматически обновляет их. Однако вы все равно можете вручную добавить дополнительные корневые сертификаты в Windows 10 из центров сертификации (ЦС). Существует множество органов по выдаче сертификатов, среди которых наиболее известны Comodo и Symantec.
Где найти доверенные корневые сертификаты на компьютере
Для чего знать где хранятся сертификаты в windows
Давайте я вам приведу основные причины, по которым вы захотите обладать этим знанием:
Ранее я вам рассказывал какие бывают сертификаты и где вы их можете получить и применять, советую ознакомиться с данной статьей, так как информация изложенная в ней является фундаментальной в этой теме.
Во всех операционных системах начиная с Windows Vista и вплоть до Windows 10 Redstone 2 сертификаты хранятся в одном месте, неком таком контейнере, который разбит на две части, один для пользователя, а второй для компьютера.
В большинстве случаев в Windows поменять те или иные настройки вы можете через mmc оснастки, и хранилище сертификатов не исключение. И так нажимаем комбинацию клавиш WIN+R и в открывшемся окне выполнить, пишем mmc.
Теперь в пустой mmc оснастке, вы нажимаете меню Файл и выбираете Добавить или удалить оснастку (сочетание клавиш CTRL+M)
В окне Добавление и удаление оснасток, в поле Доступные оснастки ищем Сертификаты и жмем кнопку Добавить.
Тут в диспетчере сертификатов, вы можете добавить оснастки для:
Я обычно добавляю для учетной записи пользователя
У компьютера есть еще дополнительные настройки, это либо локальный компьютер либо удаленный (в сети), выбираем текущий и жмем готово.
В итоге у меня получилось вот такая картина.
Задаем место сохранения и все.
Данная область содержит вот такие папки:
В папке личное, по умолчанию сертификатов нет, если вы только их не установили. Установка может быть как с токена или путем запроса или импорта сертификата.
В мастере импортирования вы жмете далее.
далее у вас должен быть сертификат в формате:
На вкладке доверенные центры сертификации, вы увидите внушительный список корневых сертификатов крупнейших издателей, благодаря им ваш браузер доверяет большинству сертификатов на сайтах, так как если вы доверяете корневому, значит и всем кому она выдал.
Двойным щелчком вы можете посмотреть состав сертификата.
Из действий вы их можете только экспортировать, чтобы потом переустановить на другом компьютере.
Экспорт идет в самые распространенные форматы.
Еще интересным будет список сертификатов, которые уже отозвали или они просочились.
Список пунктов у сертификатов для компьютера, слегка отличается и имеет вот такие дополнительные пункты:
Думаю у вас теперь не встанет вопрос, где хранятся сертификаты в windows и вы легко сможете найти и корневые сертификаты и открытые ключи.
certmgr.msc и сразу попадаем в нужную консоль
Как я и писал, в сертификаты компьютера вы так не попадете.
А где они реально сами лежат в файлах, реестре?
Спасибо! Всё описал и ничего лишнего!
Интересует некий нюанс экспорта/импорта сертификатов. Если есть необходимость ВСЕ установленные сертификаты перенести на этот же комп, после переустановки системы. Т.е. групповой экспорт/импорт. Опять же интересует такая вещь, что если существуют «общесистемные» сертификаты (т.е. которые уже есть в винде при установке, по умолчанию), то наверное их не надо экспортировать/импортировать, потому что в старой системе могут оказаться отозванные, просроченные и пр. устаревшие сертификаты. Т.е как вытянуть только все свои, установленные пользователем сертификаты, за один проход?
Через графический интерфейс ни как, попробуйте воспользоваться Powershell комапдлетами.
Только пока не нашел, где доверенные сертификаты лежат.
Дорогие мои! Не тратьте время на пустое!
Не надо их переносить и искать физически. За исключением случаев переноса сертификата для особых целей.
Совет специалиста. Во время работы в Интернете, откройте Консоль как показано в этой статье и удалите ничего не опасаясь все без исключения сертификаты! Далее посетите сайты _microsoft.com _google.com _yahoo.com И все нужные сертификаты с обновленным Сроком действия снова вернутся на ваш Компьютер!
Какие именно, личные или промежуточные, корневые?
Очень помогла статья. Спасибо вам огромное за вашу работу!
Здравствуйте, а сертификаты безопасности, что с ними делать? а то у меня не работает и-за них Директ Коммандер.
В каком формате или виде они вас, опишите не совсем понятно
на телефоне как удалить?плиис,помогите
всем любопытным ответ на вопрос: физически они находятся в реестре
Большое спасибо, что действительно помогли мне 🙂
гениальный ответ Дениса заставляет прослезится, вопрос был ГДЕ находятся сертификаты. То что они в реестре и так известно
Полезная статья, спасибо!)
Рад, что вам подошло
Попробовал скопировать сертификат из реестра одного компьютера на другой. При экспорте с закрытым ключем запрашивает пароль. Ввожу пароль из цифр.
Вообще странно, если пароль вы установили, то измениться он не мог. ОС какая у вас?
Как открыть «Хранилище сертификатов» в Windows 7
Ручное обновление корневых сертификатов в Windows 10 и 11
Для генерации SST файла, на компьютере Windows 10/11 с доступом в Интернет, выполните с правами администратора команду:
certutil.exe -generateSSTFromWU c:PSroots.sst
Updated SST file.
CertUtil: -generateSSTFromWU command completed successfully.
В результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий доверенные корневые сертификаты.
В указанном каталоге появится файл SST, содержащий актуальный список сертификатов. Данный файл представляет собой контейнер, содержащий доверенные корневые сертификаты. Дважды щелкните по нему.
В открывшейся
mmc
консоли вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 436 элементов. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.
Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority. В нашем примере на Windows 11 количество корневых сертификатов увеличилось с 34 до 438.
Обновление корневых сертификатов в Windows 7
Несмотря на то, что Windows 7 уже снята с поддержки, есть много пользователей и компаний, в которых она еще используется.
После установки чистой Windows 7 из образа вы может столкнуться, что многие современные программы и инструменты на ней не работают из-за того, что они подписаны с помощью новых сертификатов. В частности, были жалобы, что в Windows 7 64 без обновления сертификатов не удается установить .Net Framework 4.8. или
vs_Community.exe с ошибкой:
installer manifest failed signature validation
После этого вы можете использовать утилиту certutil для генерации SST файла с сертификатами (на этом или на другом компьютере):
Теперь можно импортировать сертификаты в доверенные:
Добавление шаблонов сертификатов в Центр Сертификации
Для добавления шаблонов сертификатов:
Выберите следующие настройки:
Управление корневыми сертификатами в Windows 10 и 11
Как посмотреть список корневых сертификатов на устройстве Windows?
Вы можете вывести список доверенных корневых сертификатов на вашем компьютере со сроками их действия с помощью PowerShell:
Можно вывести список истекших сертификатов, или которые истекут в ближайшие 30 дней:
Вы можете вручную перенести файл корневого сертификата с одного компьютера на другой с помощью функцию Экспорта/Импорта.
Утилита rootsupd. exe для обновления сертификатов в Windows XP
В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe. В этой утилита содержится список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates).
Но, как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до окончания официальной поддержки Windows XP). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов. Однако нам чуть позже понадобится файл updroots.exe.
Была информация, что утилиту updroots.exe нежелательно использовать в современных билдах Windows 10 1803+, т.к. она может сломать корневой сертификат Microsoft Root Certificate Authority.
В этой статье мы рассмотрели несколько способов обновления корневых сертификатов на компьютерах Windows, изолированных от Интернета.
Установка Служб сертификации
Для установки Служб сертификации:
В окне для указания имени ЦС введите значения всех полей и нажмите Далее.
Введенные здесь данные носят информативный характер. Рекомендуется их внести. Аббревиатуры несут следующий смысл: «O» — Organization, «OU» — Organization Unit, «L» — City (Location), «S» — State or province, «C» — Country/region, «E» — E-mail.
Введите период действия сертификата для создания ЦС.
По истечению срока действия сертификата ЦС необходимо будет перевыпустить сертификаты всем действующим пользователям.
Список корневых сертификатов в формате STL
Файл authroot.stl представляет собой контейнер со списком отпечатков (thumbprint) доверенных сертификатов Microsoft в формате Certification Trust List.
Данный файл можно установить в системе с помощью утилиты certutil:
certutil -enterprise -f -v -AddStore «Root» «C:PSauthroot.stl»
Root «Trusted Root Certification Authorities»
CTL 0 added to store.
CertUtil: -addstore command completed successfully.
После выполнения команды, в консоли управления сертификатами (
certmgr.msc
) в контейнере Trusted Root Certification Authorities (Доверенные корневые сертификаты) появится новый раздел с именем Certificate Trust List (Список доверия сертификатов).
certutil -enterprise -f -v -AddStore disallowed «C:PSdisallowedcert.stl «