Корневой сертификат для КриптоПро ЭЦП не добавляется в список доверенных в браузерах

Мастер импорта сертификатов

Если сертификат имеет расширение. crt, то его достаточно запустить двойным кликом:

В открывшемся окне нажмите кнопку «Установить сертификат»:

Выберите один из вариантов:

«Текущий пользователь» — сертификат будет иметь эффект только для одного пользователя
«Локальный компьютер» — сертификат будет иметь эффект для всех пользователей данного компьютера

Выберите «Пометить все сертификаты в следующие хранилища»:

Нажмите кнопку «Обзор» и выберите «Доверенные корневые центры сертификации»:

Сообщение об успешном импорте:

Теперь сертификат будет доступен в Менеджере Сертификатов:

Добавление root CA сертификата в Менеджере Сертификатов

Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:

Укажите папку и имя файла:

Теперь действительно всё готово:

Только что импортированный сертификат в Менеджере Сертификатов:

Новожилова Елена
Оставлено
:
19 декабря 2013 г. 15:57:44(UTC)

А почему вы не хотите установить корневой сертификат?

Новожилова Елена
Оставлено
:
19 декабря 2013 г. 18:28:05(UTC)

Если у клиентов не строится цепочка (до доверенного корневого) для того сертификата, которым они хотят подписывать сообщения, то подпись создать не получится. Так что, либо придется читать инструкции, либо делайте автоматическую установку корневого сертификата, если у вас есть такая возможность. Не забывайте о возможности плановой смены ключа УЦ 🙂

Чтобы добавить сертификаты в хранилище доверенных корневых центров сертификации локального компьютера, выполните следующие действия. Установка через Internet Explorer:

Запустите iexplorer. В главном меню выберите Сервис / Свойства обозревателя.
Откройте «Свойства обозревателя» через Пуск / Панель управления.
Переключитесь на вкладку «Содержание».
Откроется окно «Сертификаты». Переключитесь на вкладку «Доверенные корневые центры сертификации».
Нажмите кнопку «Импорт».
Запустите файл сертификата как программу. Появится окно «Сертификат».
Нажмите кнопку «Установить сертификат».

Появится окно консоли. В главном меню выберите Консоль / Добавить или удалить оснастку
В списке оснастки выберите «Сертификаты» и нажмите «Добавить».
В окне «Оснастка диспетчера сертификатов» оставьте значения по умолчанию и нажмите «Готово»
Закройте окно «Добавить изолированную оснастку» (кнопка «Закрыть»)
В окне «Добавить или удалить оснастку» нажмите «ОК»
В дереве консоли появится запись «Сертификаты». Раскройте ее и найдите раздел «Доверенные корневые центры сертификации», «Сертификаты»
На строке «Сертификаты» нажмите правую кнопку мыши и в контекстном меню выберите Все задачи / Импорт
На шаге «Хранилище сертификатов» установите опцию «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор».
В окне выбора хранилища установите флаг «Показать физические хранилища», раскройте «ветку» (+) «Доверенные корневые центры сертификации» и выберите место хранения сертификата: «Реестр» — для пользования корневым сертификатом только текущим пользователем под данной операционной системой.«Локальный компьютер» — для пользования корневым сертификатом всеми пользователями операционной системой.
«Реестр» — для пользования корневым сертификатом только текущим пользователем под данной операционной системой.
«Локальный компьютер» — для пользования корневым сертификатом всеми пользователями операционной системой.
Появится сообщение — «Импорт успешно выполнен», корневой сертификат добавлен в доверенные корневые центры сертификации для вашей или для всех учетных записей.

Можно уточнить точный тект сообщения в поле Состояние сертификата (на вкладке Путь сертификации, внизу) — при открытии через mmc — «Сертификаты»:
«не удалось установить доверие», «сертификат повреждён или изменен» — это абсолютно разные сообщения. Просьба также посмотреть это сообщение до перезагрузки и после.

> при попытке импортировать личный сертификат, расположенный на флэшке, выдается запрос ввести пароль, чего на первой машине не было

По поводу значения поля Состояние сертификата (на старой машине):
— до перезагрузки «Certificate is ok. «;
— после перезагрузки «This certificate has an nonvalid digital signature

Получается старую машину надо переставлять. А не хотелось бы. Не подскажите, где физически расположены сертификаты. Я бы попробовал закрыть доступ на изменение их и, может быть, отследил бы, какой процесс пытается их изменить.

После выполнения рекомендаций по удалению вируса сразу всё стало хорошо, и ГОСТовая подпись любого сертификата проверяется.

Что можно добавить? Очень жаль, что пользователи столько времени не решались дать нам образ системы в то время, когда на их компьютерах спокойно жил вирус, который, судя по описанию, предназначен для передачи информации (в т. , возможно, конфиденциальной) с компьютера пользователя на внешний веб-сервер.

К сожалению, вирус достаточно новый и не все антивирусы (особенно установленные ПОСЛЕ того, как на компьютере появился вирус) его обезвреживают. Например, NOD32 (установленный на уже зараженную машину) говорит что никаких вирусов нет! А равно — DrWeb (а возможно и другие). Только когда удалили из реестра (в безопасном режиме) информацию о старте исполняемых файлов вируса — антивирус при сканировании нашёл-таки заражённые файлы.

Таким образом, получается, что установка КриптоПро CSP позволяет обнаружить факт наличия вируса. А то бы пользователи и не знали об этом.

Попробуем выпросить у них образ системы (кстати, драйверы IDE контроллера удалить перед этим, или так сойдет?). Может есть какие то общие методы диагностики, о которых не жалко сказать на форуме?

2007 9:12:33Alexey I

2007 13:51:10Alexey I

Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.

В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.

Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.

Просмотр сертификатов в PowerShell

Чтобы просмотреть список сертификатов с помощью PowerShell:

Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):

Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:

Сертификаты уровня пользователей:

Сертификаты уровня компьютера:

HKEY_LOCAL_MACHINESoftwareMicrosoftSystemCertificates — содержит настройки для всех пользователей компьютера
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificates — как и предыдущее расположение, но это соответствует сертификатам компьютера, развёрнутым объектом групповой политики (GPO (Group Policy))

Сертификаты уровня служб:

Сертификаты уровня Active Directory:

И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.

Пользовательские сертификаты (файлы):

Компьютерные сертификаты (файлы):

Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.

Эта статья описывает типичные ошибки работы КриптоПро ЭЦП Browser plug-in в браузерах и предлагает способы их решения.

Появляется окно КриптоПро CSP Вставьте ключевой носитель

Появление данного окна значит, что у Вас не вставлен носитель с закрытым ключом для выбранного Вами сертификата.

Необходимо вставить ключевой носитель. Убедитесть, что устройство отображается в Диспетчере Устройств Windows. Установите драйверы на устройство с сайта производителя если они не установлены.

Читать также: Не удалось создать цепочку сертификатов

Если предыдущие действия не помогли, необходимо переустановить сертификат в хранилище Личное текущего пользователя с привязкой к закрытому ключу. См статью.

Не удалось создать подпись из-за ошибки: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)

Эта ошибка возникает, когда невозможно проверить статус сертификата (нет доступа к спискам отзыва или OCSP службе), либо не установлены корневые сертификаты.

Проверьте, строится ли цепочка доверия: откройте сертификат (например через Пуск -> Все программы -> КриптоПро -> Сертификаты-Текущий Пользователь -> Личное -> Сертификаты), перейдите на вкладку Путь сертификации. Если на этой вкладке присутствуют красные кресты, или вообще нет ничего кроме текущего сертификата (кроме тех случаев если сертификат является самоподписанным), значит цепочка доверия не построена.

Скриншоты с примерами сертификатов, у которых не строится цепочка доверия.

Если вы используете квалифицированный сертификат, то попробуйте установить в доверенные корневые эти 2 сертификата. Это сертификаты Головного УЦ Минкомсвязи и Минцифры. От них, при наличии интернета, должна построится цепочка доверия у любого квалифицированного сертификата.

Чтобы установить скачанный сертификат в доверенные корневые центры сертификации, нажмите по нему правой кнопкой-Выберите пункт –Установить сертификат- Локальный компьютер (если такой выбор есть) — Поместить все сертификаты в следующие хранилище-Обзор-Доверенные корневые центры сертификации-Ок- Далее- Готово- когда появится предупреждение системы безопасности об установке сертификата- нажмите Да-Ок.

Если этого недостаточно, обратитесь в УЦ, выдавший вам сертификат, за сертификатом самого УЦ.

Полученный от УЦ сертификат является промежуточным в цепочке Минкомсвязи -> УЦ -> вы, поэтому при его установке выбирайте хранилище «Промежуточные центры сертификации».

Важно: Если вы создаете CAdES-T (доверенное время) или CAdES-XLongType 1 (доверенное время и доказательства подлинности), ошибка цепочки может возникать если нет доверия к сертификату оператора TSP службы. В этом случае необходимо установить в доверенные корневые центры сертификации корневой сертификат УЦ, предоставляющего службу TSP.

При создании подписи появляется окно с ошибкой «Не удается найти сертификат и закрытый ключ для расшифровки. (0x8009200B)», в информации о сесртификате отображается «нет привязки к закрытому ключу»

Выполните привязку сертификата к закрытому ключу.

Важно: На наших демо-страницах подпись будет создана даже если привязки к ЗК нет. При этом сертификат должен находиться в контейнере. Сообщение «нет привязки к закрытому ключу» в данном случае будет носить информационный характер. Однако для обеспечения совместимости со сторонними площадками мы рекомендуем выполнять привязку сертификата к закрытому ключу.

Подпись создается, но также отображается статус «ошибка при проверке цепочки сертификатов».

Это значит, что нет доступа к спискам отозванных сертификатов.

Причина ошибки — истёк срок действия лицензий на КриптоПро CSP и/или КриптоПро TSP Client 2. 0 и/или Криптопро OCSP Client 2.

Для создания CAdES-BES подписи должна быть действующая лицензия на КриптоПро CSP.

Для создания XLT1 должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2. 0, КриптоПро OCSP Client 2

Посмотреть статус лицензий можно через: Пуск- Все программы- КРИПТО-ПРО- Управление лицензиями КриптоПро PKI.

Чтобы активировать имеющуюся лицензию:

— откройте Пуск -> Все программы -> КРИПТО-ПРО -> Управление лицензиями КриптоПро PKI

— введите в поле информацию о лицензии и нажмите OK чтобы сохранить её.

Отказано в доступе (0x80090010)

Причина ошибки: Истек срок действия закрытого ключа. Проверьте срок действия Зайдите в Пуск -> Все программы -> КРИПТО-ПРО -> Крипто-Про CSP. Перейдите на вкладку Сервис. Нажмите кнопку «Протестировать», выберите контейнер с закрытым ключом кнопкой «Обзор» или «По сертификату» и в результатах тестирования Вы сможете увидеть срок его действия. Рекомендуется получить новый ключ.

Ошибка: Invalid algorithm specified. (0x80090008)

Ошибка возникает, если Вы используете сертификат, алгоритм которого не поддерживается Вашим криптопровайдером.

Пример: У вас установлен КриптоПро CSP 3. 9 а сертификат Выпущен по ГОСТ 2012.

Или если используется алгоритм хеширования, не соответствующий сертификату.

Так же проверьте актуальность версии КриптоПро CSP.

В этой статьей расскажем, что такое корневой сертификат УЦ, для чего нужен и как его установить.

Корневой сертификат — это файл, в котором указаны данные удостоверяющего центра (УЦ). Например, название УЦ, его ИНН и адрес, срок действия сертификата, какой алгоритм шифрования использует УЦ.

К этим данным обращается криптопровайдер, когда проверяет действительность электронной подписи пользователя. Если не установить корневой сертификат на компьютер, где используется электронная подпись, то подпись не будет работать корректно.

Чтобы быстро установить корневой сертификат и настроить компьютер, используйте бесплатный сервис Контур. Веб-диск. Он скачает все плагины и файлы, необходимые для правильной работы электронной подписи.

Удостоверяющий центр использует корневой сертификат, чтобы:

выдавать сертификаты электронной подписи (ЭП, она же ЭЦП) пользователям, например, гендиректору организации или нотариусу,
отзывать эти сертификаты, подписывая корневым сертификатом список отозванных (аннулированных) сертификатов.

Если вы еще не получили электронную подпись, оформите ЭП в удостоверяющем центре, который прошел аккредитацию. В УЦ Контура есть подписи для сотрудников и руководителей, торгов, отчетности и личных дел.

Корневой сертификат участвует в «цепочке доверия». «Цепочка доверия» — это взаимосвязь нескольких сертификатов, которая позволяет проверить, действительна ли электронная подпись и можно ли доверять сертификату ЭП.

Рассмотрим «цепочку доверия», сформированную для квалифицированного сертификата электронной подписи:

Корневой сертификат Минцифры РФ (ранее — Минкомсвязь РФ).

Это верхнее звено «цепочки доверия». Минцифры РФ осуществляет функции головного удостоверяющего центра в России. Оно наделяет другие удостоверяющие центры, прошедшие аккредитацию, правом выдавать квалифицированные сертификаты ЭП — выдает им собственные сертификаты, подписанные корневым сертификатом Минцифры РФ.

Например, в Windows корневой сертификат можно найти через «Управление сертификатами» — «Доверенные корневые центры сертификации» — «Сертификаты».

Сертификат удостоверяющего центра. Официально его называют «промежуточный сертификат», но распространено также название «корневой сертификат УЦ».

Среднее звено «цепочки доверия». УЦ получает этот сертификат от Минцифры РФ, когда становится аккредитованным. С помощью своего промежуточного сертификата УЦ выдает квалифицированные сертификаты пользователям: организациям, их сотрудникам, простым физлицам (п. 1 ст. 15 63-ФЗ).

В Windows промежуточный сертификат хранится в «Управление сертификатами» — «Промежуточные центры сертификации» — «Сертификаты».

Личный сертификат пользователя — квалифицированный сертификат электронной подписи.

Конечное звено «цепочки». Пользователь обращается в УЦ и получает там квалифицированный сертификат ЭП (он же КЭП, ЭП или ЭЦП). В его сертификате указаны данные «вышестоящих» сертификатов — УЦ и Минцифры.

В Windows личный сертификат можно найти через «Управление сертификатами» — «Личное».

Все сертификаты должны быть установлены в хранилище сертификатов (на компьютер) и действительны. Только тогда криптопровайдер сможет проверить доверие к сертификату пользователя и действительность электронной подписи, сформированной на основе этого сертификата.

«Путь сертификации» в составе сертификата показывает цепочку доверия: корневой сертификат, промежуточный и личный сертификат пользователя. Установить сертификаты можно с помощью сервиса от УЦ Контур или браузера-обозревателя.

Выше мы описали «цепочку доверия» для квалифицированных сертификатов. Поскольку такие сертификаты могут выдавать только аккредитованные УЦ, то в цепочке три звена: Минцифры — аккредитованный УЦ — пользователь. Именно такую связь можно увидеть, если открыть личный сертификат пользователя на вкладке «Путь сертификации» (см. скриншот выше).

Для неквалифицированных сертификатов ЭП «цепочка доверия» может состоять только из двух звеньев: УЦ — пользователь. Это возможно потому, что УЦ для выдачи неквалифицированных сертификатов не нужна аккредитация. Звенья такой «цепочки» будут называться: «корневой сертификат» и «пользовательский (личный) сертификат»

Читать также: Сертификаты

Программа установки всех сертификатов импортирует корневой сертификат Минцифры и промежуточные сертификаты УЦ. Подключение к интернету на момент установки не требуется.

Да, можно, но работать она не будет. Корневой и промежуточный сертификат является тем ключом, к которому обращается криптопровайдер при проверке подлинности подписи. Для признания ключа действительным в системе должен быть установлен корневой сертификат. В противном случае пользователь увидит окно с уведомлением об ошибке.

Это актуально как для ЭП, хранящейся на компьютере, так и для ЭП на токене, с небольшой разницей:

при работе с ЭП на компьютере, корневой сертификат устанавливается один раз, обычно при первой установке ЭП,
если ЭП хранится на токене, то корневой сертификат необходимо устанавливать на тот компьютер, с которым предстоит работать.

Корневой сертификат представляет собой файл, который содержит свойства и данные:

серийный номер,
сведения об УЦ,
сведения о владельце сертификата,
сроки его действия,
используемые алгоритмы
открытый ключ электронной подписи,
используемые средства УЦ и средства электронной подписи,
класс средств ЭП,
ссылка на сертификат «вышестоящего» УЦ, который выдал данный сертификат (для промежуточного сертификата),
ссылка на реестр аннулированных (отозванных) сертификатов (для промежуточного сертификата),
электронную подпись УЦ, выдавшего сертификат.

Какой срок действия корневого сертификата удостоверяющего центра

Корневой сертификат УЦ Минцифры действует 18 лет. Промежуточный сертификат аккредитованного УЦ действует 15 лет — это дольше, чем действие любого пользовательского сертификата ЭП, который такой УЦ выдаст клиенту. Пользовательские сертификаты выдаются обычно на 12, 15 месяцев. УЦ сам следит за сроками действия своих промежуточных и корневых сертификатов, чтобы не доставить неудобств клиентам. УЦ Контура обновляет сертификаты в среднем раз в год — это необходимо, чтобы соблюдать требования эксплуатационной документации к срокам ключей электронной подписи на сертифицированные средства УЦ и ЭП. Обновление происходит незаметно для пользователей и не влияет на их работу.

Для начала работы с электронной подписью необходимо установить корневые и промежуточные сертификаты УЦ. У клиентов УЦ Контура установка обычно происходит автоматически — во время автонастройки компьютера. Ниже мы опишем и автоматический, и ручной способ.

Автоматическая установка — наиболее простой и быстрый способ, который не требует специальных знаний и навыков от вас:

Откройте любой удобный браузер, это может быть Google Chrome, Mozilla Firefox, Internet Explorer или другой.
Зайдите в сервис автоматической настройки рабочего места Контур.Веб-диск.
Действуйте по указаниям сервиса: он продиагностирует ваш компьютер, найдет каких плагинов и файлов не хватает, предложит их установить. Вместе с ними установит необходимые корневые и промежуточные сертификаты.

Перейдите в раздел «Корневые сертификаты». Дальше возможны два варианта.
Выберите год, когда был выдан промежуточный сертификат УЦ Контура. Чтобы найти дату, откройте личный сертификат пользователя, выберите вкладку «Путь сертификации» и откройте промежуточный сертификат.

Если возникли ошибки — при установке корневого сертификата или при работе с электронной подписью — обратитесь в нашу техподдержку. Специалисты помогут разобраться в проблеме. Звоните на 8 800 500-05-08 или пишите по контактам Центра поддержки, указанным в правом нижнем углу страницы.

Ошибка «Сертификат безопасности сайта не является доверенным». Как ее исправить?

Я думаю, что почти каждый пользователь (особенно в последнее время) сталкивался с ошибкой в браузере о том, что сертификат такого-то сайта не является доверенным, и рекомендацией не посещать его.

С одной стороны это хорошо (все-таки и браузер, и вообще популяризация подобных сертификатов — обеспечивает нашу безопасность), но с другой — подобная ошибка иногда всплывает даже на очень известных сайтах (на том же Google)

Суть происходящего, и что это значит?

Дело в том, что когда вы подключаетесь к сайту, на котором установлен протокол SSL, то сервер передает браузеру цифровой документ ( сертификат ) о том, что сайт является подлинным (а не фейк или клон чего-то там. Кстати, если с таким сайтом все хорошо, то браузеры их помечают «зеленым» замочком напротив URL-строки: на скрине ниже показано, как это выглядит в Chrome.

Однако, сертификаты могут выпускать, как всем известные организации (Symantec, Rapidssl, Comodo и др. ) , так и вообще кто-угодно. Разумеется, если браузер и ваша система «не знает» того, кто выпустил сертификат (или возникает подозрение в его правильности) — то появляется подобная ошибка.

я веду к тому, что под раздачу могут попасть как совсем белые сайты, так и те, которые реально опасно посещать. Поэтому, появление подобной ошибки это повод внимательно взглянуть на адрес сайта.

Ну а в этой статье я хочу указать на несколько способов устранения подобной ошибки, если она стала появляться даже на белых и известных сайтах (например, на Google, Яндекс, ВК и многих других. Их же вы не откажетесь посещать? ?).

Установка сертификата ключа

Установка сертификата производится один раз.

Как установить сертификат ключа в локальное хранилище

Для того чтобы установить сертификат ключа в локальное хранилище, необходимо:

Открыть свойства установленного криптопровайдера (через меню компьютера » Пуск» -> » Панель управления» -> «КриптоПро CSP» ).

В открывшейся форме следует перейти на вкладку » Сервис» и нажать кнопку » Просмотреть сертификат в контейнере» (см. рис. 141).

Рисунок 141 — Вкладка «Сервис»

Для поля » Имя ключевого контейнера» нажмите кнопку » Обзор». Появится окно со списком ключевых контейнеров (рис. 142).

Рисунок 142 — Выбор ключевого контейнера

Выберите необходимый ключевой контейнер, нажав кнопку «ОК». Имя контейнера отобразится в соответствующем поле. Следует нажать кнопку » Далее >».

В форме откроется сертификат для просмотра. Следует нажать кнопку » Установить» (рис. 143 ).

Рисунок 143 — Установка сертификата ключа

После успешной установки сертификата появится сообщение (рис. 144)

Рисунок 144 — Сообщение после установки сертификата

Сообщение нужно закрыть, нажав кнопку » ОК». Далее следует нажать кнопку » Готово» , чтобы применить изменения либо » Отмена» для отмены внесённых изменений.

Как установить сертификат в хранилище доверенных корневых сертификатов центров сертификации?

Добавление сертификатов в хранилище доверенных корневых центров сертификации для локального компьютера

Откройте «Свойства обозревателя» через Пуск / Панель управления.
Переключитесь на вкладку «Содержание».
Нажмите кнопку «Импорт».

Установка сертификатов в браузеры

Почти каждый браузер имеет собственное хранилище сертификатов. «Почти» — потому что системным хранилищем, кроме MS Internet Explorer, пользуется еще Google Chrome. Все остальные предпочитают хранить сертификаты в собственных загашниках, причем Mozilla Firefox хранит сертификаты отдельно от Mozilla Thunderbird! Ну, Firefox — вообще программа, повернутая на безопасности, это мы еще увидим в дальнейшем. Поэтому мы опишем процедуру установки сертификата в браузер Mozilla Firefox, в системное хранилище Windows и в браузер Opera. Установку сертификата в программу работы с электронной почтой Mozilla Thunderbird в этом разделе мы описывать не будем — отложим до момента, когда расскажем про настройки программ электронной почты.

Кроме программ от Microsoft (MS Outlook, MS Internet Explorer, MS Lync), это хранилище использует такой браузер, как Google Chrome. Именно поэтому отдельно установка сертификатов в Google Chrome не рассматривается.

Установка сертификата в системное хранилище, в принципе, несложная и выполняется стандартными для Windows средствами — двойным щелчком на файле сертификата. При этом запускается мастер установки сертификатов (рис.

Читать также: Гражданство РФ, статус носителя русского языка, РВП

Рис. Мастер установки сертификатов в Windows

Экран с указанием файла можно пропустить, для чего нажать Далее (Next), потому что имя файла уже подставлено, и перейти далее (рис. На экране ввода пароля нужно ввести пароль к файлу PKCS#12, который был заранее согласован с СЛ (рис.

Никаких отметок ставить не надо. Установка первой отметки приведет к тому, что сертификат будет защищен паролем, который будет у вас спрашиваться каждый раз, когда возникнет необходимость в его использовании. Установка второй — к тому, что сертификат будет помечен как экспортируемый, и злоумышленник может, экспортировав его из системы (удаленно — путем взлома или локально — просто украв ноутбук, например), выдавать себя за вас.

Хранилище сертификатов тоже указывать не надо — система должна сама разобраться, куда что помещать (хотя делает она это плохо). Оставляем все в значении по умолчанию (рис.

Рис. Выбор хранилища для сертификатов

Завершаем работу мастера. После завершения работы обязательно должен появиться запрос, показанный на рис. 5, — его появление означает, что система устанавливает сертификат СЛ, который мы упаковали вместе с личным сертификатом именно туда, куда надо, — в хранилище доверенных корневых сертификатов. Если этого запроса не появилось, придется отдельно уточнить, установился ли сертификат СЛ в раздел корневых.

Надо сказать, Windows с достаточным пиететом относится к работе с корневыми сертификатами — не только при установке, но и при удалении она переспросит, а действительно ли вы хотите это сделать, при этом приводит некоторые данные из сертификата — имя организации, срок действия, «отпечаток» (fingerprint) сертификата. Игнорировать эти запросы не следует, установка ложного корневого сертификата может иметь весьма плачевные последствия.

Рис. Вызов мастера просмотра сертификатов через свойства браузера Internet Explorer

Рис. Запрос на установку сертификата СА

Как можно проверить, что сертификат на самом деле установился? Проверить можно через свойства Internet Explorer: Сервис => Свойства обозревателя (Tools => Internet Options), закладка Содержание (Content), рис.

Нажать на кнопку Сертификаты (Certificates) в разделе Личные (Personal) — он открывается сразу же: должно отображаться наличие вашего сертификата (рис.

Перейти на закладку Доверенные корневые центры сертификации (Trusted Root Certification Authorities) — в списке СА должен отображаться сертификат нашего СА (рис. На рис. 8 рамкой отмечен сертификат СА DeltaHardware Ltd.

Рис. Просмотр раздела Личные (Personal) системного хранилища сертификатов

Рис. Просмотр раздела Доверенные корневые центры сертификации (Trusted Root Certification Authorities) системного хранилища сертификатов

Если у вас установлена программа Crypto4PKI, то в ней есть собственный компонент для просмотра, импорта и экспорта сертификатов — Certificate Manager (рис. Он довольно простенький, но свою задачу выполняет, его единственный недостаток — нерусифи- цирован (и, видимо, никогда и не будет). Хранилище сертификатов отрисовывается в виде дерева, где разделы являются ветками, а сертификаты — листьями.

Рис. Просмотр хранилища сертификатов с помощью программы Crypto4PKI Certificate Manager

Можно просмотреть подробную информацию о сертификате (рис. 10). Можно экспортировать сертификат в файл, можно удалить сертификат из хранилища.

Компонент импорта работает тогда, когда переставишь указатель на строку собственно хранилища. Диалоги компонента простенькие, зато импорт отрабатывает за один диалог — в нем вводится имя файла PKCS# 12 и указывается пароль к нему. Обязательно поставьте отметку Import private key (Импортировать личный ключ) в нижней части диалога (рис. 11). Про две отметки ниже этой строки все в точности соответствует тому, что было сказано про импорт через системного мастера, — первая отметка защищает ключ паролем, вторая помечает его экспортируемым.

Рис. Просмотр подробной информации о сертификате в программе Crypto4PKI Certificate Manager

Рис. Импорт сертификата в программе Crypto4PKI Certificate Manager

Единственное, о чем можно сказать «не верь глазам своим», — это то, что программа Crypto4PKI постоянно утверждает, что к данному сертификату нет личного ключа. Если присмотреться к рис. 11, то внизу можно увидеть надпись «Certificate does NOT contain private key». Видимо, здесь имеется в виду, что в ФАЙЛЕ сертификата не содержится личного ключа (а такое возможно, dovecot имеет даже специальную настройку на этот вариант), но вообще личный ключ присутствует, правда, просмотреть его никак нельзя.

Если используется Crypto4PKI Certificate Manager, там все гораздо проще: запустил программу, встал на раздел Trusted Root Certificate Authorities (Доверенные корневые центры сертификации), нажал Import (Импорт). Единственный момент — сертификат должен иметь расширение. pern или же быть в формате DER и иметь расширение. сег. Почему-то расширение. crt за расширение сертификата не признается (а системный мастер справляется запросто).

Проблемы при установке SSL сертификата на сервер Windows

Пользователи с серверами Windows могут иногда сталкиваться с проблемой, когда импортируемый сертификат исчезает из списка сертификатов сервера. Чаще всего это происходит сразу после завершения запроса сертификата в диспетчере служб IIS или консоли управления Exchange и обновления списка сертификатов.

Списки сертификатов сервера в IIS и EMC содержат только сертификаты, которые назначаются соответствующему закрытому ключу и генерируются вместе с запросом подписи сертификата (CSR), используемым для активации конкретного сертификата. Когда связь между сертификатом и закрытым ключом по какой-либо причине нарушена, сертификат исчезает.

Если вы удалили сертификат, соответствующий закрытый ключ остается на сервере. Это означает, что сертификат можно импортировать обратно на сервер через MMC

Кроме того, если вы дважды щелкните сертификат, вы увидите сообщение: «У вас есть закрытый ключ, соответствующий этому сертификату».

Как добавить корневой сертификат в доверенные в Windows в веб браузеры

Chrome, Chromium, Opera и сделанные на их основе веб браузеры используют общесистемные корневые CA сертификаты. То есть для добавления новых доверенных CA достаточно добавить их в систему, как это показано выше.

Firefox использует исключительно своё хранилище. Для добавления корневых сертификатов CA в Firefox нужно сделать так: