При проверке Электронной подписи (ЭЦП) ваш компьютер не только должен определить сроки действия Вашей ЭЦП, но также и понимать кем была выпущена Электронная подпись. В каждом сертификате ЭЦП указано каким Удостоверяющем центром(УЦ) была выпущена подпись. После того, как система "прочитала" изготовителя ЭЦП, нужно получить информацию о самом этом изготовителе. Для этого, на компьютер пользователя устанавливается корневой сертификат.
Если на компьютере пользователя установлен корневой сертификат Удостоверяющего центра, то все сертификаты выпущенные этим УЦ считаются действительными (при условии, что срок их действия ещё не истёк).
Учитывая всё вышеизложенное, мы приходим к выводу, что для того, чтобы сертификат электронной подписи воспринимался системой как "действительный", нужно устанавливать корневые сертификаты Удостоверяющего Центра которым была выпущена ЭЦП.
Приступим к установке корневого сертификата:
Прежде чем установить корневой сертификат, скачайте его с сайта удостоверяющего центра, выдавшего Вам ЭЦП или с нашего сайта в разделе: .
1. Дважды кликните по сохранённому сертификату или нажмите правой кнопкой мышки и выберите пункт, как показано на рисунке.
2. В появившемся окне нажмите кнопку «Далее».
3. В следующем окне, выберите пункт «Поместить все сертификаты в следующее хранилище» и нажмите на кнопку «Обзор…».
4. Во всплывающем окне, выберите пункт «Доверенные корневые центры сертификации» и нажмите «ОК».
5. Всплывающее окно закроется и у Вас должно быть так, как показано на рисунке. Если информация в поле «Хранилище сертификатов» не появилась, вернитесь к пунктам 3, 4 и повторите эти шаги заново. Если всё отобразилось, как показано на рисунке, нажмите «Далее».
6. По завершении нажмите «Готово».
7. После закрытия окна «Мастер импорта сертификатов» система может выдать предупреждение об установке сертификатов на Ваш компьютер. Данное сообщение может появиться несколько раз. Каждый раз нажимайте кнопку «ДА».
8. Если предыдущее сообщение не появилось, в следующем окне нажмите «ОК», как показано на рисунке.
Подравляем! Теперь корневой сертицикат Удостоверяющего Центра успешно установлен!
Сертификаты, которые используются в работе системы Контур Экстерн, можно добавить или удалить c помощью консоли mmc из следующих хранилищ:
- Другие пользователи (хранилище сертификатов контролирующих органов)
- Доверенные корневые центры сертификации и Промежуточные центры сертификации (хранилища сертификатов Удостоверяющего Центра ).
Установка личных сертификатов производится только с помощью программы Крипто Про.
Для запуска консоли необходимо выполнить следующие действия:
1. Выбрать меню Пуск / Выполнить (или на клавиатуре одновременно нажать клавиши Win+R ).
2. Указать команду mmc и нажать на кнопку ОК .
3. Выбрать меню Файл / Добавить или удалить оснастку (см. рис. 1).
Рис. 1. Окно консоли
4. Выбрать из списка оснастку Сертификаты и кликнуть по кнопке Добавить (см. рис. 2).
Рис. 2. Добавление оснастки
5. В открывшемся окне установить переключатель Моей учетной записи пользователя и нажать на кнопкуГотово (см. рис. 3).
Рис. 3. Оснастка диспетчера сертификатов
6. Выбрать из списка справа добавленную оснастку и нажать на кнопку ОК (см. рис. 4).
Рис. 4. Выбор добавленной оснастки
Установка сертификатов
1. Открыть необходимое хранилище (например, доверенные корневые центры сертификации). Для этого раскрыть ветку Сертификаты — текущий пoльзователь / Доверенные корневые центры сертификации / Сертификаты (см. рис. 5).
Рис. 5. Окно консоли
2. Выбрать меню Действие / Все задачи / Импорт (см. рис. 6).
Рис. 6. Меню «Все задачи / Импорт»
3. В отрывшемся окне нажать на кнопку Далее .
4. Далее следует нажать на кнопку Обзор и указать файл сертификата для импорта (корневые сертификатыУдостоверяющего Центра можно скачать с сайта Удостоверяющего центра , сертификаты контролирующих органов находятся на сайте системы «Контур-Экстерн»). После выбора сертификата необходимо кликнуть по кнопке Открыть (см. рис. 7), а затем по кнопке Далее .
Рис. 7. Выбор сертификата для импорта
5. В следующем окне необходимо нажать на кнопку Далее (нужное хранилище выбрано автоматически). См. рис. 8.
Рис. 8. Выбор хранилища
6. Нажать на кнопку Готово для завершения импорта (см. рис. 9).
Рис. 9. Завершение импорта сертификата
Удаление сертификатов
Чтобы удалить сертификаты с помощью консоли mmc (например, из хранилища Другие пользователи), необходимо проделать следующие действия:
Раскрыть ветку Сертификаты — текущий пoльзователь / Другие пользователи / Сертификаты . В правой части окна отобразятся все сертификаты, установленные в хранилище Другие пользователи . Выделите необходимый сертификат, щелкните по нему правой кнопкой мыши и выберите Удалить (см. рис. 10).
Рис. 10. Окно консоли
Установка самоподписанных сертификатов весьма частая задача для системного администратора. Обычно это делается вручную, но если машин не один десяток? И как быть при переустановке системы или покупке нового ПК, ведь сертификат может быть и не один. Писать шпаргалки-напоминалки? Зачем, когда есть гораздо более простой и удобный способ - групповые политики ActiveDirectory. Один раз настроив политику можно больше не беспокоится о наличии у пользователей необходимых сертификатов.
Сегодня мы рассмотрим распространение сертификатов на примере корневого сертификата Zimbra, который мы экспортировали в . Наша задача будет стоять следующим образом - автоматически распространять сертификат на все компьютеры входящие в подразделение (OU) - Office . Это позволит не устанавливать сертификат туда, где он не нужен: на севера, складские и кассовые рабочие станции и т.д.
Откроем оснастку и создадим новую политику в контейнере Объекты групповой политики , для этого щелкните на контейнере правой кнопкой и выберите Создать . Политика позволяет устанавливать как один, так и несколько сертификатов одновременно, как поступить - решать вам, мы же предпочитаем создавать для каждого сертификата свою политику, это позволяет более гибко менять правила их применения. Также следует задать политике понятное имя, чтобы открыв консоль через полгода вам не пришлось мучительно вспоминать для чего она нужна.
После чего перетащите политику на контейнер Office , что позволит применить ее к данному подразделению.
Теперь щелкнем на политику правой кнопкой мыши и выберем Изменить . В открывшемся редакторе групповых политик последовательно разворачиваем Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политики открытого ключа - . В правой части окна в меню правой кнопкой мыши выбираем Импорт и импортируем сертификат.
Политика создана, теперь самое время проверить правильность ее применения. В оснастке Управление групповой политикой выберем Моделирование групповой политики и запустим по правому щелчку Мастер моделирования .
Большинство параметров можно оставить по умолчанию, единственное что следует задать - это пользователя и компьютер для которых вы хотите проверить политику.
Выполнив моделирование можем убедиться, что политика успешно применяется к указанному компьютеру, в противном случае раскрываем пункт Отклоненные объекты и смотрим причину по которой политика оказалась неприменима к данному пользователю или компьютеру.
После чего проверим работу политики на клиентском ПК, для этого обновим политики вручную командой:
Gpupdate
Теперь откроем хранилище сертификатов. Проще всего это сделать через Internet Explorer : Свойства обозревателя - Содержание - Сертификаты . Наш сертификат должен присутствовать в контейнере Доверенные корневые центры сертификации .
Как видим - все работает и одной головной болью у администратора стало меньше, сертификат будет автоматически распространяться на все компьютеры помещенные в подразделение Office . При необходимости можно задать более сложные условия применения политики, но это уже выходит за рамки данной статьи.
- «Другие пользователи» — хранилище сертификатов контролирующих органов;
- «Доверенные корневые центры сертификации» и «Промежуточные центры сертификации» — хранилища сертификатов Удостоверяющего Центра.
Установка личных сертификатов производится только с помощью программы Крипто Про.
Для запуска консоли необходимо выполнить следующие действия
1. Выбрать меню «Пуск» > «Выполнить» (или на клавиатуре одновременно нажать клавиши «Win+R»).
2. Указать команду mmc и нажать на кнопку «ОК».
3. Выбрать меню «Файл» > «Добавить или удалить оснастку».
4. Выбрать из списка оснастку «Сертификаты» и кликнуть по кнопке «Добавить».
5. В открывшемся окне установить переключатель «Моей учетной записи пользователя» и нажать на кнопку «Готово».
6. Выбрать из списка справа добавленную оснастку и нажать на кнопку «ОК».
Установка сертификатов
1. Открыть необходимое хранилище (например, доверенные корневые центры сертификации). Для этого раскрыть ветку «Сертификаты — текущий пoльзователь» > «Доверенные корневые центры сертификации» > «Сертификаты».
2. Выбрать меню «Действие» > «Все задачи» > «Импорт».
4. Далее следует нажать на кнопку «Обзор» и указать файл сертификата для импорта (корневые сертификаты Удостоверяющего Центра можно скачать с сайта Удостоверяющего центра , сертификаты контролирующих органов находятся на сайте системы Контур.Экстерн). После выбора сертификата необходимо кликнуть по кнопке «Открыть», а затем по кнопке «Далее».
5. В следующем окне необходимо нажать на кнопку «Далее» (нужное хранилище выбрано автоматически).
6. Нажать на кнопку «Готово» для завершения импорта.
Удаление сертификатов
Чтобы удалить сертификаты с помощью консоли mmc (например, из хранилища Другие пользователи), необходимо проделать следующие действия:
Раскрыть ветку «Сертификаты — текущий пoльзователь» > «Другие пользователи» > «Сертификаты». В правой части окна отобразятся все сертификаты, установленные в хранилище «Другие пользователи». Выделите необходимый сертификат, щелкните по нему правой кнопкой мыши и выберите «Удалить».
Как-то обратился ко мне товарищ (Серёга с antelecs.ru) с вопросом, можно ли как-то ускорить/автоматизировать рутинный процесс добавления нескольких сертификатов в хранилище доверенных корневых центров сертификации. Задачка мне показалась интересной и подходящей по тематике сайта, поэтому решение я взялся опубликовать здесь. Бесплатный софт предлагаю качать на Киберсофт !
Конечно можно было бы заморочиться с GPO или ещё чем-нибудь тру-админским, но у меня почему-то первой мыслью было использовать подручные средства в виде RAR-архиватора и его функции создания самораспаковывающихся (SFX) архивов.
Делаем автоустановку сертификатов
Нам понадобится утилита certmgr.exe из набора Windows SDK . Информация о том, как ей пользоваться – есть вот на этой странице .
В контекстном меню при выделении всех файлов выбираем команду “Добавить в архив…”.
Указываем параметры архива. Здесь можно задать произвольное имя выходного исполняемого файла, а также необходимо отметить галочкой пункт “Создать SFX-архив”.
На вкладке “Дополнительно” нажимаем кнопку “Параметры SFX…”.
На вкладке “Общие” указываем путь для распаковки – можно указать текущую папку или её подкаталог.
Самое интересное: на вкладке “Установка” указываем какие команды выполнить после извлечения файлов. Текущим каталогом при этом будет являться тот, куда распакованы файлы. Команда для установки сертификата в хранилище выглядит так:
certmgr.exe -add -c "Имя файла.cer" -s -l localMachine root
где localMachine означает установку для компьютера, а root – название хранилища доверенных корневых центров сертификации.
Для удобства пользования можно скрыть все диалоговые окна (в противном случае будет отображаться диалоговое окно выбора каталога для распаковки и т.д.).
На вкладке Комментарии отображены все действия, совершаемые при распаковке. В принципе сюда можно ввести текст вручную и выполнится то же самое.
Видео по теме
Для лучшего понимания процесса я записал небольшой видеоролик!
