Nuomos sutartys      2020-11-25

Automatinis „Trusted Root Certification Authorities“ sertifikatų saugyklos atnaujinimas „Windows“ kompiuteriuose, neturinčiuose tiesioginės prieigos prie interneto. Nepavyko sukurti patikimų šakninių institucijų sertifikatų grandinės Patikimų šaknų centrų sąrašas

Sertifikatai, naudojami naudojant „Kontur Extern“ sistemą, gali būti pridėti arba pašalinti naudojant konsolę mmc iš šių saugyklų:

  • Kiti vartotojai(reguliavimo institucijų sertifikatų saugykla)
  • Patikimos pagrindinės sertifikavimo institucijos ir Tarpinės sertifikavimo institucijos(sertifikatų parduotuvės Sertifikavimo centras).

Asmeninių sertifikatų diegimas atliekamas tik naudojant programą „Crypto Pro“.

Norėdami paleisti konsolę, turite atlikti šiuos veiksmus:

1. Pasirinkite meniu Pradėti/ Vykdyti(arba klaviatūroje vienu metu paspauskite klavišus Win + R.).

2. Nurodykite komandą mmc ir paspauskite mygtuką Gerai.

3. Pasirinkite meniu Failas/ Pridėkite arba pašalinkite papildinį(žr. 1 pav.).

Ryžiai. 1. Konsolės langas

4. Iš sąrašo pasirinkite papildinį Sertifikatai ir spustelėkite mygtuką Papildyti(žr. 2 pav.).

Ryžiai. 2. Įtraukimas

5. Atsidariusiame lange nustatykite radijo mygtuką Mano vartotojo abonementas ir paspauskite mygtuką Paruošta(žr. 3 pav.).

Ryžiai. 3. Sertifikato tvarkyklės papildinys

6. Iš dešiniojo sąrašo pasirinkite pridėtą papildinį ir spustelėkite mygtuką Gerai(žr. 4 pav.).

Ryžiai. 4. Pridėto įrenginio pasirinkimas


Sertifikatų diegimas

1. Atidarykite reikiamą saugyklą (pavyzdžiui, patikimos šakninio sertifikavimo institucijos). Norėdami tai padaryti, atidarykite filialą Sertifikatai - dabartinis vartotojas / patikimos pagrindinės sertifikavimo institucijos / sertifikatai(žr. 5 pav.).

Ryžiai. 5. Konsolės langas

2. Pasirinkite meniu Veiksmas/ Visos užduotys / Importuoti(žr. 6 pav.).

Ryžiai. 6. Meniu „Visos užduotys / importavimas“

3. Atsidariusiame lange spustelėkite mygtuką Toliau.

4. Tada spustelėkite mygtuką Apžvalga ir nurodykite importuojamą sertifikato failą (šakniniai sertifikatai Sertifikavimo centras galima atsisiųsti iš svetainės Sertifikavimo centras, reguliavimo institucijų sertifikatai yra sistemos „Kontur-Extern“ svetainėje). Pasirinkę sertifikatą, spustelėkite mygtuką Atviras(žr. 7 pav.), tada mygtuku Toliau.

Ryžiai. 7. Importuojamo sertifikato pasirinkimas

5. Kitame lange spustelėkite mygtuką Toliau(norima saugykla pasirenkama automatiškai). Žr. aštuoni.

Ryžiai. 8. Sandėliavimo pasirinkimas

6. Paspauskite mygtuką Paruošta importui užbaigti (žr. 9 pav.).

Ryžiai. 9. Sertifikato importo užbaigimas


Sertifikatų pašalinimas

Norėdami pašalinti sertifikatus naudodami konsolę mmc(pvz., iš kitų vartotojų saugyklos), turite atlikti šiuos veiksmus:

Išplėskite šaką Sertifikatai - dabartinis vartotojas / kiti vartotojai / sertifikatai... Visi parduotuvėje įdiegti sertifikatai bus rodomi dešinėje lango dalyje. Kiti vartotojai... Pažymėkite reikiamą sertifikatą, dešiniuoju pelės mygtuku spustelėkite jį ir pasirinkite Ištrinti(žr. 10 pav.).

Ryžiai. 10. Konsolės langas

Norėdami įdiegti sertifikatus, turite prijungti USB atmintinę su elektroniniu parašu, atidaryti ją ir įdiegti sertifikatus

1. Į patikimus šaknų centrus įdiekite pagrindinės sertifikavimo institucijos sertifikatą, nes jums reikia:

1.1. Dukart spustelėkite vadovo CA sertifikatą - failą „Head sertifikavimo institucija.cer“.

1.2. Atsidariusioje formoje turite spustelėti mygtuką „Įdiegti sertifikatą ...“.

1.3. Pasirinkite „Įdėti visus sertifikatus į kitą parduotuvę“ (pažymėkite varnelę prieš etiketę) ir spustelėkite mygtuką „Naršyti“.


1.4. Atsidariusiame sąraše pasirinkite „Patikimos pagrindinės sertifikavimo institucijos“ ir spustelėkite „Gerai“.

2. Įdiekite asmeninį sertifikatą

Asmeninio sertifikato diegimas atliekamas naudojant programą „CryptoPro“ CSP
2.1. Būtina paleisti „CryptoPro CSP“ programą (mygtukas „Pradėti“ -> „CryptoPro CSP“ arba mygtukas „Pradėti“ -> „Visos programos“ -> CRYPTO -PRO -> „CryptoPro CSP“).

2.2. Atsidariusiame lange pasirinkite skirtuką „Paslauga“ ir spustelėkite „Įdiegti“ asmens pažymėjimas…».

2.3. Atsidariusiame lange spustelėkite mygtuką „Naršyti“, USB atmintinėje pasirinkite organizacijos sertifikatą - antrąjį failą su plėtiniu „cer“ (ne CA sertifikato failą (pavyzdyje - „adicom.cer“)) ir spustelėkite „Kitas“.




2.4. Atsidariusioje formoje spustelėkite „Kitas“


2.5. Atsidariusioje formoje turite pažymėti žymimąjį laukelį „Rasti konteinerį automatiškai“. Dėl to bus užpildytas „Raktinio konteinerio pavadinimas“ ir spustelėkite „Kitas“


2.6. Atsidariusioje formoje spustelėkite „Kitas“


2.7. Atsidariusioje formoje spustelėkite „Baigti“


Vietinėje vartotojo mašinoje įdiegta viskas, kas reikalinga kartai Elektroninis parašas Programinė įranga - galite pasirašyti spausdintas formas.

3. Įdiekite naršyklėje „CryptoPro Extension for Cades Browser“ papildinį

Norėdami įdiegti naršyklės plėtinį (priedą) „CryptoPro Extension for Cades“ naršyklės papildinį, naršyklėje atidarykite plėtinių parduotuvę ir ieškokite plėtinių pagal žodį „Cades“ / „Yandex“. Naršyklės nuoroda -

Jei bandant užmegzti ryšį su žiniatinklio kabinetu atidaromas naršyklės saugos langas (1 pav.), Turite pridėti Maskvos biržos „moex.cer“ šakninis sertifikatasį patikimų sertifikatų sąrašą.

1 pav. Naršyklės saugos langas

Tam reikia:

  1. įveskite į paieškos laukelį „Windows“ failo pavadinimas certmgr.msc(2 pav.). Tada kairiuoju pelės mygtuku spustelėkite rastą failą. Dėl to atsidarys sertifikato sistemos katalogas (3 pav.);

    2 pav. Paieškos sistemos katalogų paieška 3 pav. Sertifikatų sistemos katalogas
  2. eikite į skyrių Sertifikataišoninis meniu (4 pav.). Tada dešiniuoju pelės mygtuku spustelėkite aplanką Sertifikatai ir atidarytame kontekstiniame meniu pasirinkite elementą Visos užduotys → Importuoti(5 pav.).

    4 paveikslas - patikimi katalogai 5 paveikslas - sertifikato importas

    Dėl to jis bus atidarytas Sertifikato importavimo vedlys(6 pav.), kuriame reikia paspausti mygtuką Toliau pereiti prie pažymėjimo failo pasirinkimo moex.cer(7 pav.);

    6 pav. Sertifikato importavimo vedlys 7 paveikslas. Importuoto failo pasirinkimo dialogo langas

  3. paspauskite mygtuką Apžvalga(žr. 7, 1 pav.) ir pasirinkite Maskvos biržos „moex.cer“ šakninis sertifikatas. Dėl to lauke Failo pavadinimas bus parodytas kelias į šį failą (žr. 7.2 pav.). Tada paspauskite mygtuką Toliau(žr. 7.3 pav.);
  4. paspauskite mygtuką Toliau dialogo lange Sertifikatų parduotuvė nekeičiant numatytųjų parametrų (8 pav.), tada - mygtukas Paruošta baigti importuoti sertifikatą (9 pav.).



    8 paveikslas - sertifikatų saugykla 9 paveikslas - importo užbaigimas

Kai importavimas bus baigtas, bus atidarytas saugos langas „Windows“ (10 pav.). Patikrinkite rakto piršto atspaudą. Jo numeris turi sutapti su paveiksle (10.1) nurodytu skaičiumi. Jei duomenys sutampa, spustelėkite Taip(10.2 pav.).



10 pav. Saugos langas„Windows“

Dėl to bus atidarytas pranešimas apie sėkmingą importavimą. Maskvos biržos sertifikatas moex.cerį patikimų sertifikatų sąrašą (11 pav.), kuriame turėtumėte spustelėti Gerai.


11 pav. Importavimo užbaigimas

Savarankiškai pasirašytų sertifikatų diegimas yra labai dažna sistemos administratoriaus užduotis. Paprastai tai daroma rankiniu būdu, bet jei mašinų yra daugiau nei keliolika? O ką daryti iš naujo įdiegiant sistemą ar perkant naują kompiuterį, nes sertifikatų gali būti ne vienas. Rašyti priminimo lovytes? Kodėl, kai yra daug paprastesnis ir patogesnis būdas - „Active Directory“ grupės strategija. Kai sukonfigūravote politiką, nebereikia jaudintis, kad vartotojai turės reikiamus sertifikatus.

Šiandien pažvelgsime į sertifikatų paskirstymą naudodami pavyzdį šaknies sertifikatas Zimbra, į kurią eksportavome. Mūsų užduotis bus tokia - automatiškai išplatinti sertifikatą visiems kompiuteriams, įtrauktiems į skyrių (OU) - Biuras... Tai leis jums neįdiegti sertifikato ten, kur jo nereikia: šiaurėje, sandėlio ir kasos darbo vietose ir kt.

Atidarykime papildinį ir sudarykime naują politiką sudėtiniame rodinyje Grupės politikos objektai, norėdami tai padaryti, dešiniuoju pelės mygtuku spustelėkite konteinerį ir pasirinkite Sukurti... Politika leidžia vienu metu įdiegti ir vieną, ir kelis sertifikatus, ką daryti, priklauso nuo jūsų, tačiau mes norime kiekvienam sertifikatui sukurti savo politiką, tai leidžia lanksčiau keisti jų taikymo taisykles. Taip pat turėtumėte pavadinti politiką draugišku pavadinimu, kad atidarius konsolę po šešių mėnesių nereikėtų skausmingai prisiminti, kam ji skirta.

Tada vilkite politiką į sudėtinį rodinį Biuras, kuris jį pritaikys šiam padaliniui.

Dabar dešiniuoju pelės mygtuku spustelėkite politiką ir pasirinkite Keisti... Atidarytame grupės politikos redaktoriuje mes nuosekliai plečiamės Kompiuterio konfigūracija - „Windows“ konfigūracija - Saugos parinktys - Politikai viešasis raktas -. Meniu dešinėje lango pusėje dešiniuoju pelės mygtuku spustelėkite Importuoti ir importuokite sertifikatą.

Politika sukurta, atėjo laikas patikrinti, ar ji taikoma teisingai. Akimirksniu Grupės politikos valdymas pasirinkti Grupės politikos modeliavimas ir paleiskite dešiniuoju pelės klavišu Modeliavimo vedlys.

Daugumą parametrų galima palikti numatytuosius, reikia nustatyti tik naudotoją ir kompiuterį, kurio politiką norite patikrinti.

Baigę modeliavimą galime įsitikinti, kad politika sėkmingai pritaikyta nurodytam kompiuteriui, kitaip išplėsime elementą Atmesti objektai ir peržiūrėkite priežastį, kodėl ši politika nebuvo taikoma šiam naudotojui ar kompiuteriui.

Tada mes patikrinsime politikos veikimą kliento kompiuteryje, todėl mes rankiniu būdu atnaujinsime politiką naudodami komandą:

Gpupdate

Dabar atidarykime sertifikatų parduotuvę. Lengviausias būdas tai padaryti yra Internet Explorer : Interneto nustatymai -Turinys -Sertifikatai... Mūsų sertifikatas turi būti konteineryje Patikimos pagrindinės sertifikavimo institucijos.

Kaip matote, viskas veikia ir administratoriui skauda vienu galvos skausmu mažiau, pažymėjimas bus automatiškai išplatintas visuose skyriuje esančiuose kompiuteriuose Biuras... Jei reikia, galite nustatyti daugiau sunkios sąlygos taikant politiką, tačiau tai nepatenka į šio straipsnio taikymo sritį.

su problema, kad neįmanoma tinkamai įdiegti programinės įrangos dėl to, kad patikimų šakninių sertifikavimo institucijų sertifikatų saugykla nėra atnaujinama tiksliniuose kompiuteriuose, kuriuose veikia „Windows“ operacinė sistema (toliau trumpumo dėlei šią parduotuvę vadinsime „TrustedRootCA“). Tuo metu klausimas buvo išspręstas įdiegus paketą rootsupd.exe galima rasti straipsnyje KB931125 kuris buvo susijęs su OS Windows XP... Dabar ši OS visiškai pašalinta iš „Microsoft“ palaikymo, ir tikriausiai todėl šio KB straipsnio nebėra „Microsoft“ svetainėje. Prie viso to galime pridėti faktą, kad net ir tuo metu sprendimas diegiant sertifikatų paketą, kuris tuo metu jau buvo pasenęs, nebuvo pats optimaliausias, nes nuo tada buvo naudojamos sistemos su OS „Windows Vista“ ir Windows 7 jau dalyvavo naujas mechanizmas automatinis atnaujinimas„TrustedRootCA“ sertifikatų parduotuvėje. Čia yra vienas iš senų „Windows Vista“ straipsnių, kuriuose aprašomi kai kurie tokio mechanizmo veikimo aspektai -Sertifikato palaikymas ir dėl to gaunamas interneto ryšys sistemoje „Windows Vista“ . Neseniai susidūriau su pradine problema - vėl teko atnaujinti „TrustedRootCA“ sertifikatų saugyklą daugelyje „Windows“ klientų kompiuterių ir serverių. Visi šie kompiuteriai neturi tiesioginės prieigos prie interneto, todėl automatinis sertifikatų atnaujinimo mechanizmas neatlieka savo užduoties taip, kaip norėtume. Galimybė atidaryti tiesioginę prieigą prie interneto visuose kompiuteriuose, net ir tam tikrais adresais, iš pradžių buvo laikoma kraštutinumu, o priimtinesnio sprendimo paieška atvedė mane prie straipsnioKonfigūruokite patikimus šaknis ir neleistinus sertifikatus(RU ), kuris iškart atsakė į visus mano klausimus. Na, apskritai, remdamasis šiuo straipsniu, šiame straipsnyje trumpai apibūdinsiu konkrečiu pavyzdžiu, kaip galite centralizuotai konfigūruoti „Windows Vista“ ir naujesniuose kompiuteriuose būtent šį „TrustedRootCA“ sertifikatų saugyklos automatinio atnaujinimo mechanizmą, kad jis galėtų būti naudojamas kaip šaltinis atnaujina failų bendrinimą arba svetainę vietiniame įmonių tinkle.

Pirmiausia reikia atkreipti dėmesį į tai, kad parametras, blokuojantis automatinio atnaujinimo mechanizmo veikimą, neturėtų būti įjungtas kompiuteriuose taikomose grupės strategijose. Šis parametras Išjunkite automatinį šaknies sertifikatų atnaujinimą Skyriuje Kompiuterio konfigūracija > Administraciniai šablonai > Sistema > Interneto komunikacijos valdymas > Interneto ryšio nustatymai... Mums reikia šio parametro Išjungtas arba tiesiog Nesukonfigūruota.

Pažvelkite į „TrustedRootCA“ sertifikatų parduotuvę Vietinis kompiuteris , tada sistemose, neturinčiose tiesioginės prieigos prie interneto, sertifikatų rinkinys bus toks mažas:

Šį failą patogu naudoti, pavyzdžiui, kai iš viso turimų sertifikatų pogrupio reikia pasirinkti tik tam tikrą rinkinį ir įkelti juos į atskirą SST failą, kad būtų galima toliau įkelti, pavyzdžiui, naudojant vietinę sertifikatų valdymo konsolę arba naudojant grupės strategijos valdymo pultą (norint importuoti į tam tikrą ar domeno politiką per parametrą Kompiuterio konfigūracija > Politika > „Windows“ nustatymai > Apsaugos Nustatymai > Viešojo rakto politika > Patikimos pagrindinės sertifikavimo institucijos).

Tačiau norėdami platinti mus dominančius šakninių sertifikatų metodą, pakeisdami automatinio atnaujinimo mechanizmo veikimą galutinio kliento kompiuteriuose, mums reikia šiek tiek kitokio faktinių šakninių sertifikatų rinkinio vaizdavimo. Jį galite gauti naudodami tą pačią programą. Certutil, bet su kitokiu raktų rinkiniu.

Mūsų pavyzdyje kaip vietinį platinimo šaltinį naudosime failų serveryje esantį bendrinamą tinklo aplanką. Ir čia svarbu atkreipti dėmesį į tai, kad rengiant tokį aplanką būtina apriboti prieigą prie rašymo, kad neatsitiktų taip, jog kas nors galėtų pakeisti šakninių sertifikatų rinkinį, kuris vėliau bus „išsiliejęs“ į kelis kompiuteriai.

Certutil-syncWithWU -f -f \\ FILE-SERVER \ SHARE \ RootCAupd \ GPO-Deployment \

Raktai -f -f naudojami priversti atnaujinti visus failus paskirties kataloge.

Vykdant komandą, mūsų nurodytame tinklo aplanke bus rodomas failų rinkinys, kurio bendras dydis yra apie pusę megabaito:

Pagal anksčiau minėtą straipsnius , failų tikslas yra toks:

  • Failas authrootstl.cab Yra trečiųjų šalių sertifikatų patikimumo sąrašai;
  • Failas disallowedcertstl.cab yra patikimų sertifikatų su nepatikimais sertifikatais sąrašas;
  • Failas disallowedcert.sst Yra serijinių sertifikatų saugykla, įskaitant nepatikimus sertifikatus;
  • Failai su tokiais pavadinimais kaip nykščio atspaudas.crt yra trečiųjų šalių šakniniai sertifikatai.

Taigi, failai, reikalingi automatinio atnaujinimo mechanizmui veikti, buvo gauti, o dabar pereiname prie paties šio mechanizmo veikimo schemos keitimo. Tam, kaip visada, mums padeda domenų grupių politika. „Active Directory“ (GPO), nors galite naudoti ir kitus centralizuotus valdymo įrankius, viskas, ką turime padaryti visuose kompiuteriuose, yra pakeisti arba tiksliau pridėti tik vieną registro parametrą RootDirURL filiale HKLM \ Software \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate, kuris nustatys kelią į mūsų tinklo katalogą, į kurį anksčiau įdėjome pagrindinio sertifikato failų rinkinį.

Kalbant apie GPO nustatymą, dar kartą galite atlikti įvairias parinktis, kad atliktumėte užduotį. Pavyzdžiui, yra „senosios mokyklos“ parinktis, kuriant savo grupės strategijos šabloną, kaip aprašyta jau žinomame straipsnis ... Norėdami tai padaryti, sukurkite GPO administravimo šablono formato failą ( ADM), pavyzdžiui, pavadintas RootCAUpdateLocalPath.adm ir turinys:

KLASĖ MAŠINOS KATEGORIJA !! SystemCertificates KEYNAME " Programinė įranga \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate"POLITIKA !! RootDirURL EXPLAIN! CTL failai. "SystemCertificates =" Windows AutoUpdate Settings "

Nukopijuokite šį failą į% SystemRoot% \ inf katalogo domeno valdiklį (paprastai tai yra katalogas C: \ Windows \ inf). Po to eikime į domenų grupės politikos redaktorių ir sukurkite atskirą naują politiką, tada atidarykite ją redaguoti. Skyriuje Kompiuterio konfigūracija > Administravimo šablonai ... atidarykite kontekstinį meniu ir pasirinkite naujo politikos šablono prisijungimo tašką Pridėti / pašalinti šablonus

Atsidariusiame lange naudodami naršymo mygtuką pasirinkite anksčiau pridėtą failą % SystemRoot% \ inf \ RootCAUpdateLocalPath.adm, o šablonui pasirodžius sąraše, spustelėkite Uždaryti.

Po atlikto veiksmo skyriuje Konfigūracija > Administraciniai šablonai > Klasikiniai administraciniai šablonai (ADM) pasirodys grupė „Windows“ automatinio atnaujinimo nustatymai, kuriame bus pasiekiamas vienintelis parametras URL adresas, kuris turi būti naudojamas vietoj numatytojo ctldl.windowsupdate.com

Atidarykite šį parametrą ir įveskite vietinio šaltinio kelią, kuriame radome anksčiau atsisiųstus naujinimo failus, formatu http: // server1 / aplankas arba failas: // \\ server1 \ aplankas,
pavyzdžiui failas: // \\ FILE-SERVER SHARE \ RootCAupd \ GPO-Deployment

Išsaugokime pakeitimus ir pritaikykime sukurtą politiką domeno talpykloje, kurioje yra tiksliniai kompiuteriai. Tačiau šis GPO nustatymo metodas turi nemažai trūkumų, todėl jį pavadinau „senąja mokykla“.

Kitas, modernesnis ir pažangesnis klientų registro nustatymo būdas yra naudoti Grupės politikos nuostatos (GPP). Naudodami šią parinktį, grupės politikos skyriuje galime sukurti atitinkamą ŽVP objektą Kompiuterio konfigūracija > Nuostatos > Registras su parametrų atnaujinimu ( Veiksmas: Atnaujinti) registrą RootDirURL(vertės tipas REG_SZ)

Jei reikia, galime įgalinti lankstų taikymo mechanizmą sukurtam ŽVP parametrui (Žyma Dažni> Parinktis Taikymas pagal prekės lygį) konkrečiam kompiuteriui ar kompiuterių grupei, kad būtų galima iš anksto patikrinti, ką galiausiai gauname pritaikę grupės politiką.

Žinoma, jums reikia pasirinkti vieną variantą, arba prijungti savo ADM-modelis arba naudojant GPP.

Konfigūravę grupės politiką bet kuriame eksperimentiniame kliento kompiuteryje, atnaujinsime naujinį naudodami komandą gpupdate / force su vėlesniu perkrovimu. Įkėlę sistemą, patikrinkite registrą, ar nėra sukurto rakto, ir pabandykite patikrinti, ar pagrindinė sertifikatų saugykla buvo atnaujinta. Norėdami patikrinti, naudosime paprastą, bet veiksmingą pavyzdį, aprašytą pastaboje.Patikimos šaknys ir neleidžiami sertifikatai .

Pavyzdžiui, pažiūrėkime, ar kompiuterio sertifikatų saugykloje, kuri buvo naudojama išduodant sertifikatą, yra šakninis sertifikatas, kuris yra įdiegtas svetainėje, pavadintoje buypass.no (bet mes neiname į pačią svetainę :)).

Tai patogiausia padaryti padedant „PowerShell“:

„Get-ChildItem“ sertifikatas: \ localmachine \ root | Kur ($ _ .friendlyname -like " * Buypass *")

Labai tikėtina, kad neturėsime tokio pagrindinio sertifikato. Jei taip, tada atidarykite Internet Explorer ir nurodykite URL https://buypass.no ... Ir jei automatiškai sukonfigūruotas šakninių sertifikatų atnaujinimo mechanizmas veikia sėkmingai, tada „Windows“ įvykių žurnale Taikymas tada įvykis su šaltiniu ( Šaltinis) CAPI2, nurodant sėkmingą naujo šakninio sertifikato įkėlimą:

Žurnalo pavadinimas: programa
Gyvybę teikiančios Trejybės šventykla ant purvo prie Pokrovskajos vartų Ankstesnis įrašas

Gyvybę teikiančios Trejybės šventykla ant purvo prie Pokrovskajos vartų

Novo-Jekaterininskajos Jekaterininskajos ligoninė Kitas įrašas

Novo-Jekaterininskajos Jekaterininskajos ligoninė

Kategorijos
Paskutinės pastabos
Puslapiai

2021 m. Šeimos teisė. Dokumentai. Paveldėjimas. Skyrybos - lilians.ru