Sertifikati, naudojami naudojant "Kontur Extern" sistem, gali pridodati arba pašalinti naudojant konsolę mmc iš šių saugyklų:
- Kiti vartotojai(reguliavimo institucijų sertifikatų saugykla)
- Patikimos pagrindinės sertifikavimo institucijos ir Tarpinės sertifikavimo institucijos(sertifikatų parduotuvės Sertifikavimo centras).
Kako biste potvrdili da ove aplikacije podržavaju vaš naučni program "Crypto Pro".
Norėdami paleisti konsolę, turite atlikti šiuos veiksmus:
1. Pasirinkite meniu Pradėti/ Vykdyti(arba klaviatūroje vienu metu paspauskite klavišus Win + R.).
2. Nurodykite komandą mmc ir paspauskite mygtuką Gerai.
3. Pasirinkite meniu Failas/ Pridružite se arba pašalinkite papildinį(žr. 1 pav.).
Ryžiai. 1. Konsolės langas
4.Is sąrašo pasirinkite papildinį Sertifikatai ir spustelėkite mygtuką Papildyti(žr. 2 pav.).
Ryžiai. 2. Įtraukimas
5. Atsidariusiame lange nustatykite radijo mygtuką Mano vartotojo abonementas ir paspauskite mygtuką Paruošta(žr. 3 pav.).
Ryžiai. 3. Sertifikato tvarkyklės papildinys
6.Is dešiniojo sąrašo pasirinkite pridėtą papildinį ir spustelėkite mygtuką Gerai(žr. 4 pav.).
Ryžiai. 4. Pridėto įrenginio pasirinkimas
Sertifikatų diegimas
1. Atidarykite reikiamą saugyklą (pavyzdžiui, patikimos šakninio sertifikavimo institucijos). Norėdami tai padaryti, atidarykite filialą Sertifikati - dabartinis vartotojas / patikimos pagrindinės sertifikatimo institutios / sertifikatai(žr. 5 pav.).
Ryžiai. 5. Konsolės langas
2. Pasirinkite meni Veiksmas/ Visos užduotys / Importuoti(žr. 6 pav.).
Ryžiai. 6. Meni "Visos užduotys / importavimas"
3. Atsidariusiame lange spustelėkite mygtuką Toliau.
4. Tada spustelėkite mygtuką Apžvalga ir nurodykite importuojamą sertifikat failą (šakniniai sertifikatai Sertifikavimo centras galima atsisiųsti iš svetainės Sertifikavimo centras, reguliranim institucionalnim sertifikatima u sustavu "Kontur-Extern" svetainėje). Pasirinkę sertifikatą, spustelėkite mygtuką Atviras(žr. 7 pav.), tada mygtuku Toliau.
Ryžiai. 7. Importuojamo sertifikato pasirinkimas
5. Kitame lange spustelėkite mygtuką Toliau(norima saugykla pasirenkama automatiškai). Žr. aštuoni.
Ryžiai. 8. Sandėliavimo pasirinkimas
6. Paspauskite mygtuką Paruošta importui užbaigti (žr. 9 pav.).
Ryžiai. 9. Sertifikato importo užbaigimas
Sertifikatų pašalinimas
Norėdami pašalinti sertifikatus naudodami konsolę mmc(pvz., iš kitų vartotojų saugyklos), turite atlikti šiuos veiksmus:
Išplėskite šaką Sertifikati - dabartinis vartotojas / kiti vartotojai / sertifikatai... Provjerite dostupnost sertifikata autobusa za rodomi dešinije Lango Dalyje. Kiti vartotojai... Pažymėkite reikiamą sertifikatą, dešiniuoju pelės mygtuku spustelėkite jį ir pasirinkite Ištrinti(žr. 10 pav.).
Ryžiai. 10. Konsolės langas
Nordedamski sertifikati za napajanje, priključeni USB priključci sa elektronskim parametrima, atidarirani i sertifikati za sertifikate
1. Į patikimus šaknų centrus įdiekite pagrindinės sertifikavimo institucijos sertifikatą, nes jums reikia:
1.1. Dukart spustelėkite vadovo CA sertifikat - greška „Head sertifikavimo institucija.cer“.
1.2. Atsidariusioje formoje turite spustelėti mygtuką „Įdiegti sertifikatą ...“. 
1.3. Pasirinkite „Įdėti visus sertifikatus į kitą parduotuvę“ (pažymėkite varnelę prieš etiketę) i spustelėkite mygtuką „Naršyti“. 
1.4. Atsidariusiame sąraše pasirinkite "Patikimos pagrindinės sertifikavimo institucijos" i spustelėkite "Gerai". 
2.Įdiekite asmeninį sertifikatą
Asmeninio sertifikato diegimas atliekamas naudojant programą "CryptoPro" CSP
2.1. U paleti programa "CryptoPro CSP" (sa "Pradėti" -> "CryptoPro CSP" ili "Pradėti" -> "Visos programi" -> CRYPTO -PRO -> "CryptoPro CSP"). 
2.2. Atsidariusiame lange pasirinkite skirtuką "Paslauga" ir spustelėkite "Įdiegti" asmens pažymėjimas…». 
2.3. Atsidariusiame lange spustelėkite mygtuką „Naršyti“, USB atmintinėje pasirinkite organizacija sertifikata - antrąjį failą su potpuni „certiniu“ (ne CA sertifikati neuspješni (pavyzdyje - „adicom.cer“)) ili „Kit spustelk“. 
2.4. Atsidariusioje formoje spustelėkite "Kitas" 
2.5. Atsidariusioje formoje turite pažymėti žymimąjį laukelį „Rasti konteinerį automatiškai“. Od autobus do autobusnog prijevoza "Raktinio konteinerio pavadinimas" i spustelėkite "Kitas" 
2.6. Atsidariusioje formoje spustelėkite "Kitas" 
2.7. Atsidariusioje formoje spustelėkite "Baigti" 
Vijetnamski vartotojo mašinoje įdiegta viskas, kas reikalinga kartai Elektroninis parašas Programinė įranga - galite pasirašyti spausdintas formas.
3. Dodajte stranicu "CryptoPro proširenje za Cades Browser" papildinį
Norėdami įdiegti naršyklės plėtinį (podedovano) „CryptoPro Extension for Cades“ preslikavanje papildinį, naršyklėje atidarykite plėtinių parduotuvę i iškokite plėtini Yandex stranica „Cades“ / Naršyklės nuoroda -
Jei bandant užmegzti ryšį su žiniatinklio kabinetu atidaromas naršyklės saugos langas (1 pav.), Turite pridėti Maskvos biržos „moex.cer“ šakninis sertifikatiį patikimų sertifikatų sąrašą.
1 pav. Naršyklės saugos langas
Tam reikia:
- įveskite į paieškos laukelį "Windows" ne uspijeva pavadinimas certmgr.msc(2 pav.). Tada kairiuoju pelės mygtuku spustelėkite rastą failą. Dėl to atsidarys sertifikato sistemos katalogas (3 pav.);
2 pav. Paieškos sistemos katalogų paieška 3 pav. Sertifikatų sistemos katalozi - eikite į skyrių Sertifikataišoninis meniu (4 pav.). Tada dešiniuoju pelės mygtuku spustelėkite aplanką Sertifikatai ir atidarytame kontekstiniame meni pasirinkite elementą Visos užduotys → Uvoz(5 pav.).
4 paveikslas - patikimi katalogai 5 paveikslas - sertifikato importasDėl to jis bus atidarytas Sertifikato importavimo vedlys(6 pav.), Kuriame reikia paspausti mygtuką Toliau pereiti prie pažymėjimo failo pasirinkimo moex.cer(7 pav.);
6 pav. Sertifikato importavimo vedlys 7 paveikslas. Importuoto failo pasirinkimo dialogo langas - paspauskite mygtuką Apžvalga(žr. 7, 1 pav.) ir pasirinkite Maskvos biržos „moex.cer“ šakninis sertifikati. Dėl to lauke Failo pavadinimas autobus parodytas kelias į šį failą (žr. 7.2 pav.). Tada paspauskite mygtuką Toliau(žr. 7.3 pav.);
- paspauskite mygtuką Toliau dialogo lange Sertifikatų parduotuvė nekeičiant numatytųjų parametrų (8 pav.), tada - mygtukas Paruošta baigti importuoti sertifikatą (9 pav.).
8 paveikslas - sertifikat saugykla 9 paveikslas - uvoz užbaigimas
Kai importavimas bus baigtas, bus atidarytas saugos langas "Windows" (10 pav.). Patikrinkite rakto piršto atspaudą. Jo numeris turi sutapti su paveiksle (10.1) nurodytu skaičiumi. Jei duomenys sutampa, spustelėkite Taip(10,2 pav.).
10 pav. Saugos langas"Windows"
Dėl to bus atidarytas pranešimas apie sėkmingą importavimą. Maskvos biržos sertifikatas moex.cerį patikimų sertifikatų sąrašą (11 pav.), kuriame turėtumėte spustelėti Gerai.
11 pav. Importavimo užbaigimas
Savarankiškai pasirašytų sertifikatų diegimas yra labai dažna sistemos administratoriaus užduotis. Paprastai tai daroma rankiniu būdu, bet jeii mašinų yra daugiau nei keliolika? O daryti i naukom įdiegiant sistema per arkant nauk j kompjuter, bez sertifikata gali buti ne vienas. Rašyti priminimo lovytes? Kodėl, kai yra daug paprastesnis ir patogesnis būdas - "Active Directory" grupės strategija. Kai sukonfigūravote politiką, nebereikia jaudintis, kad vartotojai turės reikiamus sertifikatus.
Šiandien pažvelgsime į sertifikatų paskirstymą naudodami pavyzdį šaknies sertifikatas Zimbra, į kurią eksportavome. Dodatne informacije o autobuskim tokijama - automatizirane i platirane sertifikacije visiems kompjutera, įtrauktiems į skyrių (OU) - Biuras... Tai leis jums neįdiegti sertifikato ten, kur jo nereikia: šiaurėje, sandėlio ir kasos darbo vietose ir kt.
Atidarykime papildinį ir sudarykime naują politiką sudėtiniame rodinyje Grupės politikos objektai, norėdami tai padaryti, dešiniuoju pelės mygtuku spustelėkite konteinerį ir pasirinkite Sukurti... Politika leidžia vienu metu įdiegti ir vieną, ir kelis sertifikatus, ką daryti, priklauso nuo jūsų, tačiau mes norime kiekvienam sertifikatui sukurti savo politiką, tai leidžia lanksčiau keisų jų Taip pat turėtumėte pavadinti politiką draugišku pavadinimu, kad atidarius konsolę po šešių mėnesių nereikėtų skausmingai prisiminti, kam ji skirta.
Tada vilkite politiką į sudėtinį rodinį Biuras, kuris jį pritaikys šiam padaliniui.
Dabar dešiniuoju pelės mygtuku spustelėkite politiką ir pasirinkite Keisti... Atidarytame grupės politikos redaktoriuje mes nuosekliai plečiamės Kompiuterio konfigūracija - "Windows" konfiguracija - Saugos parinktys - Politikai viešasis raktas -. Meniu dešinėje lango pusėje dešiniuoju pelės mygtuku spustelėkite Importuoti ir importuokite sertifikatą.
Politika sukurta, atėjo laikas patikrinti, ar ji taikoma teisingai. Akimirksniu Grupės politikos valdymas pasirinkti Grupės politikos modeliavimas ir paleiskite dešiniuoju pelės klavišu Modeliavimo vedlys.
Daugumą parametri galima palikti numatytuosius, reikia nustatyti tik naudotoją i kompjuter, kurio politik norite patikrinti.
Baigę modeliavimą galime įsitikinti, kad politika sėkmingai pritaikyta nurodytam kompiuteriui, kitaip isplėsime elementą Atmesti objektai ir pregledajte priežastį, kodėl ši politiku nebuvo taikoma šiam naudotojui ar kompiuteriui.
Tada mes patikrinsime politikos veikimą kliento kompiuteryje, todėl mes rankiniu būdu atnaujinsime politiką naudodami komandą:
Gpupdate
Dabar atidarykime sertifikatų parduotuvę. Langviausias būdas tai padaryti yra Internet Explorer : Interneto nustatymai -Turinys -Sertifikatai... Mūsų sertifikatas turi būti konteineryje Patikimos pagrindinės sertifikavimo institucijos.
Kaip matote, viskas veikia ir administratoriui skauda vienu galvos skausmu mažiau, pažymėjimas bus automatiškai išplatintas visuose skyriuje esančiuose kompiuteriuose Biuras... Jei reikia, galite nustatyti daugiau sunkios sąlygos taikant politiką, tačiau tai nepatenka į šio straipsnio taikymo sritį.
su problemi, kad ne budete imali nikakvih programa za programiranje įrangos dėl to, kad patkimų šakninių sertifikatimo institucionalnu sertifikaciju saugykla nėra atnaujinama tiksliniuose kompjuterijuose “kompjuterijuose”, kuritemu operaiuose “kompjuteri Ovdje možete pronaći sve što je u vašoj želji da pošaljete paket rootupd.exe galima rasti straipsnyje KB931125 kuris buvo susijęs su OS Windows XP... Dabar ši OS visiškai pašalinta iš "Microsoft" palaikymo, ir tikriausiai todėl šio KB straipsnio nebėra "Microsoft" svetainėje. Prie visokom to galime pridodati fakt, kad net i tuo metu sprendimas diegiant sertifikaciju paketa, kuris tuo metu jau buvo pasenęs, nebuvo pats optimaliausias, nes nuo tada buvo naudojamos sistemis OS "Windows Vista" ir Windows 7 jau dalyvavo naujas mechanizmas automatinis atnaujinimas"TrustedRootCA" sertifikovana parduotuvėje. Čia yra vienas iš senų "Windows Vista" straipsnių, kuriuose aprašomi kai kurie tokio mechanizmo veikimo aspektai -Sertifikati paikymas i dėl to gaunamas interneto na sistemski sistem "Windows Vista" . Neseniai susidūriau su pradine problem - vėl teko atnaujinti "TrustedRootCA" sertifikatų saugyklą daugelyje "Windows" klijentų kompiuterių i serverių. Ako koristite kompjutere, ne morate da povezujete podatke na internet, da automatizujete sertifikate za automatsko i mehaničko održavanje, ali da ih ne koristite. Galimybė atidaryti linksioginę prieigą prie interneto za vizualizaciju kompjutera, net i tam tikrais adresa, i pradžių buvo laikoma kraštutinumu, o priimtinesnio sprendimo paieška atvedė mane prie straipsnioKonfigūruokite patikimus šaknis ir neleistinus sertifikatus(RU ), kuris iškart atsakė į visus mano klausimus. Na, apskritai, remdamasis šiuo straipsniu, Šiame straipsnyje trumpai apibūdinsiu konkrečiu pavyzdžiu, kaip Galite centralizuotai konfigūruoti "Windows Vista" IR naujesniuose kompiuteriuose būtent si "TrustedRootCA" sertifikatų saugyklos automatinio atnaujinimo mechanizmą, kad jis galėtų būti naudojamas Kaip Šaltinis atnaujina pretraživanje datoteka bendrinimą Arba svetainę vietiniame įmonių tinkle.Pirmiausia reikia atkreipti dėmesį į tai, kad parametras, blokuojantis automatinio atnaujinimo mechanizmo veikimą, neturėtų būti įjungtas kompjuteriuose taikomose grupės strategijo. Šis parametris Išjunkite automatin šaknies sertifikat atnaujinimą Skyriuje Kompiuterio konfigūracija > Administraciniai šablonai > Sistema > Interneto komunikacijos valdymas > Interneto ryšio nustatymai... Mums reikia šio parametro Išjungtas arba tiesiog Nesukonfigūruota.
Pažvelkite į „TrustedRootCA“ sertifikatų parduotuvę Vietinis kompiuteris , tada sistemose, neturinčiose linksioginės prieigos prie interneto, sertifikat rinkinys bus toks mažas:
Si Faila patogu naudoti, pavyzdžiui, kai je viso turimų sertifikatų pogrupio reikia pasirinkti tik tam tikra rinkinį ir įkelti juos į atskirą SST Faila, kad būtų Galima toliau įkelti, pavyzdžiui, naudojant vietinę sertifikatų Management KONSOLE Arba naudojant grupės strategijos Management pultą (norint importuoti į tam tikrą ar domeno politiką po parametrima Kompiuterio konfigūracija > Politika > "Windows" nustatymai > Apsaugos Nustatymai > Viešojo rakto politika > Patikimos pagrindinės sertifikavimo institucijos).
Tačiau norėdami platinti mus dominančius šakninių sertifikatų metodą, pakeisdami automatinio atnaujinimo mechanizmo veikimą galutinio klijento compiuteriuose, mums reikia šiek tiek kitokio faktinių imataųinių sertifinio Jį galite gauti naudodami tą pačią programą. Certutil, bet su kitokiu raktų rinkiniu.
Mūsų pavyzdyje kaip vietinį platinimo šaltinį naudosime failų serveryje esantį bendrinamą tinklo aplanką. Ir čia svarbu atkreipti dėmesį į tai, kad rengiant tokį aplanką būtina apriboti prieigą prie rašymo, kad neatsitiktų taip, jog kas nors galėtų pakeisti šakninių sertifikatų rinksomi vi
Certutil-syncWithWU -f -f \\ FILE-SERVER \ SHARE \ RootCAupd \ GPO-Deployment \Raktai -f -f naudoami priversti atnaujinti visus neuspješan katalog paskirties.
Započni komandu, moraš nurodytame tinklo aplanke autobus rodomas otkazati rinkinys, kurio bendras dydis yra apie pusę megabaito:
Pagal anksčiau minėtą
straipsnius , failų tikslas yra toks:- Failas authrootstl.cab Yra trečiųjų šalių sertifikatų patikimumo sąrašai;
- Failas disallowedcertstl.cab yra patikimų sertifikatų su nepatikimais sertifikatais sąrašas;
- Failas disallowedcert.sst Yra serijinių sertifikatų saugykla, itaskaitant nepatikimus sertifikatus;
- Failai su tokiais pavadinimais kaip nykščio atspaudas.crt yra trečiųjų šalių šakniniai sertifikatai.
Taigi, failai, reikalingi automatinio atnaujinimo mechanizmui veikti, buvo gauti, o dabar pereiname prie paties šio mechanizmo veikimo schemos keitimo. Tam, kaip visada, mums padeda domenų grupių politika. "Aktivni direktorij" (GPO), nors galite naudoti i kitus centralisuotus valdymo įrankius, viskas, ką turime padaryti visuose kompjuter, yra paketisti arba tiksliau pridodajte ti registracione parametre RootDirURL filiale HKLM \ Software \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate, kuris nustatys kelią į mūsų tinklo katalogą, į kurį anksčiau įdėjome pagrindinio sertifikato failų rinkinį.
Ne možete koristiti GPO nustatym, ako želite da uključite i ažurirate parkinz, ili ako se pridružite. Pavyzdžiui, yra "senosios mokyklos" parinktis, kuriant savo grupės strategijos šabloną, kaip aprašyta jau žinomame
straipsnis ... Norėdami tai padaryti, sukurkite GPO administravimo šablono formata failą ( ADM), pavyzdžiui, pavadintas RootCAUpdateLocalPath.adm ir turinys: KLASĖ MAŠINOS KATEGORIJA !! Sistemski certifikati KEYNAME " Programinė įranga \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate"POLITIKA !! RootDirURL EXPLAIN! CTL failai." SystemCertificates = "Postavke automatskog ažuriranja Windows"Neuspešno kopirajte u% SystemRoot% \ inf u domenu valjanog kataloga (pogledajte ovaj katalog kao C: \ Windows \ inf). Po to eikime į domenų grupės politikos redaktorių ir sukurkite atskirą naują politiką, tada atidarykite ją redaguoti. Skyriuje Kompiuterio konfigūracija > Administravimo šablonai ... atidarykite kontekstinį meniu i pasirinkite naujo politikos šablono prisijungimo tašką Pridodati / pašalinti šablonus
Atsidariusiame lange naudodami naršymo mygtuką pasirinkite anksčiau pridėtą failą % SystemRoot% \ inf \ RootCAUpdateLocalPath.adm, o šablonui pasirodžius sąraše, spustelėkite Uždaryti.
Po atlikto veiksmo skyriuje Konfigūracija > Administraciniai šablonai > Klasikiniai administraraciniai šablonai (ADM) pasirodys grupė "Windows" automatinio atnaujinimo nustatymai, kuriame bus pasiekiamas vienintelis parametras URL adresa, kuris turi buti naudojamas vietoj numatytojo ctldl.windowsupdate.com
Atidarykite parametri parametara i ažuriranje vijesti šaltin kelią, kuriame radome anksčiau atsisiųstus naujinimo failus, forma http: // server1 / aplankas arba failas: // \\ server1 \ aplankas,
pavyzdžiui failas: // \\ FILE-SERVER SHARE \ RootCAupd \ GPO-Deployment
Issaugokime paketi i pritaikykime sukurtą politiką domeno talpykloje, kurioje i tiksliniai kompjuteri. Ovo je GPO -ov nustatymo metodas turi nemazai trūkumų, todėl jį pavadinau "senąja mokykla".
Kitas, modernesnis i pažangesnis klientų registro nustatymo būdas yra naudoti Grupės politikos nuostatos (GPP). Naudodami šią parinkt, grupės politikos skyriuje galime sukurti atitinkamą ŽVP objektą Kompiuterio konfigūracija > Nuostatos > Registras su parametrų atnaujinimu ( Veiksmas: Atnaujinti) registrą RootDirURL(vertės tipas REG_SZ)
Jei reikia, galime įgalinti lankstų taikymo mechanizmą sukurtam ŽVP parametrui (Žyma Dažni> Parinktis Taikymas pagal prekės lygį) konkretni kompjuteri u kompjuterskim grupama, kad se galima i anksto pacijent, ili galiausiai gauname pritaikę grupės politiką.
Žinoma, jums reikia pasirinkti vieną variantą, arba prijungti savo ADM-modelis arba naudojant GPP.
Konfiguravę grupės politiką bet kuriame eksperimentiniame kliento compiuteryje, atnaujinsime naujin naudodami komandos gpupdate / force su vėlesniu perkrovimu. Įkėlę sistemą, registracija pacijentinkinka, ar nėra sukurto rakto, ir pabandykite patikrinti, ar pagrindinė sertifikat saugykla buvo atnaujinta. Norėdami patikrinti, naudosime paprastą, bet veiksmingą pavyzdį, aprašytą pastaboje.
Patikimos šaknys ir neleidžiami sertifikatai .Pavyzdžiui, pažiūrėkime, ar kompjuterio sertifikati saugykloje, kuri buvo naudojama išduodant sertifikatą, yra šakninis sertifikati, kuris yra įdiegtas svetainėje.
Tai patogiausia padaryti padedant "PowerShell":
"Get-ChildItem" sertifikati: \ localmachine \ root | Kur ($ _ .prijateljsko ime " * Buypass *")Labai tikėtina, kad neturėsime tokio pagrindinio sertifikato. Jei taip, tada atidarykite Internet Explorer ir nurodykite URL https://buypass.no ... Ir jei automatiškai sukonfigūruotas šakninių sertifikatų atnaujinimo mechanizmas veikia sėkmingai, tada „Windows“ įvykių žurnale Taikymas tada įvykis su šaltiniu ( Šaltinis) CAPI2, nurodant sėkmingą naujo šakninio sertifikato įkėlimą:
Žurnalo pavadinimas: program
