Sertifikatus, kurie naudojami veikiant Kontur Extern sistemai, galima pridėti arba ištrinti naudojant konsolę mmc iš šių saugyklų:
- Կիթի վարտոջայ(կարգավորող ինստիտուտ)
- Patikimos šakninės sertifikavimo institucijosԻր Տարպինես ԿԱ(սերտիֆիկացում parduotuvės Սերտիֆիկատիվ կենտրոններ).
Asmeninių Sertifikatų diegimas atliekamas tik naudojant Crypto Pro ծրագիրը:
Norėdami paleisti konsolę, turite atlikti šiuos veiksmus:
1. Պասիրինկիտե մենյու Պրադետի/ Վիկդիտի(arba klaviatūroje vienu metu paspauskite klavišus Win+R).
2. Nurodykite komandą mmc ir paspauskite mygtuką Գերայ.
3. Պասիրինկիտե մենյու Անհաջողություն/ Pridėti arba pašalinti papildinį(ժր. 1 պավ.).
Ռիժայ. 1. Կոնսոլես լանգաս
4. Pasirinkite įrangą iš sąrašo Ատեստատ ir spustelėkite mygtuką Պապիլդիտի(ժր. 2 պավ.).
Ռիժայ. 2. Įrangos pridėjimas
5. Atsidariusiame lange nustatykite jungiklį մանո sąskaitąՎարտոջաս ir paspauskite mygtuką Պարուոստա(ժր. 3 պավ.).
Ռիժայ. 3. Sertifikatų tvarkyklės papildinys
6. Dešinėje esančiame sąraše pasirinkite pridėtą įrangą ir spustelėkite mygtuką Գերայ(ժր. 4 պավ.).
Ռիժայ. 4. Papildomos įrangos pasirinkimas
Սերտիֆիկատներ դիեգիմաս
1. Atidarykite reikiamą saugyklą (pavyzdžiui, «Վստահելի արմատային հավաստագրման մարմիններ»): Norėdami tai padaryti, atidarykite siūlą Sertifikatai – esamas naudotojas / patikimos šakninės sertifikavimo institucijos / sertifikatai(ժր. 5 պավ.).
Ռիժայ. 5. Կոնսոլես լանգաս
2. Պասինկիտե մենյու Վեյկսմաս/ Visos užduotys / Importuoti(ժր. 6 պավ.).
Ռիժայ. 6. Meniu «Visos užduotys / Importuoti»
3. Atsidariusiame lange spustelėkite mygtuką Տոլիաու.
4. Tada spustelėkite mygtuką Ապժվալգա ir nurodykite importuotiną sertifikato failą (šakniniai sertifikatai Սերտիֆիկատիվ կենտրոններ galima atsisiųsti iš svetainės Սերտիֆիկատիվ կենտրոններ, reguliavimo institucijų sertifikatai yra Kontur-Extern sistemos svetainėje): Pasirinkę sertifikatą, turite spustelėti mygtuką Ատվիրաս(žr. 7 pav.), tada spustelėkite mygtuką Տոլիաու.
Ռիժայ. 7. Importuojamo sertifikato pasirinkimas
5. Kitame lange reikia spustelėti mygtuką Տոլիաու(reikiama saugykla parenkama automatiškai): Ժր. պավ. 8.
Ռիժայ. 8. Սանդելիավիմո պասիրինկիմաս
6. Paspauskite mygtuką Պարուոստա kad užbaigtumėte importavimą (žr. 9 pav.).
Ռիժայ. 9. Sertifikato importo užbaigimas
Sertifikatų pašalinimas
Norėdami pašalinti sertifikatus naudodami konsolê mmc(pavyzdžiui, iš kitų naudotojų saugyklos), turite atlikti šiuos veiksmus:
Išplėskite siūlą Sertifikatai – esamas vartotojas / Kiti vartotojai / Sertifikatai. Visi parduotuvėje įdiegti sertifikatai bus rodomi dešinėje lango pusėje. Կիթի վարտոջայ. Pasirinkite reikiamą sertifikatą, spustelėkite jį dešiniuoju pelės mygtuku ir pasirinkite Իշտրինտի(ժր. 10 պավ.)։
Ռիժայ. 10. Կոնսոլես լանգաս
Norėdami įdiegti sertifikatus, turite prijungti USB atmintinę su elektroniniu parašu, ją atidaryti ir įdiegti sertifikatus
1. Įdiekite pagrindinės sertifikavimo institucijos sertifikatą patikimose šakninėse institucijose. Tam jums reikia:
1.1. Dukart spustelėkite pagrindinės CA sertifikatą - ձախողվել է «Head Certification Authority.cer»:
1.2. Atsidariusioje formoje spustelėkite mygtuką «Įdiegti sertifikatą...»։ 
1.3. Pasirinkite «Padėkite visus sertifikatus kitoje parduotuvėje» (pažymėkite langelį prieš užrašą) ir spustelėkite mygtuką «Naršyti»։ 
1.4. Atsidariusiame sąraše pasirinkite «Patikimos šakninės sertifikavimo institucijos» ir spustelėkite mygtuką «Gerai»: 
2. Įdiekite asmeninį pažymėjimą
Asmeninio sertifikato įdiegimas atliekamas naudojant programą CryptoPro CSP
2.1. Համոզվեք, որ CryptoPro CSP ծրագիրն է (նախատեսված է CryptoPro CSP -> CryptoPro CSP կամ Start mygtukas -> Visos programos -> CRYPTO-PRO -> CryptoPro CSP): 
2.2. Atsidariusiame lange pasirinkite skirtuką «Paslauga» ir spustelėkite mygtuką «Įdiegti». asmeninis pažymėjimas…». 
2.3. Atsidariusiame lange turite spustelėti mygtuką «Naršyti», «flash drive» pasirinkti organizacijos sertifikatą - 2-ąjį failą su plėtiniu «cer» (ne CA sertifikato failą (pavyzdyje - «adicom.uk)». 
2.4. Atsidariusioje formoje spustelėkite «Kitas» 
2.5. Atsidariusioje formoje spustelėkite žymimąjį laukelį «Rasti konteinerį automatiškai»: Ավտոբուսից գնացեք «Rakto konteinerio pavadinimas» կամ «Kitas»-ը: 
2.6. Atsidariusioje formoje spustelėkite «Kitas» 
2.7. Atsidariusioje formoje spustelėkite «Baigti» 
Viskas ko reikia generavimui Էլեկտրոնային պարազաներ Programinė įranga – galite pasirašyti spausdintas forms.
3. Մուտքագրեք CryptoPro Extension for Cades Browser Plug-in naršyklėje
Norėdami įdiegti naršyklės plėtinį (priedą) CryptoPro Extension for Cades Browser Plugin-ի համար, plėtinių parduotuvę savo naršyklėje ir ieškokite plėtinių naudodami žodaser Yandex.
Jei bandant užmegzti ryšį su žiniatinklio paskyra atsidaro naršyklės saugos langas (1 pav.), turite pridėti. Maskvos biržos šakninis sertifikatas moex.cerį sąrašą patikimi sertifikatai.
1 պավ. – naršyklės saugos langas
Noredami tai padariti, jums reikia:
- įveskite į paieškos laukelį Windows failo pavadinimas certmgr.msc(2 պավ.): Tada kairiuoju pelės mygtuku spustelėkite rastą failą. Dėl to atsidarys sertifikatų sistemos katalogas (3 pav.);
2 պավ. – sistemos sertifikatų katalogo paieška 3 պավ. – համակարգերի սերտիֆիկատներ կատալոգներ - eiti į skyrių Ատեստատšoninis meniu (4 պավ.): Թադա dešiniuoju pelės mygtuku spustelėkite aplanką Ատեստատ ir atsidariusiame kontekstiniame meniu pasirinkite elementą Visos užduotys → Importuoti(5 պավ.):
4 պավ. – Patimi katalogai 5 պավ. - հավաստագրված ներմուծումներDėl to jis atsidarys Սերտիֆիկատներ ներմուծման մասին(6 pav.), kuriame turėtumėte paspausti mygtuką Տոլիաու norėdami pasirinkti sertifikato failą moex.cer(7 պավ.);
6 պավ. – վկայական ներմուծման համար 7 պավ. – dialogo langas importuoto failo pasirinkimui - Paspausk mygtuką Ապժվալգա(ժր. 7 պավ., 1) իր պասիրինկիտե Maskvos biržos moex.cer šakninis sertifikatas.Դել լաքե Failo pavadinimas Bus rodomas kelias iki šio failo (žr. 7.2 pav.): Tada turėtumėte paspausti mygtuką Տոլիաու(ժր. 7.3 պավ.);
- Paspausk mygtuką Տոլիաուերկխոսության լեզու Sertifikatų parduotuvė, nekeisdami numatytųjų parametrų (8 pav.), tada spustelėkite mygtuką Պարուոստա sertifikato importui užbaigti (9 pav.).
8 պավ. – sertifikatų saugykla 9 pav. – ներմուծել բայգտաներ
Kai importavimas bus baigtas, atsidarys saugos langas. «Պատուհաններ» (10 տող.): Patikrinkite rakto piršto atspaudą. Jo numeris turi atitikti skaičių, nurodytą paveikslėlyje (10.1): Jei duomenys sutampa, spustelėkite Տաիպ(10.2 պավ.):
10 պավ. – ապսաուգոս լանգաս Windows
Dėl to atsidarys pranešimas apie sėkmingą importavimą. Maskvos biržos sertifikatas moex.cerį patikimų sertifikatų sąrašą (11 pav.), kuriame turėtumėte spustelėti mygtuką Գերայ.
11 պավ. – ներմուծել օգտատերեր
Savarankiškai pasirašytų sertifikatų įdiegimas yra labai dažna sistemos administratoriaus užduotis. Paprastai tai daroma rankiniu būdu, bet ką daryti, jei mašinų yra dešimtys? O ką daryti perinstaliuojant sistemą ar perkant naują PC, nes sertifikatų gali būti ne vienas: Ի՞նչ նախապայմաններ են խաբել: Kodėl, kai yra daug paprastesnis ir patogesnis būdas – ActiveDirectory խմբի քաղաքականությունը: Sukonfigūravę politiką, jums nebereikės jaudintis, ar vartotojai turi reikiamus sertifikatus։
Šiandien mes apžvelgsime sertifikatų paskirstymą naudodami pavyzdį šakninis վկայական Zimbra, kurią eksportavome į . Mūsų užduotis ավտոբուս tokiu budu- automatiškai platinti sertifikatą visiems kompiuteriams, įtrauktiems į organizacinį vienetą (OU) - Բյուրաս. Tai leis neįdiegti sertifikato ten, kur jo nereikia: šiaurėje, sandėlio ir kasos darbo vietose ir pan.
Atidarykime papildinį ir konteineryje sukurkime naują politiką Grupės politikos objektai, norėdami tai padaryti, dešiniuoju pelės mygtuku spustelėkite konteinerį ir pasirinkite Սուկուրտի. Politika leidžia vienu metu įdiegti vieną ar kelis sertifikatus, ką daryti, bet mes norime sukurti savo politiką kiekvienam sertifikatui, tai leidžia lanksčiau keisti jų naudojimo taisykles. Taip pat turėtumėte aiškiai pavadinti politiką, kad atidarius konsolê po šešių mėnesių nereikėtų skausmingai prisiminti, kam ji skirta.
Tada vilkite politiką į sudėtinį rodinį Բյուրաս, kuri leis jį pritaikyti šiam įrenginiui.
Dabar dešiniuoju pelės mygtuku spustelėkite politiką ir pasirinkite Քեյստի. Atsidariusiame grupės strategijos rengyklėje mes nuosekliai plečiame Kompiuterio կոնֆիգուրացիա - «Windows» կոնֆիգուրացիա - Ապսաուգոս Նուստատիմայ - Քաղաքականություն viešasis raktas - . Dešinėje lango dalyje dešiniuoju pelės mygtuku esančiame meniu pasirinkite Importuoti ir importuoti sertifikatą.
Politika sukurta, dabar Pats laikas patikrinti, ar ji tinkamai taikoma. Գրեյթայ Grupės politikos valdymas renkamės Grupės politikos modeliavimas ir paleiskite dešiniuoju pelės klavišu Modeliavimo vedlys.
Daugumą nustatymų galima palikti kaip numatytuosius, tereikia nurodyti vartotoją ir kompiuterį, kurio politiką norite patikrinti.
Atlikę modeliavimą, galime patikrinti, ar politika sėkmingai pritaikyta nurodytam kompiuteriui kitaip išplėsti տարր Միեւնույն ժամանակ ir pažiūrėkite, kodėl politika nebuvo taikoma konkrečiam vartotojui ar kompiuteriui.
Tada patikrinsime politikos veikimą kliento asmeniniame kompiuteryje, atnaujinsime politiką rankiniu būdu su komanda:
Gupdate
Dabar atidarykime sertifikatų parduotuvę. Lengviausias būdas tai padaryti yra per Internet Explorer : interneto nustatymai -թուրինցիներ -Ատեստատ. Taroje turi būti mūsų sertifikatas Patikimos šakninės sertifikavimo institucijos.
Kaip matote viskas veikia ir administratorei vienu galvos galva mažiau, pažyma bus automatiškai išdalinta į visus skyriuje esančius kompiuterius Բյուրաս. Jei reikia, galite nurodyti daugiau sunkiomis sąlygomis politikos taikymo, tačiau tai nepatenka į šio straipsnio taikymo sritį.
su problema, kai neįmanoma tinkamai įdiegti programinės įrangos dėl to, kad patikimų šakninių sertifikavimo institucijų sertifikatų saugykla nėra atnaujinama tiksliniuose pariuteriuose, kur այն TrustedRootCA): Tuo metu problema buvo išspręsta įdiegus paketą rootsupd.exe, galima rasti straipsnyje KB931125, kuris buvo susijęs su OS Windows XP. Այս OS-ն այցելում է «Microsoft»-ը, ինչպես նաև բացվում է «Microsoft»-ը, իսկ KB-ն ունի «Microsoft»-ը: Prie viso to galima pridurti, kad net tuo metu sprendimas diegti tuo metu jau pasenusį sertifikatų paketą nebuvo pats optimaliaausias, nes tuo metu sistemos su OS Windows VistaԻր Windows 7, քուրիամե ջաու բուվաու naujas mechanizmas TrustedRootCA-ի ավտոմատ մատյանները մատնանշում են ավտոմատ կերպով: Štai vienas iš senų straipsnių apie «Windows Vista», kuriame aprašomi kai kurie tokio mechanizmo veikimo aspektai –Sertifikatų palaikymas ir su tuo susijęs interneto ryšys sistemoje «Windows Vista»: . Neseniai vėl susidūriau su pradine problema, kai reikia atnaujinti «TrustedRootCA» սերտիֆիկացված է «Windows» էջերի հաճախորդին և սերվերին: Visi šie kompiuteriai neturi tiesioginės prieigos prie interneto, todėl automatinis sertifikato atnaujinimo mechanizmas neatlieka savo užduoties taip, kaip norima. Galimybė atverti tiesioginę prieigą prie interneto visiems kompiuteriams, net ir tam tikrais adresais, iš pradžių buvo laikoma kraštutiniu variantu, o priimtinesnio sprendimo paieška privedė prie straipsnio.Sukonfigūruokite patikimas šaknis ir neleidžiamus sertifikatus(RU ), kuris iš karto atsakė į visus mano klausimus. Na, apskritai, remdamasis šiuo straipsniu, šioje pastaboje trumpai apibūdinsiu. konkretus pavyzdys kaip galite centralizuotai perkonfigūruoti į Windows համակարգիչ«Vista» ir naujesnės versijos turi tą patį automatinio «TrustedRootCA» սերտիֆիկացում saugyklos atnaujinimo mechanizmą, kad kaip naujinimo šaltinis naudotų failo išteklius arba svetainęmonėsíme:Pirmiausia reikia atkreipti dėmesį į tai, kad kompiuteriams taikomose grupes strategijose parametras, blokuojantis automatinio atnaujinimo mechanizmo veikimą, neturėtų būti įjungtas: Tai yra պարամետրեր Išjunkite automatinį šakninių sertifikatų atnaujinimą Skyriuje Kompiuterio կոնֆիգուրացիա > Վարչական կառավարման > Սիստեմա > Ինտերնետ հաղորդակցություն valdymas > Interneto ryšio nustatymai. Մայրիկները, ինչպես նաև պարամետրերը Իշջունգթաս arba tiesiog Նեսուկոնֆիգուրուոտաս.
Jei pažvelgsite į TrustedRootCA sertifikatų saugyklą pagal Վիետինիս կոմպյուտերիս , tada sistemose, kurios neturi tiesioginės prieigos prie interneto, sertifikatų rinkinys bus, sakykime, mažas:
Šį failą patogu naudoti, pavyzdžiui, kai reikia pasirinkti tik tam tikrą rinkinį iš viso galimų sertifikatų poaibio ir įkelti juos į atskirą SST failą, kad būtūtų patoguatų ų valdymo pultą arba naudojant Grupės strategijos valdymo konsolė (skirta importuoti į tam tikrą arba domeno politiką naudojant parametrą Kompiuterio կոնֆիգուրացիա > քաղաքականություն > «Windows» nustatymai > Ապսաուգոս Նուստատիմայ > Viešojo rakto politika > Patikimos šakninės sertifikavimo institucijos).
Tačiau mus dominančiam šakninių sertifikatų platinimo būdui, modifikuojant automatinio atnaujinimo mechanizmo veikimą galutiniuose klientų kompiuteriuose, mums reikės šiek tiek kitokio dabartiniųštiakio. Jį galite gauti naudodami tą patį įrankį Սերտուտիլ, bet su kitokiu raktų rinkiniu.
Mūsų pavyzdyje bendras tinklo aplankas failų serveryje bus naudojamas kaip vietinis platinimo šaltinis. Ir čia svarbu atkreipti dėmesį į tai, kad ruošiant tokį aplanką būtina apriboti rašymo prieigą, kad neatsitiktų taip, kad kas nors galėtų modifikuoti šakniųriskėskin ugelį kompiuteriai.
Սերտուտիլ-syncWithWU -f -f \\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment\Ռակտայ -f -f naudojami priverstinai atnaujinti visus paskirties katalogo failus.
Vykdydami komandą, mūsų nurodytame tinklo aplanke atsiras daug failų, kurių bendras tūris yra maždaug pusė megabaito:
Pagal anksčiau minėtą
straipsnius , failų paskirtis yra tokia:- Անհաջողություն authrootstl.cab yra trečiųjų šalių sertifikatų patikimumo sąrašai;
- Անհաջողություն disallowedcertstl.cab yra sertifikatų patikimumo sąrašas su nepatikimais sertifikatais;
- Անհաջողություն disallowedcert.sst yra serijinių sertifikatų, įskaitant nepatikimus sertifikatus, saugykla;
- Failai su pavadinimais kaip nykščio atspaudas.crt turi trečiųjų šalių šakninius sertifikatus.
Taigi, gauti failai, reikalingi automatinio atnaujinimo mechanizmo veikimui, ir dabar pereiname prie paties šio mechanizmo veikimo schemos pakeitimų įgyvendinimo: Tam, kaip visada, moms padeda domenų grupių politika. Active Directory (GPO), nors galite naudoti kitus centralizuoto valdymo įrankius, visuose kompiuteriuose mums tereikia pakeisti arba, tiksliau sakant, pridėti tik vieną registro parametrą. RootDirURL siūle HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate, kuris nustatys kelią į mūsų tinklo katalogą, kuriame anksčiau įdėjome šakninių sertifikatų failų rinkinį.
Kalbant apie GPO nustatymą, užduočiai atlikti vėl galite naudoti skirtingas parinktis. Pavyzdžiui, yra «senosios mokyklos» parinktis su savo grupės strategijos šablono kūrimu, nes tai aprašyta jau pažįstamame.
straipsnis . Նորվեդամի այբբենարան, ձախողված GPO ադմինիստրատիվ ձևաչափով ( A.D.M.), pavyzdžiui, su pavadinimu RootCAUpdateLocalPath.adm ir turiniu: KLASĖ MAŠINOS KATEGORIJA !!Sistemos sertifikatai KEYNAME " Ծրագրաշար\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" POLITIKA !!RootDirURL PAAIŠKINIMAS !!RootDirURL_help ՄԱՍ !!RootDirURL EDITTEXT VALUENAME "RootDirURL " END DALIS PABAIGOS POLITIKOS PABAIGOS KATEGORIJA RootDurL="būldridates FILEP" HTTPEnirURL_help naudoti kaip CTL failų atsisiuntimo vietą." SystemCertificates="Windows automatinio atnaujinimo nustatymai"Չափազանց ձախողում է տիրույթը, որը պարունակում է %SystemRoot%\inf կատալոգ (paprastai C:\Windows\inf kataloge): Po to eikime į domenų grupės strategijos rengyklę ir sukurkite atskirą naują politiką, tada atidarykite ją redaguoti. Սկիրյուջե Kompiuterio կոնֆիգուրացիա > Վարչական աշաբլոնային… atidarykite kontekstinį meniu ir pasirinkite parinktį prijungti naują politikos šabloną Pridėti / pašalinti šablonus
Atsidariusiame lange naršymo mygtuku pasirinkite anksčiau pridėtą failą %SystemRoot%\inf\RootCAUpdateLocalPath.adm, o šablonui pasirodžius sąraše spustelėkite Ուժդարիտի.
Atlikę veiksmą skyriuje Կոնֆիգուրացիա > Վարչական կառավարման > Դասակարգային վարչարարություն (A.D.M.) pasirodys grupė «Windows» ավտոմատ մատնանշված է, kuriame bus galimas vienintelis parametras URL-ի հասցեները, ավտոբուսի մուտքը ctldl.windowsupdate.com
,
Պավիզջյուի file://\\FILE-SERVER\SHARE\RootCAupd\GPO-տեղակայում
Išsaugokime atliktus pakeitimus ir pritaikykime sukurtą politiką domeno konteineriui, kuriame yra tiksliniai kompiuteriai. Tačiau svarstomas GPO nustatymo būdas turi nemažai trūkumų, todėl aš jį pavadinau «senosios mokyklos» մեթոդու.
Kitas, modernesnis ir pažangesnis klientų registro nustatymo būdas yra naudoti Grupės strategijos nuostatos (ŽVP) Naudodami šią parinktį galime sukurti atitinkamą GPP օբյեկտների խմբերի ռազմավարությունների skiltyje Kompiuterio կոնֆիգուրացիա > Պարինկտիս > Գրանցամատյաններըստ պարամետրերի ( Վեյկսմաս: Ատնաուջինտի) գրանցվել RootDirURL(վերթերի տիպաս REG_SZ)
Jei reikia, galime įjungti lankstų nukreipimo mechanizmą sukurtam GPP parametrui (Tab Դաժնաս> Պարինկտիս Taikymas elemento lygiu) konkrečiame kompiuteryje arba kompiuterių grupėje, kad iš anksto patikrintume, ką galiausiai gausime pritaikę grupės politiką.
Žinoma, reikia pasirinkti vieną variantą arba prijungti savo A.D.M.-šablonas arba naudojimas ŽVP.
Nustačius grupės politiką bet kuriame eksperimentiniame kliento kompiuteryje, mes atnaujinsime naudodami komandą gpupdate /force po kurio seka perkrovimas. Paleidę sistemą, patikrinkite, ar registre nėra sukurto rakto, ir pabandykite patikrinti, ar šakninio sertifikato saugykla buvo atnaujinta: Norėdami patikrinti, naudosime paprastą, bet veiksmingą pastaboje aprašytą pavyzdį.
Patikimos šaknys ir neleidžiami sertifikatai .Pavyzdžiui, pažiūrėkime, ar kompiuterio sertifikatų saugykloje yra šakninis sertifikatas, naudojamas sertifikatui išduoti, kuris yra įdiegtas svetainėje pavadinimu buypass.no (bet įiname :)
Patogiausia tai padaryti įrankių pagalba PowerShell:
Get-ChildItem սերտիֆիկատներ:\localmachine\root | Kur ($_ .friendname-like « *Buypass*» )Su didele tikimybe tokio šakninio sertifikato neturėsime. Jei taip, atidarysime Internet Explorer ir pasiekti URL https://buypass.no . Ir jei mechanizmas, kurį sukonfigūravome automatiškai atnaujinti šakninius sertifikatus, veikia sėkmingai, tada «Windows» įvykių žurnale Տայկիմաįvykis su šaltiniu ( Շալտինիս) CAPI2, nurodant, kad naujas šakninis sertifikatas buvo sėkmingai atsisiųstas:
Žurnalo pavadinimas: Ծրագրեր
