Если установить данный корневой сертификат то windows автоматически

Обновлено: 07.07.2024

Перед выполнением этой процедуры необходимо настроить шаблон сертификата сервера с помощью оснастки "Шаблоны сертификатов" консоли управления (MMC) в центре сертификации, где выполняется AD CS. членство в группах "администраторы Enterprise " и "администраторы домена корневого домена" является минимальным требованием для выполнения этой процедуры.

Настройка автоматической регистрации сертификата сервера

на компьютере, где установлен AD DS, откройте Windows PowerShell®, введите mmcи нажмите клавишу ввод. Откроется консоль управления (MMC).

В меню Файл выберите Добавить или удалить оснастку. Откроется диалоговое окно Добавление или удаление оснасток .

В окне Доступные оснасткипрокрутите вниз до и дважды щелкните редактор "Управление групповыми политиками". Откроется диалоговое окно Выбор объекта Групповая политика .

В Групповая политика объектнажмите кнопку Обзор. Откроется диалоговое окно " Поиск объекта Групповая политика ".

В области домены, подразделения и связанные групповая политика объекты выберите Политика домена по умолчанию, а затем нажмите кнопку ОК.

Дважды щелкните Политика домена по умолчанию. в консоли разверните следующий путь: конфигурация компьютера, политики, Windows Параметры, безопасность Параметрыи политики открытого ключа.

Щелкните политики открытого ключа. На панели подробностей дважды щелкните параметр Клиент службы сертификации: автоматическая регистрация. Откроется диалоговое окно Свойства. Настройте следующие элементы и нажмите кнопку ОК.

В окне Модель конфигурации выберите параметр Включено.
Установите флажок обновлять сертификаты с истекшим сроком действия, обновить отложенные сертификаты и удалить отозванные сертификаты .
Установите флажок Обновлять сертификаты, использующие шаблоны сертификатов.

Настройка автоматической регистрации сертификата пользователя

Дважды щелкните Политика домена по умолчанию. в консоли разверните следующий путь: конфигурация пользователя, политики, Windows Параметры, Параметры безопасности.

Корневой сертификат — это файл, в котором указаны данные удостоверяющего центра (УЦ). Например, название УЦ, его ИНН и адрес, срок действия сертификата, какой алгоритм шифрования использует УЦ.

К этим данным обращается криптопровайдер, когда проверяет действительность электронной подписи пользователя. Если не установить корневой сертификат на компьютер, где используется электронная подпись, то подпись не будет работать корректно.

Чтобы быстро установить корневой сертификат и настроить компьютер, используйте бесплатный сервис Контур.Веб-диск. Он скачает все плагины и файлы, необходимые для правильной работы электронной подписи.

Удостоверяющий центр использует корневой сертификат, чтобы:

выдавать сертификаты электронной подписи (ЭП, она же ЭЦП) пользователям, например, гендиректору организации или нотариусу,
отзывать эти сертификаты, подписывая корневым сертификатом список отозванных (аннулированных) сертификатов.

Какие бывают корневые сертификаты и для чего нужны

Корневой сертификат участвует в «цепочке доверия». «Цепочка доверия» — это взаимосвязь нескольких сертификатов, которая позволяет проверить, действительна ли электронная подпись и можно ли доверять сертификату ЭП.

Рассмотрим «цепочку доверия», сформированную для квалифицированного сертификата электронной подписи:

1. Корневой сертификат Минцифры РФ (ранее — Минкомсвязь РФ).

Это верхнее звено «цепочки доверия». Минцифры РФ осуществляет функции головного удостоверяющего центра в России. Оно наделяет другие удостоверяющие центры, прошедшие аккредитацию, правом выдавать квалифицированные сертификаты ЭП — выдает им собственные сертификаты, подписанные корневым сертификатом Минцифры РФ.

Например, в Windows корневой сертификат можно найти через «Управление сертификатами» — «Доверенные корневые центры сертификации» — «Сертификаты».

2. Сертификат удостоверяющего центра. Официально его называют «промежуточный сертификат», но распространено также название «корневой сертификат УЦ».

Среднее звено «цепочки доверия». УЦ получает этот сертификат от Минцифры РФ, когда становится аккредитованным. С помощью своего промежуточного сертификата УЦ выдает квалифицированные сертификаты пользователям: организациям, их сотрудникам, простым физлицам (п.2.1 ст.15 63-ФЗ).

В Windows промежуточный сертификат хранится в «Управление сертификатами» — «Промежуточные центры сертификации» — «Сертификаты».

3. Личный сертификат пользователя — квалифицированный сертификат электронной подписи.

Конечное звено «цепочки». Пользователь обращается в УЦ и получает там квалифицированный сертификат ЭП (он же КЭП, ЭП или ЭЦП). В его сертификате указаны данные «вышестоящих» сертификатов — УЦ и Минцифры.

В Windows личный сертификат можно найти через «Управление сертификатами» — «Личное».

Все сертификаты должны быть установлены в хранилище сертификатов (на компьютер) и действительны. Только тогда криптопровайдер сможет проверить доверие к сертификату пользователя и действительность электронной подписи, сформированной на основе этого сертификата.

«Путь сертификации» в составе сертификата показывает цепочку доверия: корневой сертификат, промежуточный и личный сертификат пользователя. Установить сертификаты можно с помощью сервиса от УЦ Контур или браузера-обозревателя.

Выше мы описали «цепочку доверия» для квалифицированных сертификатов. Поскольку такие сертификаты могут выдавать только аккредитованные УЦ, то в цепочке три звена: Минцифры — аккредитованный УЦ — пользователь. Именно такую связь можно увидеть, если открыть личный сертификат пользователя на вкладке «Путь сертификации» (см. скриншот выше).

Для неквалифицированных сертификатов ЭП «цепочка доверия» может состоять только из двух звеньев: УЦ — пользователь. Это возможно потому, что УЦ для выдачи неквалифицированных сертификатов не нужна аккредитация. Звенья такой «цепочки» будут называться: «корневой сертификат» и «пользовательский (личный) сертификат»

Где взять корневой сертификат

Все сертификаты УЦ Контура можно скачать на сайте удостоверяющего центра в разделе «Корневые сертификаты». Там представлены сертификаты для всех удостоверяющих центров, входящих в группу компаний СКБ Контур: СКБ Контур, «Сертум-Про», «ЦИБ‑Сервис» и РСЦ «Инфо‑Бухгалтер».

Программа установки всех сертификатов импортирует корневой сертификат Минцифры и промежуточные сертификаты УЦ. Подключение к интернету на момент установки не требуется.

Можно ли установить электронную подпись без корневого сертификата

Да, можно, но работать она не будет. Корневой и промежуточный сертификат является тем ключом, к которому обращается криптопровайдер при проверке подлинности подписи. Для признания ключа действительным в системе должен быть установлен корневой сертификат. В противном случае пользователь увидит окно с уведомлением об ошибке.

Это актуально как для ЭП, хранящейся на компьютере, так и для ЭП на токене, с небольшой разницей:

при работе с ЭП на компьютере, корневой сертификат устанавливается один раз, обычно при первой установке ЭП,
если ЭП хранится на токене, то корневой сертификат необходимо устанавливать на тот компьютер, с которым предстоит работать.

Какая информация содержится в корневом сертификате

Корневой сертификат представляет собой файл, который содержит свойства и данные:

серийный номер,
сведения об УЦ,
сведения о владельце сертификата,
сроки его действия,
используемые алгоритмы
открытый ключ электронной подписи,
используемые средства УЦ и средства электронной подписи,
класс средств ЭП,
ссылка на сертификат «вышестоящего» УЦ, который выдал данный сертификат (для промежуточного сертификата),
ссылка на реестр аннулированных (отозванных) сертификатов (для промежуточного сертификата),
электронную подпись УЦ, выдавшего сертификат.

Какой срок действия корневого сертификата удостоверяющего центра

Корневой сертификат УЦ Минцифры действует 18 лет. Промежуточный сертификат аккредитованного УЦ действует 15 лет — это дольше, чем действие любого пользовательского сертификата ЭП, который такой УЦ выдаст клиенту. Пользовательские сертификаты выдаются обычно на 12, 15 месяцев.

УЦ сам следит за сроками действия своих промежуточных и корневых сертификатов, чтобы не доставить неудобств клиентам. УЦ Контура обновляет сертификаты в среднем раз в год — это необходимо, чтобы соблюдать требования эксплуатационной документации к срокам ключей электронной подписи на сертифицированные средства УЦ и ЭП. Обновление происходит незаметно для пользователей и не влияет на их работу.

Инструкция по установке корневого сертификата удостоверяющего центра

Для начала работы с электронной подписью необходимо установить корневые и промежуточные сертификаты УЦ. У клиентов УЦ Контура установка обычно происходит автоматически — во время автонастройки компьютера. Ниже мы опишем и автоматический, и ручной способ.

Автоматическая установка — наиболее простой и быстрый способ, который не требует специальных знаний и навыков от вас:

Откройте любой удобный браузер, это может быть Google Chrome, Mozilla Firefox, Internet Explorer или другой.
Зайдите в сервис автоматической настройки рабочего места Контур.Веб-диск.
Действуйте по указаниям сервиса: он продиагностирует ваш компьютер, найдет каких плагинов и файлов не хватает, предложит их установить. Вместе с ними установит необходимые корневые и промежуточные сертификаты.

Установка вручную — более долгий вариант, который пригодится техническим специалистам для решения ошибок с корневым сертификатом. Для него нужно самостоятельно выбрать и скачать сертификаты с сайта УЦ Контура.

Если возникли ошибки — при установке корневого сертификата или при работе с электронной подписью — обратитесь в нашу техподдержку. Специалисты помогут разобраться в проблеме. Звоните на 8 800 500-05-08 или пишите по контактам Центра поддержки, указанным в правом нижнем углу страницы.

Windows 10 имеет встроенные сертификаты и автоматически обновляет их. Однако вы все равно можете вручную добавить дополнительные корневые сертификаты в Windows 10 из центров сертификации (ЦС). Существует множество органов по выдаче сертификатов, среди которых наиболее известны Comodo и Symantec.

Как добавить корневые сертификаты Windows 10 вручную?

Установить сертификаты из доверенных ЦС
Установите сертификаты с помощью консоли управления Microsoft

Способ 1. Установите сертификаты из доверенных ЦС

Вот как вы можете добавить цифровые сертификаты в Windows 10 из доверенных центров сертификации.

Способ 2. Установите сертификаты с помощью консоли управления Microsoft

Вы также можете добавить цифровые сертификаты в Windows с помощью консоли управления Microsoft. Нажмите клавишу Win + R и введите «mmc» в «Выполнить», чтобы открыть окно ниже.
Нажмите Файл , а затем выберите Добавить/удалить оснастки , чтобы открыть окно на снимке экрана ниже.
Затем выберите Сертификаты и нажмите кнопку Добавить .
Откроется окно оснастки «Сертификаты», в котором можно выбрать Учетная запись компьютера >Локальная учетная запись и нажать кнопку Готово , чтобы закрыть окно.
Затем нажмите кнопку ОК в окне «Добавить или удалить оснастку».
Теперь вы можете выбрать Сертификаты и щелкнуть правой кнопкой мыши Доверенные корневые центры сертификации в окне консоли MMC, как показано ниже.
Затем нажмите Все задачи >Импорт , чтобы открыть окно мастера импорта сертификатов, из которого можно добавить цифровой сертификат в Windows.

Теперь вы установили новый доверенный корневой сертификат в Windows 10. Таким же образом вы можете добавить еще много цифровых сертификатов для этой ОС и других платформ Windows. Просто убедитесь, что сторонние цифровые сертификаты поступают от доверенных центров сертификации, таких как GoDaddy, DigiCert, Comodo, GlobalSign, Entrust и Symantec.

Примечание редактора . Этот пост был первоначально опубликован в апреле 2017 года и с тех пор был полностью переработан и обновлен для обеспечения свежести, точности и полноты.

Актуальные системы семейства Windows, подключенные к Интернету, могут автоматически обновлять корневые сертификаты. В противном случае, обновление необходимо выполнять вручную. Если это не делать, мы можем столкнуться с рядом проблем:

Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживания компанией Microsoft (Windows XP, 7, а также Server 2003, 2008).

Обновление сертификатов

Обновление доверенных корневых сертификатов выполняется во время обновления операционной системы. Если последнее включено, то нашего участия не требуется, иначе, можно установить обновление вручную. Пример такого пакета — KB931125.

Однако, если операционная система устарела, разработчик прекращает выпуск обновлений, и мы не можем воспользоваться средствами обновления системы. В таком случае, необходимо сделать выгрузку корневых сертификатов на актуальной системе и перенести их на устаревший.

Получение актуальных сертификатов

Для начала, выгрузим сертификаты на компьютере с актуальной версией Windows (10) и подключением к сети Интернет.

Создадим каталог, в который будет выгружен файл с корневыми сертификатами, например, C:\CA (папка CA на диске C).

Открываем командную строку от администратора и вводим команду:

certutil.exe -generateSSTFromWU C:\CA\roots.sst

* где C:\CA — каталог, который мы создали; roots.sst — файл, в который будут выгружены сертификаты.
* если мы получили ошибку Не удается найти указанный файл. 0x80070002, то необходимо убедиться, что каталог CA создан (в нашем примере в корне диска С).

В папке C:\CA мы должны увидеть файл roots.sst.

Установка/обновление корневых сертификатов

Полученный на предыдущем этапе файл переносим на компьютер, где необходимо обновить доверенные корневые сертификаты, например, также в папку C:\CA. Скачиваем утилиту rootsupd и распаковываем ее в этот же каталог.

Открываем командную строку от администратора и вводим команду:

C:\CA\rootsupd.exe /c /t:C:\CA

* где C:\CA — папка, в которую мы перенесли корневые сертификаты.

В появившемся окне Roots Update:

. выбираем No, чтобы не переписывать наш файл roots.sst.

В папке C:\CA должны появится новые файлы, в том числе, утилита updroots. Вводим теперь команду:

Корневые сертификаты - это сертификаты открытых ключей, которые помогают вашему браузеру определить, является ли общение с веб-сайтом подлинным, и основано на том, является ли орган, выдавший лицензию, доверенным, и сохраняется ли цифровой сертификат.

Существует множество органов по выдаче сертификатов, среди которых наиболее известны Comodo и Symantec.

Как я могу добавить корневые сертификаты Windows 10 вручную?

Установить сертификаты из доверенных ЦС
Установите сертификаты с помощью консоли управления Microsoft

Способ 1. Установите сертификаты из доверенных ЦС

Вот как вы можете добавить цифровые сертификаты в Windows 10 из доверенных центров сертификации.

Большинство пользователей Windows 10 понятия не имеют, как редактировать групповую политику. Узнайте, как вы можете сделать это, прочитав эту простую статью.

Способ 2. Установите сертификаты с помощью консоли управления Microsoft

Вы также можете добавить цифровые сертификаты в Windows с помощью консоли управления Microsoft. Нажмите клавишу Win + R и введите «mmc» в «Выполнить», чтобы открыть окно ниже.

Если Microsoft Management Console не может создать новый документ, выполните простые шаги в этом руководстве, чтобы решить эту проблему.

Просто убедитесь, что сторонние цифровые сертификаты поступают от доверенных центров сертификации, таких как GoDaddy, DigiCert, Comodo, GlobalSign, Entrust и Symantec.

Если у вас есть еще предложения или вопросы, оставьте их в разделе комментариев ниже, и мы обязательно их проверим.

Вот как вы можете настроить Windows песочницу [простые шаги]

Чтобы настроить файл конфигурации WSB, пользователям необходимо открыть текстовый редактор. Пользователям необходимо добавить два тега конфигурации внизу и вверху файла WSB.

Если вы перепробовали все, что могли, но просто не смогли установить драйверы на свой ПК с Windows 10, вот 5 решений для решения этой проблемы. Что я могу сделать, если драйверы Windows 10 не будут установлены? 1. Запустите средство устранения неполадок оборудования и устройств. Если вы не можете установить драйверы в Windows 10, запустите оборудование и устройства .

Как установить fortnite на неподдерживаемые версии ОС [простые шаги]

Если вы хотите установить Fortnite на неподдерживаемые версии ОС, сначала обновите аппаратное обеспечение своего ПК, а затем установите 64-разрядный раздел на свой диск.

Читайте также: