Не удалось добавить 1 й сертификат в хранилище отказано в доступе линукс

Обновлено: 07.07.2024

В этой статье помогают устранить ошибку, которая возникает при попытке импортировать файл закрытого сертификата ключа безопасного уровня sockets (SSL) (.pfx) в локальный магазин персональных сертификатов компьютера с помощью Microsoft IIS (IIS) Manager.

Оригинальная версия продукта: службы IIS
Исходный номер КБ: 919074

В статье содержатся сведения об изменении реестра. Перед внесением любых изменений в реестр, создайте его резервную копию. и изучить процедуру его восстановления на случай возникновения проблемы. Дополнительные сведения о том, как восстановить, восстановить и изменить реестр, см. в Windows реестра для продвинутых пользователей.

Симптомы

Вы пытаетесь импортировать SSL.pfx-файл в локальный магазин персональных сертификатов компьютера. В этой ситуации может возникнуть один из следующих симптомов, в зависимости от того, как вы пытаетесь импортировать файл .pfx:

Невозможно импортировать файл pfx. Либо вы ввели неправильный пароль для этого файла, либо срок действия сертификата истек.

Произошла внутренняя ошибка. Это может быть либо недоступный профиль пользователя, либо закрытый ключ, который вы импортируете, может потребоваться поставщику криптографических служб, который не установлен в вашей системе.

Причина

Такое поведение происходит, когда одно или несколько из следующих условий являются верными:

У вас недостаточно разрешений для доступа к DriveLetter:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys папке на компьютере.
Существует под ключ сторонних реестров, который не позволяет IIS получить доступ к поставщику криптографических служб.
Вы вошли на компьютер удаленно с помощью сеанса служб терминала. И профиль пользователя не хранится локально на сервере с включенной службой терминалов.

Чтобы устранить это поведение, используйте одно из следующих решений, соответствующее вашей ситуации.

Разрешение 1. Установите правильные разрешения для папки MachineKeys

Если у вас недостаточно разрешений для доступа к папке на компьютере, установите правильные разрешения DriveLetter:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys для папки.

Дополнительные сведения о том, как установить разрешения для папки MachineKeys, см. в дополнительных сведениях о разрешениях по умолчанию для папок MachineKeys.

Разрешение 2. Удаление под ключа сторонних реестров

Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может привести к возникновению серьезных неполадок. Из-за них может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.

Если существует следующий подкай реестра, удалите его:
HKEY_USERS\Default\Software\Microsoft\Cryptography\Providers\Type 001

После удаления этого под ключа реестра IIS может получить доступ к поставщику криптографических служб.

Разрешение 3. Локальное хранение профиля пользователя для сеанса служб терминалов

Если профиль пользователя для сеанса служб терминалов не хранится локально на сервере с включенной службой терминалов, переместим профиль пользователя на сервер, на который включены службы терминалов. Кроме того, используйте профили роуминга.

Как добавить корневой сертификат в доверенные в Linux на уровне системы

Сертификат с расширением .crt можно открыть двойным кликом и просмотреть его содержимое:

Если вы работаете в системе от обычного пользователя (не root), то кнопка «Импортировать» будет недоступна.

Чтобы разблокировать кнопку «Импортировать», выполните следующую команду:

Данный способ может не сработать, поэтому рассмотрим, как добавить доверенные корневые центры сертификации в командной строке.

Суть метода очень проста:

Добавить свой корневой CA сертификат в папку, предназначенную для таких сертификатов.
Запустить программу для обновления общесистемного списка сертификатов.

Пути и команды в разных дистрибутивах Linux чуть различаются.

Просмотреть Subject всех корневых CA сертификатов можно уже знакомой командой:

Для демонстрации я добавлю сертификат с Common Name, включающим «HackWare», тогда для проверки, имеется ли сертификат с таким именем среди корневых CA, я могу использовать команду:

Для добавления своего корневого CA в доверенные в Debian, Kali Linux, Linux Mint, Ubuntu и их производных:

1. Проверьте, существует ли директория /usr/local/share/ca-certificates:

Если её ещё нет, то создайте:

Сертификат должен быть в формате PEM (обычно так и есть) и иметь расширение .crt — если расширение вашего сертификата .pem, то достаточно просто поменять на .crt.

2. Скопируйте ваш сертификат командой вида:

3. Запустите следующую команду для обновления общесистемного списка:

Проверим наличие нашего CA сертификата среди доверенных:

Сертификат успешно найден:

Чтобы его удалить:

Для добавления своего корневого CA в доверенные в Arch Linux, BlackArch и их производных:

1. Выполните команду вида:

2. Обновите общесистемный список доверенных CA:

Чтобы удалить этот сертификат:

Добавление сертификатов в базу данных NSS

Некоторые приложения используют базу данных NSS, и у вас может быть необходимость добавить доверенные CA в неё.

Последующие изменения повлияют только на приложения, использующие базу данных NSS и учитывающие файл /etc/pki/nssdb.

1. Сначала создайте структуру каталогов для системных файлов базы данных NSS:

Затем создайте новый набор файлов базы данных. Пароль нужен для того, чтобы базу данных могли редактировать только люди, которые его знают. Если все пользователи в системе (и с доступом к резервным копиям) заслуживают доверия, этот пароль можно оставить пустым.

2. Убедитесь, что файлы базы данных доступны для чтения всем:

Примечание: вышеприведённые инструкции применимы только в том случае, если пока не существует общесистемного набора файлов базы данных NSS. Если он уже существует, то важно знать пароль для этого набора баз данных (конечно, если он защищён паролем).

3. Теперь, когда доступны файлы базы данных NSS, добавьте сертификат в хранилище следующим образом:

Биты доверия, используемые в приведённом выше примере, помечают сертификат как надёжный для подписи сертификатов, используемых для связи SSL/TLS. Имя (указывается после опции -n), используемое в команде, можно выбрать любое, но убедитесь, что его легко отличить от других сертификатов в магазине.

Аналогичные инструкции можно использовать для включения сертификата только в базу данных NSS конкретного пользователя:

Удаление из файлов базы данных NSS

Чтобы удалить сертификат из любой базы данных NSS, используйте команду certutil следующим образом. В этом примере используется общесистемное расположение базы данных NSS, но его можно легко изменить на пользовательское

Как добавить корневой сертификат в доверенные в Linux в веб браузеры

Chrome, Chromium, Firefox и созданные на их основе веб браузеры доверяют корневым сертификатам, установленным на уровне системы. То есть вам достаточно добавить в доверенные CA сертификат как это показано в предыдущем разделе.

Причём эти браузеры хотя и используют NSS, они игнорируют общесистемные сертификаты NSS, которые можно добавить в файл /etc/pki/nssdb!

Тем не менее приложения, которые используют NSS (такие как Firefox, Thunderbird, Chromium, Chrome) хранят свои списки доверенных сертификатов в файлах cert9.db. Чтобы добавить свой сертификат в каждый из этих файлов можно использовать скрипт.

Сохранить следующий код в файл CAtoCert9.sh:

В этом файле измените значение certfile на имя файла вашего сертификата и значение certname на имя вашего сертификата, сохраните и закройте файл.

Затем запустите его следующим образом:

В результате в домашней папке пользователя будут найдены все файлы cert9.db и в каждый из них будет добавлен указанный CA сертификат.

Вы можете добавить CA сертификаты в графическом интерфейсе каждого браузера.

В настройках Chrome: Конфиденциальность и безопасность → Безопасность → Настроить сертификаты → Центры сертификации
В настройках Chromium: Конфиденциальность и безопасность (выбрать «Ещё») → Настроить сертификаты → Центры сертификации

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

В настройках Firefox: Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».

От корневых сертификатов в системе может зависеть правильная работа при обращении к ресурсам, которые работают по зашифрованному каналу связи. Если данные сертификаты устареют, мы можем столкнуться с рядом проблем:

Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживания.

Установка из репозитория

Самый простой способ, который нужно попробовать, установить сертификаты из официального репозитория системы. В зависимости от ее типа, наши команды будут немного отличаться.

а) для систем на базе DEB (Debian, Ubuntu, Mint):

apt install ca-certificates

б) для систем на базе RPM (Rocky Linux, CentOS):

yum install ca-certificates

Если нам повезет и в репозитории будут обновленные корневые центры, наша работа закончена. Иначе, устанавливаем сертификаты вручную.

Загрузка пакета с сертификатами

Установка из репозитория может не дать нужного эффекта, если в нем находятся не самые свежие сертификаты или наша система сильно устарела или не имеет выхода в Интернет.

Полученный пакет устанавливаем в системе:

dpkg -i ca-certificates_*_all.deb

И обновляем корневые сертификаты:

Установка вручную

доброго времени суток,хочу поставить себе SRWare iron, скачал iron-linux.tar.gz и не получается установить его, тем более в комплекте нет файла помощи! поиски по инету практически ничего не дали, максимум что у меня получилось, так это переместить iron-linux.tar.gz в opt, а распаковать никак! подскажите пожалуйста как правильно установить браузер, чтоб по всем правилам!

Андрей, учись читать мануалы, это делается так:

Если ты его прочёл, то должен был набрать эти опции: При этом архив распакуется в каталоге, в котором ты находишся.

для новичка по всем правилам либо README от разработчика (в архиве посмотри), либо sudo apt-get install %UBUNTU_PACKAGE_NAME%

tar идёт в комплекте обычно. Без него и gzip/gunzip (или bzip2) в linux делать нечего.

так и делал, а толку, я его и через графическую оболочку распаковывал, а можно его как то установить чтоб было с ярлыком и находилось в приложениях-интернет?

убунту 10.10 32bit

покажи что за файлы в архиве

этого я не умею.

Зачем тебе тогда эта программа? (Изменить меню/Новый элемент/путь_к_бинарнику\название\значок)

Чтобы можно было запускать, нужно чтоб ELF-ник был в одной из директорий в PATH и установлены разрешения на исполнения

сюда выкладывай.
Запусти в консоли или в (Alt+F2) /opt/iron-linux/<какой-то исполняемый файл>
И почитай из архива README или INSTALL
А добавлять в меню будешь сам.

tar xvzf iron-linux.tar.gz

cd iron-linux или как там папка называется

то что выведет ls, меня и интересует

я же говорю файла помощи readme или install нет, а нафиг оно мне? для того чтобы знать как это делается, хотел же чтоб установлена была правильно!

Читайте также: