Идентификация этого компьютера не может быть изменена потому что служба центра сертификации

Обновлено: 30.06.2024

Появление данной надписи обозначает ошибку, делающую невозможным использование сертификата для удостоверения информации. По сути, это является проблемой, требующей оперативного исправления. Понятно, что для этого нужно разобраться, что именно послужило причиной сбоя. Например, ей могут стать неправильные действия криптопровайдера.

Сама надпись появляется при попытке завизировать документацию с помощью квалифицированной электронной подписи. Она дает понять, что сама подпись на данный момент является недействительной. И нужно четко свои действия на этот случай. Их алгоритм и приводится в статье на примере конкретного удостоверяющего центра. Следуя этому алгоритму, вы обнаружите причину сбоя. А дальнейшая информация, помещенная в данном материале, поможет найти и способы решения обнаруженной проблемы. Если есть несколько вариантов решения, то они приводятся полностью. Если вам не подойдет один из них, вы сможете воспользоваться альтернативным способом. Читайте эту статью полностью и узнавайте, как решить данную проблему.

Чтобы воспользоваться квалифицированной электронно-цифровой подписью (далее — КЭЦП, КЭП, ЭЦП), криптопровайдер должен признать сертификат пользователя доверенным, то есть надежным. Это возможно, если правильно выстроена цепочка доверия сертификации, которая состоит из трех звеньев:

сертификат ключа проверки электронной подписи (далее — СЭП, СКПЭП, СКЭП);
промежуточный сертификат (ПС) удостоверяющего центра;
корневой сертификат (КС) от головного центра, то есть от Минкомсвязи.

Искажение хотя бы одного файла приводит к недействительности сертификата, и он не может быть использован для визирования документации. Среди других причин сбоя выделяют неправильную работу криптопровайдера (средства криптозащиты или СКЗИ), несовместимость с браузером и др.

Почему возникает ошибка «Этот сертификат содержит недействительную подпись», и что делать для решения этой проблемы, рассмотрим детально.

Этот сертификат содержит недействительную цифровую подпись : на примере « Тензор»

Открыть меню «Пуск».
Перейти во вкладку «Все программы» → «КриптоПро».
Кликнуть на кнопку «Сертификаты».
Выбрать хранилище: «Личное», «Доверенные корневые центры» или «Промежуточные доверенные центры».
Нажать на выбранный сертификат.
Перейти во вкладку «Путь сертификации».

В поле «Состояние» отображается статус недействительного сертификата , на примере с УЦ «Тензор» это выглядит так:

При корректно настроенном пути сертификации состояние было бы таким:

В разделе «Общие» отображается причина, например, «Этот сертификат не удалось проверить, проследив его до доверенного центра».

Системное оповещение о сбое может возникать по ряду причин:

нарушена цепочка доверия (неверный путь сертификации), поврежден один из сертификатов или все три (шифрованное соединение между браузером клиента и сервером будет недоверенным или вовсе не будет работать);
неправильно установлен криптопровайдер КриптоПро;
неактивны алгоритмы шифрования СКЗИ;
заблокирован доступ к файлам из реестра;
старые версии браузеров;
на ПК установлены неактуальные дата и время и т. д.

Таким образом, ошибка может быть связана непосредственно с сертификатами, криптопровайдером или настройками ПК. Для каждого варианта придется пробовать разные способы решения.

Этот сертификат содержит недействительную цифровую подпись : цепочка доверия от Минкомсвязи до пользователя

Прежде чем разбираться в причинах ошибки, следует понять алгоритм построения цепочки доверия сертификатов (ЦДС) — она обязательна для корректной работы ЭЦП на любых информационных ресурсах.

Как строится путь доверия

Первое звено в иерархической цепочке — корневой сертификат ключа проверки ЭЦП ПАК «Минкомсвязь России». Именно этот госорган, согласно ст. 16 ФЗ № 63 «Об электронной подписи», осуществляет аккредитацию удостоверяющих центров, то есть дает им официальное право заниматься выпуском ЭЦП. Полный перечень таких организаций можно уточнить на официальном портале Минкомсвязи.

Следующее звено — КС удостоверяющего центра (промежуточный). Файл выдается в комплекте с ключами и содержит в себе:

сведения об УЦ с указанием даты его действия;
сервисный интернет-адрес (через который можно связаться с реестром компании).

Эти данные предоставляются в зашифрованном виде и используются криптопровайдером (на ПК пользователя) для проверки подлинности открытого ключа КЭЦП. Теоретически цифровую подпись можно украсть, но применить ее без установленного сертификата УЦ не получится. То есть вся ЦДС построена таким образом, чтобы предотвратить риски использования чужой подписи мошенниками.

СКПЭП — конечное звено в этой цепи. Его выдает удостоверяющий центр вместе с открытым и закрытым ключами. Сертификат предоставляется на бумажном или цифровом носителе и содержит основную информацию о держателе. Он связывает последовательность символов открытого ключа с конкретным лицом. Другими словами, СКПЭП подтверждает тот факт, что открытый ключ ЭП принадлежит определенному человеку.

Головной КС Минкомсвязи действует до 2036 года, а ПС удостоверяющих центров ликвидны в течение 12 месяцев, после чего необходимо скачать (или получить в УЦ) новый и переустановить его на свой ПК. Сертификат КЭЦП тоже действует не более 1 года, по истечении этого срока клиенту требуется получить новый.

Если возникает ошибка «Этот сертификат содержит недействительную цифровую подпись» , причина может быть в повреждении ЦДС от Минкомсвязи России до пользователя. То есть один из элементов в этой цепи искажен или изменен.

Как решить проблему

В первую очередь стоит удостовериться, что КС корректно установлен и действителен. Для этого используется стандартный путь: «Пуск» → «Все программы» → «КриптоПро» → «Сертификаты» → «Доверенные центры сертификации» → «Реестр». В открывшемся списке должен быть документ от ПАК «Минкомсвязь России». Если сертификат отсутствует или он недействителен, его нужно установить, следуя алгоритму:

Открыть загруженный файл на ПК.
Во вкладке «Общие» кликнуть «Установить».
Поставить флажок напротив строчки «Поместить в следующее хранилище».

Выбрать хранилище «Доверенные корневые центры сертификации».

Продолжить установку кнопкой «ОК» и подтвердить согласие в окне «Предупреждение о безопасности».

Файл выдается удостоверяющим центром вместе с другими средствами для формирования ЭЦП. Если он утерян или удален, следует обратиться в УЦ, в котором был получен СКПЭП.

Если КС Минкомсвязи на месте, но в статусе по-прежнему сказано, что он недействителен, удалите его (выбрать файл и нажать «Удалить») и установите заново.

На форуме CryptoPro CSP предлагается еще один вариант решения проблемы. Но работает он не всегда. Если установка документа не помогла, откройте меню «Пуск» и выполните поиск редактора реестра по его названию regedit. В редакторе найдите и вручную удалите следующие ветки:

Не все ветки могут быть в наличии. Удалите те, что есть, предварительно сохранив их резервные копии в отдельный файл. Перезагрузите ПК и проверьте статус СКЭП — он должен стать действительным.

Этот сертификат содержит недействительную цифровую подпись : устранение ошибки на примере казначейства

Самая распространенная причина недействительности сертификата заключается в нарушенных путях сертификации. Причем проблема может быть не только в файле Минкомсвязи, о котором было сказано ранее, но также в промежуточных и личных СКЭП. Рассмотрим эту причину на примере Управления Федерального казначейства (УФК), которое, среди прочего, тоже занимается выдачей КЭЦП.

Этот сертификат содержит недействительную цифровую подпись: изменение, повреждение файла УФК

Функции УЦ выполняются в территориальных органах Росказны по всей России. Для организации аукционов и размещения информации по закупкам для госнужд в интернете муниципальные и госзаказчики должны заверять отчеты ЭП, полученной в УФК.

Если не удается заверить документ ЭП казначейства , и появляется отметка « Этот сертификат содержит недействительную цифровую подпись », предлагается следующий алгоритм действий:

Перейти в папку «Личное».
Выбрать СКЭП, который не работает, и перейти во вкладку «Путь сертификации». В качестве головного УЦ будет указан Минкомсвязи РФ, а промежуточного (подчиненного) — Федеральное казначейство. Нижним звеном в этой цепи будет личный СКЭП держателя.
Если в поле состояния стоит статус недействительности документа, необходимо отследить всю цепочку и выявить «слабое звено».
Вернуться в раздел «Общие», чтобы убедиться, верно ли указаны сведения о компании, выпустившей СКЭП.
Выйти из папки «Личное» и перейти в хранилище «Промежуточные центры сертификации».

Если причина именно в этом звене, на вкладке «Общие» отобразятся сведения: «Этот сертификат не удалось проверить, проследив его до . ». Значит на этом участке обрывается путь.

На завершающем этапе необходимо перейти в папку «Личное», выбрать нужный СЭП и проверить путь сертификации. Если проблема с промежуточным звеном решена, в графе состояния будет стоять «Этот сертификат действителен». Это означает, что система проверила ЦДС для этого ключа и не выявила никаких ошибок.

Истечение срока

При наступлении нового календарного года пользователь должен установить обновленный промежуточный ключ УЦ на каждый компьютер, где используется КЭП. Операционная система выдаст соответствующее упоминание при запуске. Если не выполнить обновление вовремя, при заверке документов тоже будет возникать уведомление о недействительности ключа. Процедура установки аналогична рассмотренной ранее. Предыдущий ПС удалять необязательно, система все равно будет отмечать его как недействительный.

Для импорта обновленных ключей действующий интернет не нужен, файл автоматически проверяется при первом подключении к сети. Такая проверка производится всего один раз за все время действия ключа.

Этот сертификат содержит недействительную цифровую подпись: проблема с отображением в КриптоПро

При такой ошибке одни ресурсы отклоняют СЭП, а другие без проблем взаимодействуют с ним. Возможно, во втором случае информационный ресурс, на котором пользователь подписывает документ, не проверяет путь до головного УЦ. Устранение проблемы в подобном случае осложняется тем, что весь путь доверия построен без нарушений, а ключ значится как действительный. Можно предположить, что сбой связан с криптопровайдером или браузером.

Некорректная работа КриптоПро

Для проверки необходимо открыть КриптоПро CSP и перейти во вкладку «Алгоритмы». Если параметры алгоритмов пустые, значит софт функционирует некорректно, и его требуется переустановить:

Для переустановки нужно специальное ПО — утилита очистки следов КриптоПро, которую можно скачать на сайте разработчика . Она предназначена для аварийного удаления криптопровайдера. Такой способ позволяет полностью очистить ПК от следов CryptoPro и выполнить корректную переустановку.

Службы инициализации

СЭП может отражаться как недействительный, если не запущена служба инициализации КриптоПро CSP. Это можно проверить следующим образом:

Запустить системное окно «Выполнить» комбинацией клавиш Win+R.
Ввести команду services.msc.
В списке служб выбрать «Службы инициализации».
Кликнуть правой кнопкой мыши (ПКМ) и выбрать пункт «Свойства».
Если по каким-то причинам служба отключена, активировать ее и сохранить изменения.

Если все выполнено верно, после перезагрузки компьютера КЭЦП снова будет работать корректно.

Права доступа к реестру

Сбой возможен при отсутствии прав на некоторые файлы в реестре Windows. Для проверки необходимо открыть строку ввода комбинацией Win+R, ввести команду regedit, нажать Enter и перейти по пути для настройки прав в реестре Windows:

У пользователя должны быть права на конечные папки этих веток. Проверить это можно следующим образом:

Выбрать папку правой кнопкой мыши и нажать на пункт «Разрешения».
Кликнуть по кнопке «Администраторы» → «Дополнительно».
Открыть страницу «Владелец».
Указать значение «Полный доступ».

Эта же проблема решается переустановкой криптопровайдера с помощью описанной выше утилиты для очистки следов.

После обновления Windows до более поздней версии пользователь может видеть уведомление «При проверке отношений доверия произошла системная ошибка». Это тоже связано с недействительностью КЭЦП и нарушением внутренних файлов КриптоПро. Переустановка СКЗИ поможет решить эту проблему.

Сертификат содержит недействительную цифровую подпись : что делать , если сбой связан с браузером

Если пользователь настроил путь доверия и устранил неполадки криптопровайдера, но проблема не решилась, есть вероятность, что она кроется в браузере. В первую очередь это касается подписания документов непосредственно на сайтах государственных систем и контролирующих органов (ЕГАИС, ПФР, ФНС и др.).

Разработчик CryptoPro рекомендует использовать для работы с КЭП только Internet Explorer, так как он встроен в Windows. Но и с этим веб-обозревателем случаются сбои.

Обычно после входа под правами администратора все становится на свои места, и ключи работают в привычном режиме. Что предпринять:

Кликнуть ПКМ по иконке браузера.
Выбрать пункт «Запуск от имени администратора».

Если ошибка устранена, рекомендуется:

Снова выбрать ярлык браузера.
Нажать кнопку «Дополнительно».
Выбрать «Запуск от имени администратора».

Теперь при каждом запуске права администратора будут автоматически вступать в силу, и пользователю не придется каждый раз менять настройки.

Если используется старая версия веб-обозревателя, рекомендуется обновить ее до последнего релиза.

Отключение антивирусной программы

Некоторые «антивирусники», например, Symantec или AVG, воспринимают КриптоПро как вирусную угрозу, поэтому отдельные процессы криптопровайдера могут быть заблокированы. В результате этого всплывают различные ошибки с СКПЭП. Если нужно срочно заверить электронный документ, рекомендуется на время деактивировать антивирус:

В этой статье данная статья позволяет решить проблему, из-за которой службы сертификатов (CS) могут не запускаться на компьютере с Windows Server 2003 или Windows 2000.

Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 842210

Симптомы

На компьютере под управлением Microsoft Windows Server 2003 или Microsoft Windows 2000 Server службы сертификатов могут не запускаться.

Причина

Перед началом служб сертификатов он приводит все ключи и сертификаты, которые были выданы в орган сертификации (CA), даже если срок действия ключей и сертификатов истек. Службы сертификатов не будут запускаться, если один из этих сертификатов был удален из локального магазина персональных сертификатов компьютера.

Решение

Чтобы устранить эту проблему, убедитесь, что количество отпечатков пальцев сертификатов в реестре равно числу сертификатов, выдаванных в ЦС. Если отсутствуют какие-либо сертификаты, импортировать недостающие сертификаты в локальный магазин персональных сертификатов компьютера. После импорта отсутствующих сертификатов используйте команду для восстановления связи между импортируемыми сертификатами и связанным certutil -repairstore хранилищем частных ключей.

Для этого используйте один из следующих методов в зависимости от версии операционной системы, запущенной компьютером.

Метод 1: Windows Server 2003

Чтобы устранить эту проблему на компьютере Windows Server 2003, выполните следующие действия.

Шаг 1. Искать отсутствующие сертификаты

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в дополнительныхсведениях о том, как создать и восстановить реестр в Windows.

Отпечатки пальцев сертификата указывают все сертификаты, которые были выданы этому ЦС. Каждый раз, когда сертификат обновляется, в список CaCertHash в реестр добавляется новый отпечатк сертификата. Количество записей в этом списке должно равняться числу сертификатов, выдаванных в ЦС и перечисленных в локальном хранилище персональных сертификатов компьютера.

Чтобы найти отсутствующие сертификаты, выполните следующие действия:

Выберите Начните, выберите Выполнить, введите regedit, а затем выберите ОК.

Найдите и выберите следующий подкай: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name *

В правой области дважды щелкните CaCertHash.

Обратите внимание на количество отпечатков пальцев сертификата, которые содержатся в списке данных Value.

Начните командную подсказку.

Введите следующую команду и нажмите кнопку ENTER: certutil -store

Сравните количество сертификатов, перечисленных в локальном хранилище персональных сертификатов компьютера, с числом отпечатков пальцев сертификата, перечисленных в записи реестра CaCertHash. Если цифры отличаются, перейдите на шаг 2: Импорт недостающих сертификатов. Если числа одинаковы, перейдите к шагу 3. Установите пакет средств администрирования Windows Server 2003.

Шаг 2. Импорт отсутствующих сертификатов

Выберите Начните, указать на все программы, указать на административные средства, а затем выбрать сертификаты.

Если сертификаты не отображаются в списке, выполните следующие действия:

Выберите Начните, выберите Run, введите mmc, а затем выберите ОК.

В меню File выберите Добавить или Удалить привязку.

В списке Snap-in выберите Сертификаты, а затем выберите Добавить.

Если появится диалоговое окно "Сертификаты", выберите учетную запись пользователя и выберите Finish.

Выберите Закрыть, а затем — ОК.

Каталог сертификатов теперь добавляется в консоль управления Майкрософт (MMC).

В меню Файл выберите Сохранить как, введите сертификаты в поле имя файла, а затем выберите Сохранить.

Чтобы открыть сертификаты в будущем, выберите Начните, укайте все программы, указать на административные средства, а затем выберите Сертификаты.

Расширение сертификатов, расширение личных, правой кнопкой мыши Сертификаты, указать все задачи, а затем выбрать импорт.

На странице Welcome выберите Далее.

На странице Файл импорт введите полный путь файла сертификата, который необходимо импортировать в поле имя файла, а затем выберите Далее. Вместо этого выберите Просмотр, поиск файла, а затем выберите Далее.

На странице Хранилище сертификатов выберите Далее.

На странице Завершение мастера импорта сертификатов выберите Finish.

ЦС всегда публикует свои сертификаты ЦС в %systemroot%\System32\CertSvc\CertEnroll папку. Отсутствующие сертификаты можно найти в этой папке.

Шаг 3. Установка пакета средств администрирования Windows Server 2003

После импорта сертификатов необходимо использовать средство Certutil для восстановления связи между импортируемыми сертификатами и связанным частным хранилищем ключей. Средство Certutil включено в средства сертификации ca. Средства сертификации Windows Server 2003 расположены в пакете средств администрирования Windows Server 2003. Если средства сертификации ca не установлены на компьютере, установите их сейчас.

Шаг 4. Восстановление ссылок

После установки пакета средств администрирования Windows Server 2003 выполните следующие действия:

Начните командную подсказку.

Введите следующее, а затем нажмите кнопку ENTER:
cd %systemroot%\system32\certsrv\certenroll

В выходе из последней команды, ближе к концу, вы увидите строку, аналогичную следующей:
Key Id Hash (sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
Данные о hash key Id являются специфическими для компьютера. Обратите внимание на эту строку.

Введите следующую команду, включая кавычка, а затем нажмите кнопку ENTER:
%systemroot%\system32\certutil-repairstore my "Key_Id_Hash_Data"

В этой команде Key_Id_Hash_Data строка, отмеченная в шаге 4. Например, введите следующее:
%systemroot%\system32\certutil-repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"

Затем вы получите следующий вывод:

CertUtil: -repairstore command completed successfully.

Чтобы проверить сертификаты, введите следующее, а затем нажмите кнопку ENTER:
%systemroot%\system32\certutil -verifykeys После этого команда будет получать следующие выходные данные:

CertUtil: команда verifykeys выполнена успешно.

Шаг 5. Запуск службы сертификации

Выберите Начните, укайте административные средства, а затем выберите Службы.
Щелкните правой кнопкой мыши службы сертификатов, а затем выберите Начните.

Метод 2: Windows 2000 г.

Чтобы устранить эту проблему на компьютере Windows 2000, выполните следующие действия.

Шаг 1. Поиск отсутствующих сертификатов

Чтобы найти отсутствующие сертификаты, выполните следующие действия:

Выберите Начните, выберите Выполнить, введите regedit, а затем выберите ОК.

Найдите и выберите следующий подкай: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name *

В правой области дважды щелкните CaCertHash.

Обратите внимание на количество отпечатков пальцев сертификата, которые содержатся в списке данных Value.

Начните командную подсказку.

Введите следующее, а затем нажмите кнопку ENTER: certutil -store

Шаг 2. Импорт отсутствующих сертификатов

Выберите Начните, указать на программы, указать на административные средства, а затем выбрать сертификаты.

Если сертификаты не отображаются в списке, выполните следующие действия:

Выберите Начните, выберите Run, введите mmc, а затем выберите ОК.
В меню Консоли выберите Добавить или Удалить привязку.
Выберите Добавить
В списке Snap-in выберите Сертификаты, а затем выберите Добавить.

Если появится диалоговое окно "Сертификаты", выберите учетную запись пользователя и выберите Finish. 5. Нажмите Закрыть. 6. Нажмите OK. 7. Каталог сертификатов теперь добавляется в консоль управления Майкрософт (MMC). 8. В меню Консоли выберите Сохранить как, введите сертификаты в качестве имени файла, а затем выберите Сохранить.

Чтобы открыть сертификаты в будущем, выберите Начните, указать на программы, указать на административные средства, а затем выберите Сертификаты.

На странице Welcome выберите Далее.

На странице Хранилище сертификатов выберите Далее.

На странице Завершение мастера импорта сертификатов выберите Finish.

Шаг 3. Установка Windows Server 2003 Certutil

После импорта сертификатов необходимо использовать средства сертификации Windows Server 2003 для восстановления связи между импортируемыми сертификатами и связанным частным хранилищем ключей.

Версии Windows Server 2003 Certutil.exe и Certreq.exe включены в пакет средств администрирования Windows Server 2003. Чтобы установить инструменты на компьютере на Windows 2000, сначала необходимо установить пакет средств администрирования Windows Server 2003 на компьютере с Windows Server 2003 или Microsoft Windows XP с Пакет обновления 1 (SP1) или с более поздним пакетом обслуживания. Пакет средств администрирования Windows Server 2003 не может быть установлен непосредственно Windows компьютере на 2000 основе.

После копирования средств сертификации Windows Server 2003 на компьютере на Windows 2000 года на компьютере на Windows 2000 года будут находиться две версии средства Certutil. Не удаляйте Windows 2000 Certutil. Другие программы зависят от Windows 2000 версии этого средства. Например, для оснастки сертификатов MMC требуется Windows 2000 Certutil. Кроме того, не регистрируйте файлы Windows Server 2003 Certcli.dll и Certadm.dll на компьютере Windows 2000 года.

Чтобы использовать средства сертификации Windows Server 2003 на компьютере на Windows 2000, выполните следующие действия:

Скачайте пакет Windows Server 2003

Во входе на компьютер с Windows Server 2003 или Windows XP с пакетом обновления 1 или более поздним пакетом служб.

Установите пакет Windows Server 2003.

В пакете средств администрирования Windows Server 2003 найдите следующие файлы, а затем скопируйте их на съемную среду хранения, например 3,5-дюймовый диск:
Certreq.exe
Certutil.exe
Certcli.dll
Certadm.dll

Во входе на Windows 2000 в качестве администратора.

Вставьте съемную среду хранения, используемую на шаге 4, в соответствующий диск компьютера Windows 2000.

Начните командную подсказку.

Сделайте новую папку, а затем скопируйте файлы на съемной среде хранения в новую папку. Для этого введите следующие команды и нажмите кнопку ENTER после каждой команды:
cd\
md W2k3tool
cd w2k3tool
скопировать Removable_Media_Drive_Letter:\cert*

Чтобы избежать конфликтов с Windows 2000 версий средства Certutil, уже на компьютере, не включите папку W2k3tool в путь поиска системы.

Шаг 4. Восстановление ссылок

После копирования файлов Windows ca Certificate Tools 2003 на компьютер на Windows 2000 года выполните следующие действия:

Начните командную подсказку.

Введите следующее, а затем нажмите кнопку ENTER:
cd %systemroot\system32\certsrv\certenroll

Root_Drive_Letter является буквой корневого каталога.

В выходе из последней команды в конце вы увидите строку, аналогичную следующей: Key Id Hash (sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
Данные о hash key Id являются специфическими для компьютера. Обратите внимание на эту строку.

Введите следующую команду, включая кавычка, и нажмите кнопку ENTER:
Root_Drive_Letter: \ w2k3tool\certutil-repairstore my "Key_Id_Hash_Data"
В этой команде Key_Id_Hash_Data есть строка, которую вы отметили в шаге 5. Например, введите следующее:
c:\w2k3tool\certutil-repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"

После завершения этой команды вы получите следующий вывод:

CertUtil: -repairstore command completed successfully.

Чтобы проверить сертификаты, введите следующую команду и нажмите кнопку ENTER:
Root_Drive_Letter: \ w2k3tool\certutil-verifykeys

После этого команда будет получать следующие выходные данные:

CertUtil: команда verifykeys выполнена успешно.

Шаг 5. Запуск службы сертификации

Выберите Начните, укайте административные средства, а затем выберите Службы.
Щелкните правой кнопкой мыши службы сертификатов, а затем выберите Начните.

Дополнительная информация

Вы должны отменить и заменить ЦС, если одно из следующих условий верно:

Вы не можете найти недостающие сертификаты.

Сертификаты нельзя переустановить.

Команда certutil -repairstore не может быть завершена, так как закрытые ключи удалены. Для вывода из эксплуатации и замены ЦС выполните следующие действия:

Отостановка сертификатов для ЦС, который перестал работать правильно. Для этого выполните следующие действия:

Во входе в качестве администратора на компьютер, выдав сертификаты, которые необходимо отоискить.
Выберите Начните, указать на программы, указать на административные средства, а затем выберите Сертификационный орган.
Расширь CA_Name, а затем выберите выданные сертификаты.
В правой области выберите сертификат, который необходимо отоискить.
В меню Действия указать на все задачи, а затем выберите сертификат "Отзови".
В списке кода Причина выберите причину отзыва сертификата, а затем выберите Да.

Это отзовет все сертификаты, которые были выданы ЦС, которые перестали работать правильно.

Публикация списка отзыва сертификата (CRL) в следующем по максимуму ЦС. Для этого выполните следующие действия:

Если ЦС, который перестал правильно работать, был опубликован в службах каталогов Active Directory, удалите его. Чтобы удалить ЦС из Active Directory, выполните следующие действия:

Начните командную подсказку.
Введите следующее, а затем нажмите кнопку ENTER:
certutil-dsdel CA_Name

Удалите службы сертификатов с сервера, на котором ЦС перестал работать правильно. Для этого выполните следующие действия:

Выберите Начните,указать Параметры, а затем выберите панель управления.
Дважды щелкните Add/Remove Programs, а затем выберите компоненты Add/Remove Windows.
В списке Компонентов щелкните, чтобы очистить поле Службы сертификатов, выберите Далее, а затем выберите Готово.

Установка служб сертификатов. Для этого выполните следующие действия:

Выберите компоненты add/Remove Windows.
В списке Компонентов выберите для выбора контрольного окна Службы сертификатов, выберите Далее и выберите Готово.

Все пользователи, компьютеры или службы с сертификатами, которые были выданы ЦС, которые перестали работать правильно, должны зарегистрироваться для сертификатов из нового ЦС.

Если эта проблема возникает в корневом ЦС иерархии инфраструктуры общедоступных ключей (PKI) и если проблему не удается устранить, вам придется заменить всю иерархию PKI. Дополнительные сведения о том, как удалить иерархию PKI, см. в этой Windows сертификации и удаление всех связанных объектов.

Причина. Сведения групповой политики, используемые для автоматической регистрации, еще не были реплицированы на клиентские компьютеры. По умолчанию может понадобиться до двух часов для репликации этих сведений на все компьютеры.

Центр сертификации не может быть установлен как центр сертификации предприятия или регистрация через Интернет в центр сертификации не может быть установлена для работы с автономным центром сертификации.

Причина. Центр сертификации был установлен пользователем, не являющимся членом группы Администраторы предприятия или Администраторы домена, поэтому пользователь не смог выбрать установку центра сертификации предприятия, и сведения о центре сертификации не удалось опубликовать в доменных службах Active Directory.

Ошибка при открытии веб-страниц центра сертификации.

Причина. Пользователь, пытающийся открыть веб-страницы, не является членом группы Администраторы или Опытные пользователи на локальном компьютере. Если в центре сертификации доступна новая версия программного обеспечения регистрации сертификатов через Интернет, необходимо установить это программное обеспечение на клиентском компьютере. Для установки программного обеспечения пользователь должен являться членом группы Администраторы или Опытные пользователи.

Причина. Учетная запись компьютера может быть отключена или центр сертификации, выдавший сертификат смарт-карты, не является доверенным для компьютера.

Причина. Необходимые разрешения безопасности не установлены для шаблонов сертификатов.

После изменения разрешений безопасности должен окончиться срок действия некоторых кэшированных записей управления доступом, поэтому придется подождать некоторое время, прежде чем новые разрешения безопасности реплицируются в сети.

Агент регистрации не может произвести регистрацию от имени пользователя конкретного шаблона сертификата

Причина. Могли быть настроены ограничения агента регистрации, чтобы предотвратить регистрацию агентом сертификатов, основанных на шаблоне сертификата для этой группы пользователей.

Ограниченные операции диспетчера сертификатов или агента регистрации не могут быть выполнены после переименования домена.

Причина. В отношении ограниченных операций инспектора центр сертификации полагается на содержащееся в диспетчере учетных записей безопасности имя запрашивающей стороны, которое хранится в базе данных Active Directory, чтобы проверить, имеет ли инспектор права на обработку запроса. Однако имя в диспетчере учетных записей безопасности содержит имя домена, и ограниченная операция инспектора завершится со сбоем, если изменится имя домена (а не только часть DNS имени).

Не удается добавить новый шаблон сертификата версии 2 или версии 3 в центр сертификации.

Причина: Центр сертификации установлен на сервере, работающем под управлением операционной системы Windows Server 2008 R2 Standard или Windows Server 2008 Standard. Шаблоны сертификатов версии 2 и 3, а также автоматическую регистрацию сертификатов можно использовать только при наличии центров сертификации, установленных в операционной системе Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise или Windows Server 2008 Datacenter.

У меня возникли проблемы, не указанные в этом списке.

Для установки Служб сертификации:

В окне для указания имени ЦС введите значения всех полей и нажмите Далее.

Введенные здесь данные носят информативный характер. Рекомендуется их внести. Аббревиатуры несут следующий смысл: "O" — Organization, "OU" — Organization Unit, "L" — City (Location), "S" — State or province, "C" — Country/region, "E" — E-mail.

Введите период действия сертификата для создаваемого ЦС.

По истечении срока действия сертификата ЦС необходимо будет перевыпустить сертификаты всем действующим пользователям.

Для добавления шаблонов сертификатов:

Выберите следующие настройки:

Значение параметра Минимальный размер ключа должно быть не менее 1024.

Для выписки сертификатов пользователю Administrator и обычным пользователям с помощью mmc-консоли:

Закройте окно Консоль1. Для сохранения консоли нажмите Да.

Рекомендуется сохранить данную консоль для удобства использования в дальнейшем. Причем если работать в системе с правами учетной записи User, то в консоли Сертификаты - текущий пользователь будут отображаться сертификаты пользователя User. Любой пользователь домена на локальном компьютере из консоли Сертификаты - текущий пользователь может запросить сертификат.

На этом настройка Центра Сертификации и выдача сертификатов пользователям завершены.

Читайте также: