Как-то обратился ко мне товарищ (Серёга с antelecs.ru) с вопросом, можно ли как-то ускорить/автоматизировать рутинный процесс добавления нескольких сертификатов в хранилище доверенных корневых центров сертификации. Задачка мне показалась интересной и подходящей по тематике сайта, поэтому решение я взялся опубликовать здесь. Бесплатный софт предлагаю качать на Киберсофт !
Конечно можно было бы заморочиться с GPO или ещё чем-нибудь тру-админским, но у меня почему-то первой мыслью было использовать подручные средства в виде RAR-архиватора и его функции создания самораспаковывающихся (SFX) архивов.
Делаем автоустановку сертификатов
Нам понадобится утилита certmgr.exe из набора Windows SDK . Информация о том, как ей пользоваться – есть вот на этой странице .
В контекстном меню при выделении всех файлов выбираем команду “Добавить в архив…”.
Указываем параметры архива. Здесь можно задать произвольное имя выходного исполняемого файла, а также необходимо отметить галочкой пункт “Создать SFX-архив”.
На вкладке “Дополнительно” нажимаем кнопку “Параметры SFX…”.
На вкладке “Общие” указываем путь для распаковки – можно указать текущую папку или её подкаталог.
Самое интересное: на вкладке “Установка” указываем какие команды выполнить после извлечения файлов. Текущим каталогом при этом будет являться тот, куда распакованы файлы. Команда для установки сертификата в хранилище выглядит так:
certmgr.exe -add -c "Имя файла.cer" -s -l localMachine root
где localMachine означает установку для компьютера, а root – название хранилища доверенных корневых центров сертификации.
Для удобства пользования можно скрыть все диалоговые окна (в противном случае будет отображаться диалоговое окно выбора каталога для распаковки и т.д.).
На вкладке Комментарии отображены все действия, совершаемые при распаковке. В принципе сюда можно ввести текст вручную и выполнится то же самое.
Видео по теме
Для лучшего понимания процесса я записал небольшой видеоролик!
При проверке Электронной подписи (ЭЦП) ваш компьютер не только должен определить сроки действия Вашей ЭЦП, но также и понимать кем была выпущена Электронная подпись. В каждом сертификате ЭЦП указано каким Удостоверяющем центром(УЦ) была выпущена подпись. После того, как система "прочитала" изготовителя ЭЦП, нужно получить информацию о самом этом изготовителе. Для этого, на компьютер пользователя устанавливается корневой сертификат.
Если на компьютере пользователя установлен корневой сертификат Удостоверяющего центра, то все сертификаты выпущенные этим УЦ считаются действительными (при условии, что срок их действия ещё не истёк).
Учитывая всё вышеизложенное, мы приходим к выводу, что для того, чтобы сертификат электронной подписи воспринимался системой как "действительный", нужно устанавливать корневые сертификаты Удостоверяющего Центра которым была выпущена ЭЦП.
Приступим к установке корневого сертификата:
Прежде чем установить корневой сертификат, скачайте его с сайта удостоверяющего центра, выдавшего Вам ЭЦП или с нашего сайта в разделе: .
1. Дважды кликните по сохранённому сертификату или нажмите правой кнопкой мышки и выберите пункт, как показано на рисунке.
2. В появившемся окне нажмите кнопку «Далее».
3. В следующем окне, выберите пункт «Поместить все сертификаты в следующее хранилище» и нажмите на кнопку «Обзор…».
4. Во всплывающем окне, выберите пункт «Доверенные корневые центры сертификации» и нажмите «ОК».
5. Всплывающее окно закроется и у Вас должно быть так, как показано на рисунке. Если информация в поле «Хранилище сертификатов» не появилась, вернитесь к пунктам 3, 4 и повторите эти шаги заново. Если всё отобразилось, как показано на рисунке, нажмите «Далее».
6. По завершении нажмите «Готово».
7. После закрытия окна «Мастер импорта сертификатов» система может выдать предупреждение об установке сертификатов на Ваш компьютер. Данное сообщение может появиться несколько раз. Каждый раз нажимайте кнопку «ДА».
8. Если предыдущее сообщение не появилось, в следующем окне нажмите «ОК», как показано на рисунке.
Подравляем! Теперь корневой сертицикат Удостоверяющего Центра успешно установлен!
Добрый день уважаемые читатели блога сайт, меня уже на протяжении этого месяца, несколько раз спрашивали в электронной почте, где хранятся сертификаты в windows системах, ниже я подробнейшим образом вам расскажу про этот вопрос, рассмотрим структуру хранилища, как находить сертификаты и где вы это можете использовать на практике, особенно это интересно будет для тех людей, кто часто пользуется ЭЦП (электронно цифровой подписью)
Для чего знать где хранятся сертификаты в windows
Давайте я вам приведу основные причины, по которым вы захотите обладать этим знанием:
- Вам необходимо посмотреть или установить корневой сертификат
- Вам необходимо посмотреть или установить личный сертификат
- Любознательность
Ранее я вам рассказывал какие бывают сертификаты и где вы их можете получить и применять, советую ознакомиться с данной статьей, так как информация изложенная в ней является фундаментальной в этой теме.
Во всех операционных системах начиная с Windows Vista и вплоть до Windows 10 Redstone 2 сертификаты хранятся в одном месте, неком таком контейнере, который разбит на две части, один для пользователя, а второй для компьютера.
В большинстве случаев в Windows поменять те или иные настройки вы можете через mmc оснастки , и хранилище сертификатов не исключение. И так нажимаем комбинацию клавиш WIN+R и в открывшемся окне выполнить, пишем mmc.
Вы конечно можете ввести команду certmgr.msc, но таким образом вы сможете открыть только личные сертификаты
Теперь в пустой mmc оснастке, вы нажимаете меню Файл и выбираете Добавить или удалить оснастку (сочетание клавиш CTRL+M)
В окне Добавление и удаление оснасток, в поле Доступные оснастки ищем Сертификаты и жмем кнопку Добавить.
Тут в диспетчере сертификатов, вы можете добавить оснастки для:
- моей учетной записи пользователя
- учетной записи службы
- учетной записи компьютера
Я обычно добавляю для учетной записи пользователя
и компьютера
У компьютера есть еще дополнительные настройки, это либо локальный компьютер либо удаленный (в сети), выбираем текущий и жмем готово.
В итоге у меня получилось вот такая картина.
Сразу сохраним созданную оснастку, чтобы в следующий раз не делать эти шаги. Идем в меню Файл > Сохранить как.
Задаем место сохранения и все.
Как вы видите консоль хранилище сертификатов, я в своем примере вам показываю на Windows 10 Redstone, уверяю вас интерфейс окна везде одинаковый. Как я ранее писал тут две области Сертификаты - текущий пользователь и Сертификаты (локальный компьютер)
Сертификаты - текущий пользователь
Данная область содержит вот такие папки:
- Личное > сюда попадают личные сертификаты (открытые или закрытые ключи), которые вы устанавливаете с различных рутокенов или etoken
- Доверительные корневые центры сертификации > это сертификаты центров сертификации, доверяя им вы автоматически доверяете всем выпущенным ими сертификатам, нужны для автоматической проверки большинства сертификатов в мире. Данный список используется при цепочках построения доверительных отношений между CA, обновляется он в месте с обновлениями Windows .
- Доверительные отношения в предприятии
- Промежуточные центры сертификации
- Объект пользователя Active Directory
- Доверительные издатели
- Сертификаты, к которым нет доверия
- Сторонние корневые центры сертификации
- Доверенные лица
- Поставщики сертификатов проверки подлинности клиентов
- Local NonRemovable Certificates
- Доверительные корневые сертификаты смарт-карты
В папке личное, по умолчанию сертификатов нет, если вы только их не установили. Установка может быть как с токена или путем запроса или импорта сертификата.
- PKCS # 12 (.PFX, .P12)
- Стандарт Cryprograhic Message Syntax - сертификаты PKCS #7 (.p7b)
- Хранилище сериализованных сертификатов (.SST)
На вкладке доверенные центры сертификации, вы увидите внушительный список корневых сертификатов крупнейших издателей, благодаря им ваш браузер доверяет большинству сертификатов на сайтах, так как если вы доверяете корневому, значит и всем кому она выдал.
Двойным щелчком вы можете посмотреть состав сертификата.
Из действий вы их можете только экспортировать, чтобы потом переустановить на другом компьютере.
Экспорт идет в самые распространенные форматы.
Еще интересным будет список сертификатов, которые уже отозвали или они просочились.
Для установки сертификатов необходимо подключить флешку с ЭП, открыть ее и установить сертификаты
1. Установить сертификат головного удостоверяющего центра в доверенные корневые центры, для этого необходимо:
1.1. Двойной щелчок мыши на сертификат головного УЦ – файл «Головной удостоверяющий центр.cer».
1.2. В открывшейся форме необходимо нажать кнопку «Установить сертификат…».
1.3. Выбрать «Поместить все сертификаты в следующее хранилище» (установить пометку перед надписью) и нажать кнопку «Обзор».
1.4. В открывшемся списке необходимо выбрать «Доверенные корневые центры сертификации» и нажать кнопку «ОК».
2. Установить личный сертификат
Установка личного сертификата выполняется при помощи программы КриптоПро CSP
2.1. Необходимо запустить программу КриптоПро CSP (кнопка «Пуск» -> «КриптоПро CSP» или кнопка «Пуск» -> «Все программы» -> КРИПТО-ПРО -> «КриптоПро CSP»).
2.2. В открывшемся окне необходимо выбрать вкладку «Сервис» и нажать кнопку «Установить личный сертификат…».
2.3. В открывшемся окне необходимо нажать кнопку «Обзор», выбрать на флешке сертификат организации – 2-ой файл с расширением «cer» (не файл сертификата УЦ (в примере - «adicom.cer»)) и нажать «Далее».
2.4. В открывшейся форме необходимо нажать «Далее»
2.5. В открывшейся форме необходимо нажать галочку «Найти контейнер автоматически». В результате заполнится «Имя ключевого контейнера» и нажать «Далее»
2.6. В открывшейся форме необходимо нажать «Далее»
2.7. В открывшейся форме необходимо нажать «Готово»
На локальной машине пользователя установлено все необходимое для генерации электронной подписи ПО – можно подписывать печатные формы.
3. Установить в браузере расширение (дополнение) CryptoPro Extension for Cades Browser Plug-in
Для установки браузерного расширения (дополнения) CryptoPro Extension for Cades Browser Plugin откройте магазин раширений в вашем браузере и выполните поиск расширений по слову Cades / Для Yandex.Browser ссылка -