В операционных системах семейства Windows, начиная с Windows 7, присутствует система автоматического обновления корневых сертификатов с сайта Microsoft. MSFT в рамках программы Microsoft Trusted Root Certificate Program , ведет и публикует в своем онлайн хранилище список сертификатов для клиентов и устройств Windows. В том, случае если проверяемый сертификат в своей цепочке сертфикации относится к корневому CA, который участвует в этой программе, система автоматически скачает с узла Windows Update и добавит такой корневой сертификат в доверенные.
В том случае, если у Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневой сертификат, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия, см. статью об ошибке в Chrome « «), либо с установкой / запуском подписанных приложений или .
В этой статье попробуем разобраться, как можно вручную обновить список корневых сертификатов в TrustedRootCA в изолированных системах, или системах без прямого подключения к интернету.
Примечание . В том случае, если пользователи получают доступ в интернет через прокси сервер, для того, что работало автоматическое обновление корневых сертификатов на компьютера пользователей, Microsoft рекомендует открыть прямой доступ (bypass) к узлам Microsoft. Но это не всегда возможно/применимо.
Утилита rootsupd.exe
В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe , список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates). Посмотрим, можно ли использовать ли ее сейчас.
Но , как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до ). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов.
Получения списка корневых сертификатов с узла Windows Update с помощью Certutil
Последняя версия утилиты для управления и работы с сертификатам Certutil (представленная в Windows 10), позволяет скачать и сохранить в SST файл актуальный список корневых сертификатов.
Для генерации SST файла, на компьютере Windows 10 с прямым доступом в Интернет, выполните с правами администратора команду:
certutil.exe -generateSSTFromWU roots.sst
В результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий сертификаты.
Как вы видите, откроется знакомая оснастка управления сертификатами, из которой вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 358 элементов. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.
Совет . Для генерации индивидуальных файлов сертификатов можно использовать команду certutil -syncWithWU. Полученные таким образом .
Для установки всех сертификатов, содержащихся в файле, воспользуемся утилитой updroots. exe (она содержится в архиве rootsupd.exe, который мы распаковали в предыдущем разделе).
Установка сертификатов из STT фалйла выполняется командой:
updroots.exe roots.sst
Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority.
Список корневых сертификатов в формате STL
Есть еще один способ получения списка сертификатов с сайта Microsoft. Для этого нужно скачать файл http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (обновляется дважды в месяц).С помощью любого архиватора (или проводника Windows) распакуйте содержимое архива authrootstl.cab . Он содержит один файл .
Файл authroot.stl представляет собой контейнер со списком доверенных сертификатов в формате Certification Trust List.
Данный файл можно установить в системе с помощью контекстного меню файла STL ().
Или с помощью утилиты certutil:
certutil -addstore -f root authroot.stl
После выполнения команды, в консоли управления сертификатами (certmgr.msc) в контейнере Trusted Root Certification Authorities появится новый раздел с именем Certificate Trust List .
Аналогичным образом можно скачать и установить список с отозванными сертификатами, которые были исключены из программы Root Certificate Program. для этого, скачайте файл disallowedcertstl.cab (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), распакуйте его и добавьте в раздел Untrusted Certificates командой:
certutil -addstore -f disallowed disallowedcert.stl
В это статье мы рассмотрели несколько простейших способов обновления списка корневых сертификатов на изолированной от Интернета системе Windows. В том случае, если возникла задача регулярного обновления корневых сертификатов в отделенном от внешней сети домене, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. Об этом подробнее в одной из ближайших статей.
Либо с предоставлением новых. Давайте более подробно рассмотрим, как обновить сертификат с новым ключом и с прежним.
Как обновить сертификат
с новым ключом.Откройте оснастку «Сертификаты» на своем .
Кликните на пункт «Обновить сертификат
с новым ключом». Должен появиться мастер обновления сертификат
ов.
Выберите для обновления сертификат
а значение по умолчанию.
Нажмите «Далее».
Кликните на кнопку «Заявка».
Дождитесь завершения мастера обновления сертификат
ов.
Нажмите кнопку «Готово» или «закрыть».
Как обновить сертификат
с прежним ключом.Откройте оснастку «Сертификаты» на своем компьютере.
Разверните в дереве консоли папку «Личные».
Выберите там пункт «Сертификаты».
Найдите область «Сведения».
Выберите требующий обновления сертификат
.
Кликните в меню на пункт «Действие».
Выберите в появившемся окне команду «Все задачи».
Нажмите на «Дополнительные операции».
Выберите «Обновить сертификат
с тем же ключом».
Ждите появления мастера настроек обновления сертификат
ов.
Выберите нужный сертификат
из тех, что будут в открывшемся окне.
Используйте все значения по умолчанию.
Видео по теме
Цифровой подписью принято именовать электронную зашифрованную печать, подтверждающую подлинность цифровых данных. Создание цифровой подписи предполагает наличие или получение сертификата подписи , удостоверяющего личность. Сертификат может быть выдан сторонним центром сертификации или доверенным партнером корпорации Microsoft. В то же время, возможно создание собственного цифрового сертификата .
Вам понадобится
- - Microsoft Office 2010
Инструкция
Нажмите кнопку «Пуск» для вызова главного меню системы и перейдите в пункт «Все программы».
Укажите элемент «Цифровой сертификат для проектов VBA» и введите желаемое имя в соответствующее поле открывшегося диалогового окна «Создание цифрового сертификата ».
Нажмите кнопку OK для подтверждения применения выбранных изменений и откройте документ Word или Excel, подлежащий подписанию. для выполнения операции создания строки подписи .
Заполните требуемые поля в диалоговом окне «Настройка подписи » и нажмите кнопку OK для подтверждения выполнения команды.
Вызовите контекстное меню созданной строки подписи кликом правой кнопки мыши и укажите пункт «Подписать» для осуществления подписания документа с добавлением цифровой подписи .
Введите образец своей подписи в поле рядом с ярлыком «Х» для добавления печатной версии подписи и нажмите кнопку «Выбрать рисунок» для добавления рукописной версии.
Укажите желаемое изображение в диалоговом окне «Выбор графической подписи » и нажмите кнопку «Выбрать» для подтверждения применения выбранных изменений.
Раскройте вкладку «Файл» и укажите пункт «Сведения» в разделе «Представление Backstage».
Выберите пункт «Защитить документ» в группе «Разрешения» для выполнения операции добавления невидимой цифровой подписи и укажите команду «Добавить цифровую подпись».
Нажмите кнопку OK для подтверждения согласия с условиями использования цифровых подписей корпорации Microsoft и укажите необходимость подписи в поле «Цель подписания документа» в открывшемся диалоговом окне «Подпись».
Выберите элемент «Подпись» для добавления цифровой подписи .
Обратите внимание
Создание цифровой подписи в приложениях Microsoft Excel Starter 2010 и Microsoft Word Starter 2010 невозможно.
Проверка подлинности цифровой подписи, созданной при помощи пользовательского цифрового сертификата, невозможна без подтверждения доверия самозаверяющемуся сертификату вручную.
Источники:
- Получение цифрового сертификата для создания цифровой подписи
Необходимость установки корневого сертификата вызывается особенностями установки защищенного интернет-соединения с веб-сайтами, использующими протокол HTTPS и работающими с системой WebMoney Transfer.
Вам понадобится
Инструкция
Укажите пункт «Свойства обозревателя» в меню «Сервис» верхней панели инструментов браузера и перейдите на вкладку «Содержание» открывшегося диалогового окна.
Выберите команду «Сертификаты» и выполните переход на вкладку «Доверенные корневые центры сертификации».
Используйте кнопку «Импорт» для вызова инструмента «Мастер импорта сертификатов» и нажмите кнопку «Далее» в новом диалоговом окне мастера.
Нажмите кнопку «Готово» для завершения работы инструмента «Мастер импорта сертификатов» и выполните нажатие кнопки «Да» в открывшемся окне предупреждения системы для подтверждения выполнения установки.
Подтвердите применение выбранных изменений нажатием кнопки OK в завершающем окне мастера и вернитесь на вкладку «Доверенные корневые центры сертификации» диалогового окна «Сертификаты».
Укажите установленный сертификат в списке и нажмите копку «Просмотр» для выполнения проверки действительности данных сертификации.
Завершите работу всех открытых приложений и установите интернет-соединение с нужным сайтом WebMoney Transfer.
Видео по теме
Обратите внимание
Установка корневого сертификата WebMoney необходима для обеспечения безопасной работы и доступна для всех основных браузеров.
Полезный совет
Воспользуйтесь возможностью автоматической установки необходимого корневого сертификата WebMoney, предоставляемой в процессе инсталляции приложения WM Keeper Classic. Сертификат при этом будет сохранен в хранилище сертификатов интернет-обозревателя.
Источники:
- Установка корневого сертификата в браузере Internet Explorer 7
- корневой сертификат webmoney transfer
Если точнее, то SSL/TLS сертификаты. Если смотреть трезво, то использовать следует только TLS. Но сертификат-то что для SSL, что для TLS один. И называют его все по привычке «SSL сертификат».
Статья предназначена, в основном, для администраторов веб-серверов. Причина, по которой вам возможно предстоит досрочно обновить сертификат вашего сервера заключается в том, что распространенный алгоритм хэширования SHA-1 сегодня считается небезопасным.
«При чем тут вообще хэширование? Сертификаты же основаны на ассиметричном шифровани», - скажут некоторые. Дело в том, что сертификат - это не просто открытый ключ с дополнительной информацией, но и подпись сервера, а для нее используется хэш-функция.
Стойкость хэш функции заключается в отсутствии коллизий. То есть, невозможность подобрать отличное от исходного сообщение с точно таким же значение хэша. Говоря проще и относительно сертификатов: хэш-функция - хорошая, если невозможно (следует читать «крайне трудно», так как ничего невозможного нет) подделать сертификат, но оставить ту же подпись удостоверяющего центра (УЦ). Таким образом, поддельный сертификат может получиться вполне валидным с точки зрения браузеров, операционных систем и вообще с точки зрения вполне вменяемой проверки. Так вот стойкость к коллизиям алгоритма SHA-1 под очень большим сомнением. Известный криптограф Брюс Шнайер рассчитал , что реализация атаки коллизии на SHA-1 будет вполне по силам организованной преступности уже к 2018 году.
Итак, мы подошли к тому, что в скором времени использовать SHA-1 для подписи сертификатов станет небезопасно. Ну и, конечно, заменить SHA-1 призван SHA-2. Microsoft и Google принимают некоторые шаги, чтобы ускорить процесс миграции на SHA-2.
Microsoft
Если ваш сертификат, использующий SHA-1 для подписи, заканчивается в 2017 году или позднее, то вам придется его менять досрочно. Причем это касается не только сертификатов веб-серверов, но и сертификатов для подписи кода. Кроме того, с начала 2016 года Microsoft перестает доверять сертификатам с SHA-1, которые используются для подписи кода без отпечатка времени.Что делать?
Ответ простой. Если вы хотите, чтобы пользователи вашего интернет магазина или корпоративного портала не закрывали в ужасе страницу с ошибкой сертификата, обновите его заблаговременно.Стоит учитывать, что для успешной валидации сертификата нужно, чтобы все сертификаты в цепочке использовали SHA-2. А вот если корневой УЦ использует SHA-1, то сильно беспокоиться не стоит, ведь браузеры не проверяют подпись сертификатов корневых доверенных УЦ, а просто ищут их в соответствующем списке.
При входе в систему Контур.Экстерн будет предложено обновить квалифицированный сертификат (КЭП), если до окончания срока его действия осталось менее 60 дней. Также обновить КЭП будет предложено, если ранее пользователь обращался в сервисный центр по вопросу незапланированной замены сертификата.
Описанная ниже инструкция не подходит абонентам 78 и 47 регионов, сертификаты которых выданы Удостоверяющим центром ФГУП ЦентрИнформ.
Для обновления следует:
1. При входе в Контур.Экстерн нажать кнопку «Отправить заявку на обновление» рядом с сертификатом, который необходимо обновить.
Если сертфикат не истек, то появится кнопка «Запросить сертификат », нужно ее нажать.
2. В открывшемся окне указать номер телефона, на который будет удобно получить пароль для входа, и нажать кнопку « Получить пароль». Ввести поступивший пароль и нажать кнопку «Войти».
Если сообщение с паролем не поступило, следует нажать на ссылку «Получить код повторно». Если после повторного запроса сообщение также не поступит, то следует обратиться в техническую поддержку.
При входе в личный кабинет может потребоваться установка последней версии компонента Kontur.Toolbox. Следует нажать кнопку «Скачать приложение», скачать и установить компоненту. После этого обновить страницу.
3. Прочитайте инструкцию. Если нужно, скачайте памятку «Как подготовить документы». Нажмите кнопку «Приступить».
Шаг 1: Проверьте данные
Проверьте данные, если все данные в заявке указаны верно, то следует нажать кнопку «Подписать заявление старым сертификатом».
Появится окно «Заявление подписано». Заявление, подписанное действующим обновляемым сертификатом, не нужно распечатывать, подписывать вручную и предоставлять в сервисный центр.
Если срок действия старого сертификата уже истек, то следует воспользоваться ссылкой «Распечатайте заявление и подпишите вручную» и нажать кнопку «Скачать и распечатать заявление».
Если у нового сертификата будет другой владелец (ФИО и/или СНИЛС в старом и новом сертификатах будут отличаться), для изменения данных, необходимо выбрать ссылку «Редактировать» около поля «Владелец сертификата». После сохранения данных, появится кнопка «Скачать и распечатать заявление». Для отправки заявки на проверку, следует воспользоваться .
Если владелец останется прежним, но необходимо изменить его паспортные данные, электронную почту, должность или подразделение, необходимо отредактировать эти данные и подписать заявление старым сертификатом.
Если реквизиты организации указаны неверно, то следует обратиться в по месту подключения.
Шаг 2: Проверьте документы
Шаг 3: Отправьте заявку
После проверки заявки можете приступать к выпуску сертификата.
Если вместо окна для выпуска сертификата появится сообщение «Оплатите счет», то следует обратиться в сервисный центр по месту подключения.
Выпуск сертификата
В открывшемся окне следует выбрать, куда будет записан сертификат - на съемный носитель (рутокен, дискета, флешка) или в реестр компьютера. После выбора носителя, необходимо нажать «Далее».
Если выбрать «Реестр», то сразу поле этого появится датчик случайных чисел.
Если выбрать «Съемный носитель», то в следующем окне потребуется отметить, на какой именно носитель будет записан закрытый ключ сертификата. Поле выбора носителя появится датчик случайных чисел.
В окне датчика случайных чисел следует нажимать клавиши или двигать курсором мыши в области окна датчика.
В окне установки pin-кода на создаваемый контейнер следует ввести стандартное значение 12345678 и нажать «ОК». Если стандартный пин-код на рутокене был изменен, то в данном окне следует вводить пин-код, установленный самостоятельно.
Если сертификат был запрошен на дискету, флешку или в реестр, то появится окно ввода пароля. Рекомендуется оставить его пустым и нажать «ОК». При утере пароля восстановить его будет невозможно!
Начнется процесс выдачи сертификата удостоверяющим центром, который занимает до 60 минут. 
После запроса на выпуск сертификата в
течение двух минут на номер телефона, указанный в заявлении на изготовление сертификата, вновь поступит сообщение с паролем. В открывшемся окне личного кабинета следует ввести полученный пароль и нажать на кнопку «Подтвердить».
Как только открытый ключ сертификата будет выдан, появится кнопка «Установить сертификат». Следует нажать на нее.
Сертификат установлен и готов к использованию. Рекомендуем сделать копию сертификата на случай утери или повреждения ключевого носитля. Чтобы скопировать контейнер, нажмите на кнопку «Сделать резервную копию».
Укажите, куда записать копию сертификата — на съемный носитель (рутокен, дискета, флешка) или в реестр компьютера.
Укажите пин-код, если копируете сертификата с рутокена или рутокен-лайта. Если копируете сертификат на дискету, флешку или в реестр, то появится окно ввода пароля. Рекомендуем оставить поля для паролей пустыми и нажать «ОК». Восстановить утерянный пароль невозможно!
Сертификат скопирован.
Обязательно необходимо сохранять все устаревшие сертификаты, с которыми когда-либо производилась работа в системе. Они потребуются для расшифровки старых документов. Для удобства рекомендуется копировать такие сертификаты в реестр (см. ).
После получения нового сертификата в системе Контур.Экстерн необходимо:
- Зайти в раздел меню «Реквизиты и настройки» > «Реквизиты плательщика» и выбрать новый сертификат для подписи отчетов ФНС и Росстат.
- Войти в раздел «ПФР» > «Регистрационная информация ПФР», выбрать новый сертификат для подписания отчетности и отправить регистрационную информацию в ПРФ.
- Обратиться в УПФР и уточнить, нужно ли перезаключать соглашение об электронном документообороте с ПФР или можно отчитываться со старым.
При установке на клиентскую машину Java 1.6 система выдала ошибку:
Error 1330.A file that is required cannot be installed because the cabinet file C:\Documents and settings\…\Application Data\Sun\Java\…\Data1.Cab has an invalid digital signature . This may indicate that the cabinet file is corrupt.
Скачал другой дистрибутив . Установка с той же ошибкой. Что за чудо? Открыл свойства Data1. Cab посмотрел подпись: написано – не могу проверить сертификат. Перенес файл на свой компьютер – проверка прошла. Уже легче. Сравнил списки корневых сертификатов на своей машине и на проблемной. На моей машине корневых сертификатов намного больше. С чего бы это?
Когда-то я разбирался с обновлениями корневых сертификатов, что свелось к настройке WSUSи установке обновления KB931125, которое периодически прилетает в новой версии. Сейчас посмотрел внимательнее на это обновление и обнаружил, что счетчик установленных меньше, чем всего компьютеров в сети – обновление ставится не на все компьютеры… Прочитал описание обновления KB931125: оно предназначено только для XP! А за последнее время появились компьютеры на Windows 7, и число их растет. Значит с новыми версиями надо разбираться отдельно.
Тут же была обнаружена статья Technet, которая описывает механизм обновления корневых сертификатов на Vista и Windows 7 Certificate Support and Resulting Internet Communication in Windows Vista .
Существует два способа доставки корневых сертификатов на компьютеры в ActiveDirectory :
1. Задание политики GPO User Configuration – Windows Settings – Security Settings – Public Key Policies
Первый способ позволяет администраторам ActiveDirectory целиком контролировать, каким корневым сертификатам можно доверять. Насколько это нужно? Если ваша компания достаточно крупная и проводит жесткую политику контроля доступа, то скорее всего потребуется жесткий контроль корневых сертификатов. Если компания небольшая и/или не использует сертификаты для управления доступом, цифровых подписей кода и т.п., то этот способ вызовет только лишние траты времени администраторов и раздражение пользователей.
Второй способ гарантирует автоматическую загрузку только проверенных Microsoftкорневых сертификатов с сайта http://www.download.windowsupdate.com Это лучшее решение в смысле простоты, минимума затрат и надежности для небольших компаний и компаний не использующих на полную катушку PKI в своем бизнесе. Этот способ фактически аналог установки обновления KB931125 на системы XP сертификата, которые необходим для проверки в данный момент.
Чтобы второй способ заработал, достаточно открыть всем клиентам Vista/ Windows 7 доступ на сайт http://www.download.windowsupdate.com и запретить политику Turn off Automatic Root Certificates Update.
Все настройки описаны в выше упомянутой статье.
Остается добавить, что после выполнения этих настроек и политик, Lavaчудесным образом установилась J