Labirint-perm.ru

Лабиринт Пермь
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как установить отозванный сертификат

Список отзывов сертификатов (Certificate revocation list) — представляет собой файл указывающий на список сертификатов с указанием серийного номера сертификата, даты отзыва, причина отзыва. В целом списки отзыва сертификатов (CRL) используются для передачи сведений об отзыве сертификатов пользователям, компьютерам и приложениям, пытающимся проверить подлинность сертификата.

При каких ситуациях ваш сертификат может попасть в указанный список:

1. При выдаче сертификата УЦ ошибся в части реквизитов, поэтому был выдан новый сертификат.

2. Сертификатом завладело третье лицо, кто мог бы подписывать за вас (т.н. компрометация ключа).

3. Сертификат был отозван по заявлению владельца сертификата.

4. Сменилось уполномоченное лицо, владеющее сертификатом;

Формируется указанный список центром сертификации и публикуется в любое доступное место для пользователей, чтобы пользователь в свою очередь мог его установить.

После проведенной установки CRL файла ПО использующее функции подписания и шифрования будет проверять находится ли ваш сертификат в указанном списке. В случае если ваш сертификат находится в списке, то подписывать и шифровать файлы и документы данным сертификатом вы уже не сможете.

Что это нам дает? Прежде всего вы всегда можете быть уверены, что сертификат, с которым вы сейчас работаете, является действующим и легитимность выполняемых действий будет подтверждена. Соответственно все законно и мы можем работать в дальнейшем спокойно.

Предположим, что кому-то (или чему-то) сертификат больше не нужен (человек уволился, скомпрометирован секретный ключ и т.п.). Срок действия сертификата ещё не кончился, но нужно, чтобы он не работал. Для этого администратор CA обновляет список отозванных сертификатов и размещает его в доступном для всех месте.

Петя уволился (сам или нет..)
1. На место Пети посадили Колю, который получил полный доступ к всей информации Пети. При этом ещё не все знают, что Пети нет.
2. Маша (которая ещё не знает, что случилось) шлёт Пете файл (что-то личное?!), зашифровав его Петиним открытым ключом.
3. Коля имеет доступ к секретному ключу Пети и может прочитать информацию от Маши. Так же не забываем, что он может ставить ЭЦП от имени Пети.

Если бы Маша проверила Петин сертификат по CRL, то она бы узнала, что сертификатом Пети шифровать уже нельзя. Да и другие люди должны знать, что Петя ничего больше подписывать не должен. Т.е. все должны регулярно обновлять CRL (если это не делается автоматически или ПО само не производит on-line проверку сертификата).

Таким нехитрым образом происходит работа CRL. Более глубже вдаваться в теорию работы со списками отзывов сертификатов нет смысла, поэтому перейдем к практике.

АО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР»

Электронная отчётность
Электронные торги
Удостоверяющий центр
Поддержка

Утилиты:

  • Утилитa автоматической установки сертификатов Удостоверяющего Центра и Специализированного Оператора Связи
    Инструкция по установке утилиты:
    1. Скачайте утилиту и сохраните в любое место на компьютере.
    2. Запустите утилиту.
    3. Во всех появляющихся диалоговых окнах нажимайте кнопку «Да».

Сертификаты Удостоверяющего Центра

  • Сертификат ЦС УЦ NWUDCAIS3 (NWUDCAIS3.cer)
  • Сертификат ЦС УЦ NWUDCAIS4 (NWUDCAIS4.cer)
  • Сертификат ЦС УЦ АО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР» (NWUDCSUB8.cer)
  • Сертификат ЦС УЦ АО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР» (NWUDCSUB9.cer)
  • Сертификат ЦС УЦ АО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР» (NWUDCSUB10.cer)
  • Сертификат ЦС УЦ АО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР» (NWUDC1.cer)
  • Сертификат ЦС УЦ АО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР» (NWUDC2.cer)

Сертификаты для взаимодоверия (кросс-cертификаты)

  • Цепочка доверия Минкомсвязь России — УЦ АО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР» (NWUDCSUB8)
  • Цепочка доверия Минкомсвязь России — УЦ АО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР» (NWUDCSUB9)
  • Цепочка доверия Минкомсвязь России — УЦ АО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР» (NWUDCSU10)
  • Цепочка доверия Минкомсвязь России — УЦ АО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР» (NWUDC1)
  • Цепочка доверия Минкомсвязь России — УЦ АО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР» (NWUDC2)

Список отозванных сертификатов (СОС)

  • СОС для пользователей УЦ NWUDCAIS3 (nwudcais3.crl)
  • СОС для пользователей УЦ NWUDCAIS4 (nwudcais4.crl)
  • СОС для пользователей УЦ АО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР» (nwudcsub8.crl)
  • СОС для пользователей УЦ АО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР» (nwudcsub9.crl)
  • СОС для пользователей УЦ АО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР» (nwudcsub10.crl)
  • СОС для пользователей УЦ АО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР» (nwudc1.crl)
  • СОС для пользователей УЦ АО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР» (nwudc2.crl)

Можно ли установить ЭЦП без корневого сертификата

Без корневого сертификата электронную подпись установить тоже получится, но такой ключ не будет признаваться в качестве действительного. Соответственно, подписать документ не получится (КриптоПро CSP будет выдавать ошибку, ссылаясь на невозможность проверить подлинность ЭЦП).

Это актуально и для онлайн-сервисов, где выполняется авторизация через ЭЦП. Все это работать не будет даже при считывании открытого ключа непосредственно из USB-накопителя через КриптоАРМ (без интеграции корневого ключа в систему). Операционная система точно так же будет выдавать ошибку, ссылаясь на невозможность проверить подлинность подписи.

Как установить отозванный сертификат

Добрый день уважаемые читатели блога Pyatilistnik.org, меня уже на протяжении этого месяца, несколько раз спрашивали в электронной почте, где хранятся сертификаты в windows системах, ниже я подробнейшим образом вам расскажу про этот вопрос, рассмотрим структуру хранилища, как находить сертификаты и где вы это можете использовать на практике, особенно это интересно будет для тех людей, кто часто пользуется ЭЦП (электронно цифровой подписью)

Для чего знать где хранятся сертификаты в windows

Давайте я вам приведу основные причины, по которым вы захотите обладать этим знанием:

  • Вам необходимо посмотреть или установить корневой сертификат
  • Вам необходимо посмотреть или установить личный сертификат
  • Любознательность

Ранее я вам рассказывал какие бывают сертификаты и где вы их можете получить и применять, советую ознакомиться с данной статьей, так как информация изложенная в ней является фундаментальной в этой теме.

Во всех операционных системах начиная с Windows Vista и вплоть до Windows 10 Redstone 2 сертификаты хранятся в одном месте, неком таком контейнере, который разбит на две части, один для пользователя, а второй для компьютера.

Читать еще:  Как установить стиралку под раковину в ванной

В большинстве случаев в Windows поменять те или иные настройки вы можете через mmc оснастки, и хранилище сертификатов не исключение. И так нажимаем комбинацию клавиш WIN+R и в открывшемся окне выполнить, пишем mmc.

Теперь в пустой mmc оснастке, вы нажимаете меню Файл и выбираете Добавить или удалить оснастку (сочетание клавиш CTRL+M)

В окне Добавление и удаление оснасток, в поле Доступные оснастки ищем Сертификаты и жмем кнопку Добавить.

Тут в диспетчере сертификатов, вы можете добавить оснастки для:

  • моей учетной записи пользователя
  • учетной записи службы
  • учетной записи компьютера

Я обычно добавляю для учетной записи пользователя

У компьютера есть еще дополнительные настройки, это либо локальный компьютер либо удаленный (в сети), выбираем текущий и жмем готово.

В итоге у меня получилось вот такая картина.

Сразу сохраним созданную оснастку, чтобы в следующий раз не делать эти шаги. Идем в меню Файл > Сохранить как.

Задаем место сохранения и все.

Как вы видите консоль хранилище сертификатов, я в своем примере вам показываю на Windows 10 Redstone, уверяю вас интерфейс окна везде одинаковый. Как я ранее писал тут две области Сертификаты — текущий пользователь и Сертификаты (локальный компьютер)

Сертификаты — текущий пользователь

Данная область содержит вот такие папки:

  1. Личное > сюда попадают личные сертификаты (открытые или закрытые ключи), которые вы устанавливаете с различных рутокенов или etoken
  2. Доверительные корневые центры сертификации > это сертификаты центров сертификации, доверяя им вы автоматически доверяете всем выпущенным ими сертификатам, нужны для автоматической проверки большинства сертификатов в мире. Данный список используется при цепочках построения доверительных отношений между CA, обновляется он в месте с обновлениями Windows.
  3. Доверительные отношения в предприятии
  4. Промежуточные центры сертификации
  5. Объект пользователя Active Directory
  6. Доверительные издатели
  7. Сертификаты, к которым нет доверия
  8. Сторонние корневые центры сертификации
  9. Доверенные лица
  10. Поставщики сертификатов проверки подлинности клиентов
  11. Local NonRemovable Certificates
  12. Доверительные корневые сертификаты смарт-карты

В папке личное, по умолчанию сертификатов нет, если вы только их не установили. Установка может быть как с токена или путем запроса или импорта сертификата.

В мастере импортирования вы жмете далее.

далее у вас должен быть сертификат в формате:

  • PKCS # 12 (.PFX, .P12)
  • Стандарт Cryprograhic Message Syntax — сертификаты PKCS #7 (.p7b)
  • Хранилище сериализованных сертификатов (.SST)

На вкладке доверенные центры сертификации, вы увидите внушительный список корневых сертификатов крупнейших издателей, благодаря им ваш браузер доверяет большинству сертификатов на сайтах, так как если вы доверяете корневому, значит и всем кому она выдал.

Двойным щелчком вы можете посмотреть состав сертификата.

Из действий вы их можете только экспортировать, чтобы потом переустановить на другом компьютере.

Экспорт идет в самые распространенные форматы.

Еще интересным будет список сертификатов, которые уже отозвали или они просочились.

Список пунктов у сертификатов для компьютера, слегка отличается и имеет вот такие дополнительные пункты:

  • AAD Token Issue
  • Windows Live ID Token
  • Доверенные устройства
  • Homegroup Machine Certificates

Думаю у вас теперь не встанет вопрос, где хранятся сертификаты в windows и вы легко сможете найти и корневые сертификаты и открытые ключи.

Популярные Похожие записи:

  • Экспорт и импорт сертификата Windows
  • Как изменить тип сертификата Signature на Exchange, и наоборот
  • Перенос сертификатов КриптоПРО на другой компьютер, за минуту
  • Как установить сертификат в реестр через КриптоПРО
  • Выпуск wildcard сертификата в Windows Certification Authority
  • Как получить тестовый сертификат криптопро, за минуту

34 Responses to Где хранятся сертификаты в windows системах

certmgr.msc и сразу попадаем в нужную консоль

Как я и писал, в сертификаты компьютера вы так не попадете.

А где они реально сами лежат в файлах, реестре?

Спасибо! Всё описал и ничего лишнего!

Всегда, рад помочь.

Интересует некий нюанс экспорта/импорта сертификатов.
Если есть необходимость ВСЕ установленные сертификаты перенести на этот же комп, после переустановки системы. Т.е. групповой экспорт/импорт.
Опять же интересует такая вещь, что если существуют «общесистемные» сертификаты (т.е. которые уже есть в винде при установке, по умолчанию), то наверное их не надо экспортировать/импортировать, потому что в старой системе могут оказаться отозванные, просроченные и пр. устаревшие сертификаты.
Т.е как вытянуть только все свои, установленные пользователем сертификаты, за один проход?

Через графический интерфейс ни как, попробуйте воспользоваться Powershell комапдлетами.

Так и остался не отвеченным вопрос, где они физически находятся…

Win 7 x64
Папка: C:Userssa-024AppDataRoamingMicrosoftSystemCertificatesMy
Реестр: HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsUsersS-1-5-21-2466579141-2672595957-3228453836-1000Keys

Только пока не нашел, где доверенные сертификаты лежат.

Спасибо за пошаговую инструкцию . Сейчас буду пытатьсяработать с сертифкатом .

Дорогие мои!
Не тратьте время на пустое!

Не надо их переносить и искать физически.
За исключением случаев переноса сертификата для особых целей.

Совет специалиста.
Во время работы в Интернете, откройте Консоль как показано в этой статье
и удалите ничего не опасаясь все без исключения сертификаты!
Далее посетите сайты
_microsoft.com
_google.com
_yahoo.com
И все нужные сертификаты с обновленным Сроком действия снова вернутся на ваш Компьютер!

Вопрос. Укажите, пожалуйста, где же хранятся сертификаты в Windows 10?

Какие именно, личные или промежуточные, корневые?

библиотека Python response при обращении к https:\ требует указания в качестве параметра пути к сертификатам. Какой путь надо указать для windows 10 и windows server 2012?

Очень помогла статья. Спасибо вам огромное за вашу работу!

Здравствуйте, а сертификаты безопасности, что с ними делать? а то у меня не работает и-за них Директ Коммандер.

В каком формате или виде они вас, опишите не совсем понятно

на телефоне как удалить?плиис,помогите

всем любопытным ответ на вопрос:
физически они находятся в реестре

Читать еще:  Как правильно установить смеситель в ванную своими руками видео

Большое спасибо, что действительно помогли мне 🙂

гениальный ответ Дениса заставляет прослезится, вопрос был ГДЕ находятся сертификаты. То что они в реестре и так известно

Полезная статья, спасибо!)

Рад, что вам подошло

Попробовал скопировать сертификат из реестра одного компьютера на другой.
При экспорте с закрытым ключем запрашивает пароль. Ввожу пароль из цифр.

Однако при импорте этого ключа пароль не принимается. Пишет неправильный пароль. Что не так и как скопировать сертификат с закрытым ключом ?

Вообще странно, если пароль вы установили, то измениться он не мог. ОС какая у вас?

@echo off
setlocal

:start
echo. # Export Certificates CryptoPro and SystemCertificatesPK to .Reg Files #
echo. Export Certificates CryptoPro — 1
echo. Export Certificates SystemCertificatesPK — 2
echo.
set /p choice= Enter the Number:
rem if not ‘%choice%’==» set choice=%choice:

0;1%
if ‘%choice%’==’1’ goto 1
if ‘%choice%’==’2’ goto 2
if not ‘%choice%’==» echo «%choice%» Bad points
cls

goto start
:1
mkdir %systemdrive%Cert_User%username%
set «exec=wmic useraccount where name=»%username%» get sid /value»
for /f %%i in (‘ «%exec%» ‘) do 1>nul set «%%i»
reg export «HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProSettingsUsers%sid%Keys» %systemdrive%Cert_User%username%_Cert_CryptoPro.reg /y
start %systemdrive%Cert_User%username%
cls

goto start
:2
mkdir %systemdrive%Cert_UserSystemCertificates
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesACRS» %systemdrive%Cert_UserSystemCertificatesACRS_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesADDRESSBOOK» %systemdrive%Cert_UserSystemCertificatesADDRESSBOOK_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesAuthRoot» %systemdrive%Cert_UserSystemCertificatesAuthRoot_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesCA» %systemdrive%Cert_UserSystemCertificatesCA_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesClientAuthIssuer» %systemdrive%Cert_UserSystemCertificatesClientAuthIssuer_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesDisallowed» %systemdrive%Cert_UserSystemCertificatesDisallowed_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesLocal NonRemovable Certificates» %systemdrive%Cert_UserSystemCertificatesLocal_NonRemovable_Certificates_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesMSIEHistoryJournal» %systemdrive%Cert_UserSystemCertificatesMSIEHistoryJournal_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesMy» %systemdrive%Cert_UserSystemCertificatesMy_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesREQUEST» %systemdrive%Cert_UserSystemCertificatesREQUEST_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesRoot» %systemdrive%Cert_UserSystemCertificatesRoot_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesSmartCardRoot» %systemdrive%Cert_UserSystemCertificatesSmartCardRoot_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatestrust» %systemdrive%Cert_UserSystemCertificatestrust_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesTrustedPeople» %systemdrive%Cert_UserSystemCertificatesTrustedPeople_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesTrustedPublisher» %systemdrive%Cert_UserSystemCertificatesTrustedPublisher_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesUserDS» %systemdrive%Cert_UserSystemCertificatesUserDS_Cert.reg /y
start %systemdrive%Cert_UserSystemCertificates
cls
goto start

Ну так ГДЕ корневые сертификаты находятся на локальном диске физически? Это лишь консоль (и за неё спасибо), но всё же, ГДЕ сами файлы оказываются… Надо искать через программу обнаружитель изменений, типа «Простой наблюдатель»… Или через поисковик Виндовс просто найти по расширению.

Установка корневых сертификатов и списка отозванных сертификатов Удостоверяющего центра

Для установки данных сертификатов, необходимо в обозревателе Internet Explorer перейти в «Свойства браузера» («Свойства обозревателя»). Данный пункт находится во вкладке «Сервис» (либо изображение шестеренки в новых версиях обозревателя – ) (Рис. 1).

Также можно открыть «Свойства браузера» («Свойства обозревателя») через «Панель управления» (с отображением мелких значков) Вашей операционной системы.

Рис. 1 Расположение раздела «Сервис» – «Свойства браузера» в Internet Explorer.

Далее выберите вкладку «Содержание» и нажмите на кнопку «Сертификаты» (Рис. 2).

Рис. 2 «Содержание» – «Сертификаты»

1) В открывшемся окне следует выбрать используемый сертификат и дважды нажать на него (Рис. 3).

Рис. 3 Список сертификатов, установленных на компьютере

2) Далее в новом окне перейти на вкладку «Состав» (Рис. 4, №1). Для установки списка отозванных сертификатов найти строку «Точки распространения сп…» (Рис. 4, №2).

В информационном окне, расположенном ниже, в графе «Полное имя» скопировать при помощи клавиатуры (горячих клавиш Ctrl+C) ссылку (начиная с букв “http” до конца строки) (Рис. 4, №3).

При работе в окне «Сертификат» обычные способы копирования не работают. Для копирования применяйте горячие клавиши клавиатуры (Ctrl+C – копировать, Ctrl+V – вставить).

Рис. 4 Состав сертификата

3) В окне Internet Explorer, в адресную строку вставляется ранее скопированная ссылка (Рис. 5).

Рис. 5 Адресная строка интернет-обозревателя

4) После перехода по ссылке браузер предложит три варианта действия для данного объекта. Необходимо выбрать пункт «Сохранить» (Рис. 6).

Рис. 6 Окно загрузки

5) После загрузки нажмите на «Открыть папку». Откроется окно Windows, где загруженный файл будет подсвечен синим цветом.

6) Для установки списка отозванных сертификатов на ранее загруженном файле необходимо нажать правой кнопкой мыши и выбрать строку «Установить список отзыва (CRL)» (Рис. 7, №2).
При установке корневого сертификата выбираем строку «Установить сертификат».

Рис. 7 Установка списка отзыва

7) В появившемся окне нажмите копку «Далее».

8) Из предложенных вариантов выберите «Поместить все сертификаты в следующее хранилище», и нажмите «Обзор» (Рис. 8).

Рис. 8 Выбор места установки сертификата

9) В новом появившемся окне поставьте галочку напротив надписи «Показать физические хранилища» (Рис. 9, №1). Откройте раздел «Доверенные корневые центры сертификации» (Рис. 9, №2).

Рис. 9 Выбор хранилища сертификата

Если в составе раздела есть «Локальный компьютер» выберите его и нажмите «ОК». В противном случае выберите весь раздел.

10) Нажмите кнопку «Далее», а затем «Готово».

11) Дождитесь информационного сообщения «Импорт успешно выполнен».

Повторите аналогичную процедуру с пункта 2.4 для установки Корневого сертификата удостоверяющего центра. На данном этапе вместо «Точек распространения..» выберите «Доступ к информации о центрах…».

Для установки списка отозванных сертификатов необходимо:

  • открыть личный сертификат пользователя (Internet Explorer → «Сервис» → «Свойства обозревателя» → «Содержание» → «Сертификаты»);
  • перейти на вкладку «Состав» и выбрать из списка «Точки распространения списков отзыва»;
  • в блоке «Имя точки распространения» скопировать ссылку на загрузку списков отзыва;
  • сохранить список отзыва на компьютер в произвольное место;
  • нажать на список отзыва правой кнопкой мыши и выбрать «Установить список отзыва (CRL)»;
  • следовать указаниям «Мастера импорта сертификатов».

Читайте так же: установка корневого сертификата Удостоверяющего Центра.

Как начать работать с КриптоАРМ

Чтобы воспользоваться этой инструкцией, вам потребуется:

  • Установленный криптопровайдер КриптоПро CSP
  • Установленная программа КриптоАРМ
  • Сертификат электронной подписи, полученный в УЦ

Не смотря на то, что программа КриптоАРМ во многих отраслях уже стала стандартом для электронной подписи, у пользователей по-прежнему возникает множество вопросов по работе с ней. Мы решили рассказать о том, как начать работу в КриптоАРМ и одновременно осветить наиболее часто задаваемые вопросы, которые возникают почти у всех: как исправить ошибку построения пути сертификации и ошибку отсутствия полного доверия к сертификату.

Читать еще:  Как правильно установить ванную видео пошагово

Обычно эта ошибка выглядит так:

Давайте сначала разберемся, почему эта ошибка возникает.

Отсутствие полного доверия к сертификату означает, что ваш компьютер не знает, может ли он доверять Удостоверяющему Центру (УЦ), который выдал вам сертификат, а соответственно — и самому вашему сертификату электронной подписи. Чтобы это исправить, нам нужно будет добавить этот УЦ в список доверенных на вашем компьютере.

Сообщение об ошибке построения пути сертификации говорит нам о том, что КриптоАРМ хотел бы проверить, нет ли вашего сертификата в списке отозванных. Такой список нужен для того, чтобы включать в него потерянные или украденные сертификаты. Если ваш сертификат в таком списке — им никто не может воспользоваться. Ссылка на такой список (его выкладывает УЦ на свой сайт) есть прямо в вашем сертификате, и если у вас есть подключение к Интернет, то КриптоАРМ сам может скачать и проверить, нет ли вашего сертификата в таком списке.

Можно сделать следующий вывод: если вы железобетонно уверены, что ваш УЦ правильный, и что вашего сертификата нет в списке отзыва — то можно ничего не делать и ошибки не исправлять. Это действительно так!

Шаг 1: Переводим КриптоАРМ в режим Эксперт

В КриптоАРМ почему-то в режиме Эксперт работать значительно проще, чем в режиме пользователя. Поэтому для начала перейдем в этот режим

Шаг 2: Подключаем сертификат электронной подписи

Здесь я руководствуюсь тем, что вы уже озаботились безопасностью вашего сертификата, приобрели токен, и положили туда свой сертификат. Ну или по крайней мере положили на дискету или флешку (и храните их в сейфе). Если все же нет — смотрите шаг 2-1.

Подключаем отчуждаемый носитель

Выбираем криптопровайдер, как показано на скриншоте, а выбирая тип носителя, следует выбрать токен или дискету (флешка считается дискетой, не удивляйтесь).

Теперь выбираем контейнер. Контейнер, если упростить, это просто место где хранится сертификат на токене или флешке. В одном контейнере обычно лежит один сертификат, поэтому выбор контейнера сводится к выбору сертификата. Если у вас на носителе (флешке, токене, дискете) лежит несколько сертификатов — выберите именно тот, который вам нужен.

Если ваш контейнер хранится на токене (или в иных случаях), то нужно будет ввести пин-код. Для Рутокен стандартный пин-код 12345678, для eToken1234567890. Если вы все еще пользуетесь стандартным пин-кодом — стоит его сменить, ведь весь смысл использования токена заключается в защите сертификата пин-кодом.

Все, мы объяснили программе КриптоАРМ, где находится наш сертификат, но она ему не очень доверяет.

Шаг 2-1: Подключаем сертификат, если он не на съемном носителе

Если ваш сертификат лежит где-то на вашем локальном диске, то хочу вас предупредить — это очень небезопасно. Согласно данным Лаборатории Касперского, Россия находится в первой пятерке стран с наивысшей вероятностью заражения вирусами, при этом каждый двадцатый компьютер, имеющий антивирусную защиту, все же заражен тем или иным вирусом. А это значит, что злоумышленники, которые управляют вирусами, могут легко и непринужденно украсть ваш сертификат электронной подписи.

Настоятельно рекомендую вам купить токен для хранения сертификата. Чем руководствоваться в выборе токена, мы описали в статье «Как выбрать токен».

Я попытался найти простой способ добавить сертификат в КриптоАРМ, если он лежит на локальном диске, но не нашел. Поэтому единственный быстрый способ добавить сертификат с локального диска в КриптоАРМ — это положить его на флешку (прямо в корень, без папок) и вернуться к Шагу 2.

Шаг 3: Добавляем сертификат УЦ в список доверенных центров сертификации

Итак, сертификат мы добавили, но КриптоАРМ ему не доверяет, потому что сертификата Удостоверяющего Центра нет в списке доверенных. Сейчас нам будет нужно его добавить в такой список.

Для этого возвращаемся в основное окно КриптоАРМ, заходим СертификатыЛичное хранилище сертификатовПравой кнопкой мыши на ваш сертификатСвойства

Переходим на вкладку «Статус Сертификата«, выбираем сертификат удостоверяющего центра (из него «вытекает» ваш сертификат), и нажимаем Просмотреть, а затем нажимаем кнопку Установить сертификат.

Выбираем пункт «Поместить все сертификаты в следующее хранилище«, нажимаем Обзор, а затем выбираем «Доверенные корневые центры сертификации«, а затем подтверждаем установку сертификата.

Шаг 4: Проверить сертификат по списку отзывов

Если все прошло успешно, и у вас есть подключение к Интернет, то проверить сертификат по списку отзывов очень просто. Для этого мы идем в Свойства сертификата, как это показано на Шаге 3, выбираем свой сертификат в списке, выбираем опцию меню «По CRL, полученному из УЦ«,а затем нажимаем Проверить.

Все, сертификат проверен. Чтобы убедиться, что все в порядке, зайдите в Личное Хранилище Сертификатов и обновите представление. Зеленая галочка на сертификате означает, что все в порядке

Вот и все!

КриптоАРМ можно приобрести у нас в интернет-магазине.

Если вы не хотите проводить эти процедуры самостоятельно, то у нас есть платная услуга «Удаленная установка»: вы можете приобрести ее как обычный товар.

Если инструкция показалась вам полезной — делитесь ей с другими людьми, кнопки для этого вы найдете прямо под статьей.

Чтобы не пропустить наши статьи — подписывайтесь на нас в социальных сетях! Ссылки на наши странички в социальных сетях можно найти в самом низу экрана.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector