Установленные сертификаты windows 7. Проверка хранилища сертификатов Windows на наличие недоверенных корневых сертификатов
Операционная система сохраняет сертификаты локально на том компьютере, с которого запрашивался сертификат для данного компьютера или для пользователя, работающего за данным компьютером. Место хранения сертификатов называется хранилищем сертификатов (certificate store).
С помощью оснастки Certificates (Сертификаты) (рис. 22.10) можно просматривать хранилища сертификатов для пользователя, компьютера или сервиса (службы), в которых сертификаты можно сортировать. Режим сортировки определяется переключателями в окне
View Options (Параметры просмотра), которое вызывается с помощью команды View | Options (Вид Параметры). Переключатель
Certificate purpose определяет режим просмотра сертификатов по назначению, а переключатель
Logical certificate stores - по логическим хранилищам. В табл. 22.1 перечислены некоторые основные папки, которые отображаются в окне оснастки
Certificates в разных режимах просмотра.
Оснастка Certificates отсутствует в пользовательском интерфейсе системы, поэтому ее нужно подключить вручную к консоли ММС. Процедура создания инструмента ММС описана в разд. "Создание новой консоли" главы 6 "Средства управления системой".
Рис. 22.10. Окно оснастки Certificates
Таблица 22.1. Список папок хранилища сертификатов с кратким описанием
| Сортировка по |
Папка |
Содержит |
| Логическим хранилищам |
Personal (Личные) |
Сертификаты, связанные с закрытыми ключами пользователя. Сертификаты, которые были выданы компьютеру или службе, для которых выполняется управление сертификатами |
| Trusted Root Certification Authorities (Доверенные корневые центры сертификации) |
Полностью доверяемые центры сертификации |
|
| Enterprise Trust (Доверительные отношения в предприятии) |
Списки доверяемых отношений сертификатов (certificate trust list). Обеспечивает механизм доверия к корневым сертификатам со стороны других организаций |
|
| Intermediate Certification Authorities (Промежуточные центры сертификации) |
Сертификаты, выпущенные для других пользователей и центров сертификации |
|
| Active Directory User Object (Объект пользователя Active Directory) |
Сертификаты, связанные с вашим пользовательским объектом и опубликованные в Active Directory |
|
| Trusted Publishers (Доверенные издатели) |
Сертификаты, выпущенные центрами сертификации, которые соответствуют политикам Software Restriction |
|
| Untrusted Certificates (Сертификаты, к которым нет доверия) |
Сертификаты, для которых явно установлено отсутствие доверительных отношений |
|
| Third-Party Root Certification Authorities (Сторонние корневые центры сертификации) |
Доверяемые корневые сертификаты от центров сертификации, отличных от Microsoft и вашей собственной организации |
|
| Trusted People (Доверенные лица) |
Сертификаты, выпущенные для других пользователей или конечных устройств, с которыми налажены доверительные отношения |
|
| По назначению |
Server Authentication (Проверка подлинности сервера) |
Сертификаты, которые используются серверными программами для аутентификации при обращении к клиентам |
| Client Authentication (Проверка подлинности клиента) |
Сертификаты, которые используются клиентскими программами для аутентификации при обращении к серверам |
|
| Code Signing (Подписывание кода) |
Сертификаты, связанные с парами ключей, используемых для подписи активного содержания |
|
| Secure Email (Защищенная электронная почта) |
Сертификаты, связанные с парами ключей, используемых для подписи электронных сообщений |
|
| Encrypting File System (Шифрующая файловая система) |
Сертификаты, связанные с парами ключей, которые шифруют и дешифруют симметричный ключ, используемый для шифрования и расшифровки данных |
|
| File Recovery (Восстановление файлов) |
Сертификаты, связанные с парами ключей, которые шифруют и дешифруют симметричный ключ, используемый для восстановления зашифрованных данных |
При наличии соответствующих прав вы можете импортировать или экспортировать сертификаты из любой папки в хранилище сертификатов. Если личный ключ, связанный с сертификатом, доступен для экспорта, то вы можете экспортировать сертификат и личный ключ в файл, соответствующий стандарту PKCS #12.
Оснастка Certificates позволяет публиковать выпущенные сертификаты в Active Directory. Публикация сертификата в Active Directory дает возможность всем группам, которые имеют необходимые разрешения, извлекать сертификат при необходимости.
Команда Find Certificates (Поиск сертификатов) (контекстного меню или меню
Action (Действие)) помогает отыскать выпущенные сертификаты в хранилищах сертификатов. Вы можете провести поиск в определенном хранилище или во всех хранилищах и ограничить поиск на основании определенной информации сертификатов, например, искать сертификаты, выпущенные определенным центром сертификации.
Иногда возникает необходимость удалить сертификаты из браузера, устаревшие или сертификаты в которых больше нет необходимости.
Например в Казахстане используется сертификат Электронной цифровой подписи (ЭЦП) для работы с государственными порталами: Кабинет Налогоплательщика РК, Статистика РК и другие порталы так же использующие ЭЦП для входа. И довольно частым вопросом стоит: как удалить ЭЦП?
И хоть сертификаты (ЭЦП) используют непосредственно браузеры, но сами сертификаты содержатся в хранилище сертификатов Windows.
Хранилище сертификатов Windows используют большинство браузеров: Google Chrome, Internet Explorer, Opera.
Удаление сертификата из хранилища Windows автоматически удалит использование сертификата этими браузерами.
ВНИМАНИЕ:
Браузер Mozilla Firefox использует собственное хранилище сертификатов.
Сертификаты используемые этим браузером удаляются через настройки в самом браузере
Есть два способа доступа к хранилищу сертификатов Windows, через свойства браузера Internet Explorer или через оснастку управления Windows.
Первый, упрощенный способ удалить сертификат ЭЦП
Простой и безопасный способ позволяющий удалить только сертификаты пользователя, используя настройку Свойства: Интернет в Windows 10 (для всех браузеров, а не только Internet Explorer).
В Панели управления выбираем пункт Сеть и Интернет .
Изображение 1. Открываем Панель управления в Windows 10
В открывшемся окне, щелкнем по пункту Управление настройками браузера , появляется окно Свойства: Интернет .
Перейдем на вкладку Содержание, в ней нажмем на кнопку Сертификаты .
В окне Сертификаты мы можем удалить сертификат ЭЦП пользователя в котором больше нет необходимости.
Изображение 2. Удаление сертификата ЭЦП из Windows 10
Используя данный способ мы видим не все установленные сертификаты и не ко всем сертификатам имеем доступ.
Для полного доступа в хранилищу сертификатов Windows используем доступ через оснастку управления сертифкатами.
Второй, расширенный способ удалить сертификат ЭЦП
Этот способ для пользователей точно понимающих, что они хотят сделать. С полными правами на удаление не только сертификатов пользователя, а всех имеющихся сертификатов Windows, в том числе например сертификатов корневых центров сертификации Windows или антивирусных программ.
Для этого либо в Командной строке (статья: ), либо в окне Выполнить (вызывается комбинацией клавиш Windows +R) вводим название оснастки — certmgr.msc
Оснастка позволяет получить полный доступ к хранилищу сертификатов Windows, как к сертификатам пользователя, так и корневым центрам сертификации.
Изображение 3. Удаление сертификата ЭЦП из Windows 10 через оснастку управления сертификатами
Например список сертификатов ЭЦП отображаемый при входе в Кабинет налогоплательщика РК, отображается в папке Личное — Сертификаты .
В операционных системах семейства Windows, начиная с Windows 7, присутствует система автоматического обновления корневых сертификатов с сайта Microsoft. MSFT в рамках программы Microsoft Trusted Root Certificate Program , ведет и публикует в своем онлайн хранилище список сертификатов для клиентов и устройств Windows. В том, случае если проверяемый сертификат в своей цепочке сертфикации относится к корневому CA, который участвует в этой программе, система автоматически скачает с узла Windows Update и добавит такой корневой сертификат в доверенные.
В том случае, если у Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневой сертификат, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия, см. статью об ошибке в Chrome « «), либо с установкой / запуском подписанных приложений или .
В этой статье попробуем разобраться, как можно вручную обновить список корневых сертификатов в TrustedRootCA в изолированных системах, или системах без прямого подключения к интернету.
Примечание . В том случае, если пользователи получают доступ в интернет через прокси сервер, для того, что работало автоматическое обновление корневых сертификатов на компьютера пользователей, Microsoft рекомендует открыть прямой доступ (bypass) к узлам Microsoft. Но это не всегда возможно/применимо.
Утилита rootsupd.exe
В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe , список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates). Посмотрим, можно ли использовать ли ее сейчас.
Но , как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до ). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов.
Получения списка корневых сертификатов с узла Windows Update с помощью Certutil
Последняя версия утилиты для управления и работы с сертификатам Certutil (представленная в Windows 10), позволяет скачать и сохранить в SST файл актуальный список корневых сертификатов.
Для генерации SST файла, на компьютере Windows 10 с прямым доступом в Интернет, выполните с правами администратора команду:
certutil.exe -generateSSTFromWU roots.sst
В результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий сертификаты.
Как вы видите, откроется знакомая оснастка управления сертификатами, из которой вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 358 элементов. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.
Совет . Для генерации индивидуальных файлов сертификатов можно использовать команду certutil -syncWithWU. Полученные таким образом .
Для установки всех сертификатов, содержащихся в файле, воспользуемся утилитой updroots. exe (она содержится в архиве rootsupd.exe, который мы распаковали в предыдущем разделе).
Установка сертификатов из STT фалйла выполняется командой:
updroots.exe roots.sst
Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority.
Список корневых сертификатов в формате STL
Есть еще один способ получения списка сертификатов с сайта Microsoft. Для этого нужно скачать файл http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (обновляется дважды в месяц).С помощью любого архиватора (или проводника Windows) распакуйте содержимое архива authrootstl.cab . Он содержит один файл .
Файл authroot.stl представляет собой контейнер со списком доверенных сертификатов в формате Certification Trust List.
Данный файл можно установить в системе с помощью контекстного меню файла STL ().
Или с помощью утилиты certutil:
certutil -addstore -f root authroot.stl
После выполнения команды, в консоли управления сертификатами (certmgr.msc) в контейнере Trusted Root Certification Authorities появится новый раздел с именем Certificate Trust List .
Аналогичным образом можно скачать и установить список с отозванными сертификатами, которые были исключены из программы Root Certificate Program. для этого, скачайте файл disallowedcertstl.cab (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), распакуйте его и добавьте в раздел Untrusted Certificates командой:
certutil -addstore -f disallowed disallowedcert.stl
В это статье мы рассмотрели несколько простейших способов обновления списка корневых сертификатов на изолированной от Интернета системе Windows. В том случае, если возникла задача регулярного обновления корневых сертификатов в отделенном от внешней сети домене, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. Об этом подробнее в одной из ближайших статей.
Windows 2000 сохраняет сертификаты локально на том компьютере, с которого запрашивался сертификат для данного компьютера или для пользователя, работающего за данным компьютером. Место хранения сертификатов называется хранилищем сертификатов (certificate store). С помощью оснастки Сертификаты (Certificates) (рис. 26.13) можно просматривать хранилища сертификатов для пользователя, компьютера или сервиса, в которых сертификаты можно сортировать (переключатели в окне Параметры просмотра (View Options)) - вызывается из меню Вид (View)) по назначению (Purpose) или по логическим хранилищам (Logical Store) (табл. 26.2). При сортировке сертификатов по логическим хранилищам можно также отобразить физические хранилища с указанием их иерархии. Примечание : Оснастка Сертификаты не включается в меню при инсталляции системы, ее нужно запускать (создать инструмент консоли ММС) вручную. Процедура создания инструмента ММС описана в разделе "Создание новой консоли" главы 6.
При наличии соответствующих прав вы можете импортировать или экспортировать сертификаты из любой папки в хранилище сертификатов. Если личный ключ, связанный с сертификатом, доступен для экспорта, то вы можете экспортировать сертификат и личный ключ в файл, соответствующий стандарту PKCS #12.
Оснастка Сертификаты также позволяет публиковать выпущенные сертификаты в Active Directory. Публикация сертификата в Active Directory дает возможность всем группам, которые имеют необходимые разрешения, извлекать сертификат при необходимости.
При наличии соответствующих прав можно запрашивать или импортировать сертификаты из любой папки в хранилище сертификатов. Однако вы можете экспортировать сертификаты из хранилищ сертификатов только при отображении физическогр хранилища.
Команда Поиск сертификатов (Find Certificates) (контекстного меню или меню Действие (Action)) помогает отыскать выпущенные сертификаты в хранилищах сертификатов. Вы можете провести поиск в определенном хранилище или во всех хранилищах и ограничить поиск на основании опреде-
ленной информации сертификатов, например, искать сертификаты, выпущенные определенным центром сертификации.
| Рис 26.13. Окно оснастки Сертификаты (Certificates) |
Таблица 26.2. Папки хранилища сертификатов
| Сортировка по | Папка | Содержит |
| Логическим хранилищам | Личные (Personal) | Сертификаты, связанные с личными, закрытыми ключами пользователя |
| Доверенные корневые центры сертификации (Trusted Root Certification Authorities) | Доверяемые корневые центры сертификации | |
| Доверительные отношения в предприятии (Enterprise Trust) | Список доверительных отношений сертификатов (certificate trust list). Обеспечивает механизм доверия к корневым сертификатам со стороны других организаций | |
| Промежуточные центры сертификации (Intermediate Certification Authorities) | Сертификаты, выпущенные для других пользователей и центров сертификации | |
| Объект пользователя Active Directory (Active Directory User Object) | Сертификаты, связанные с вашим пользовательским объектом и опубликованные в Active Directory | |
| REQUEST | Сертификаты, для которых запущен запрос, и отклоненные сертификаты | |
| Назначению (основные группы) | Проверка подлинности сервера (Server Authentication) | Сертификаты, которые используются серверными программами для аутентификации при обращении к клиентам |
| Проверка подлинности клиента (Client Authentication) | Сертификаты, которые используются клиентскими программами для аутентификации при обращении к серверам | |
| Подписывание кода (Code Signing) | Сертификаты, связанные с парами ключей, используемых для подписи активного содержания | |
| Защищенная электронная почта (Secure Email) | Сертификаты, связанные с парами ключей, используемых для подписи электронных сообщений | |
| Шифрованная файловая система (Encrypting File System) | Сертификаты, связанные с парами ключей, которые шифруют и дешифруют симметричный ключ, используемый для шифрования и дешифрования данных | |
| Восстановление файлов (File Recovery) | Сертификаты, связанные с парами ключей, которые шифруют и дешифруют симметричный ключ, используемый для восстановления зашифрованных данных |
Одним из методов безопасности для операционной системы Windows считается применение сертификатов. Этот документ с наличием цифровой подписи удостоверяет подлинность веб-узла, различных служб, пользователей, устройств. Они выдаются центром сертификации и сохраняются в специальных папках.
Пользователи интересуются, где хранятся сертификаты в Windows7? Ответ на самом деле прост и краток: на жестком диске и в системных папках. Но мы остановимся на некоторых вопросах в нашей статье более подробно, чтобы расставить все точки над i.
Как просмотреть, где хранятся нужные сертификаты в системе Windows 7?
Чтобы просматривать и управлять сертификатами Windows, потребуется войти в систему на правах администратора. Далее диспетчер сертификатов предоставит подробную информацию и даст возможность смены, удаления и добавления новых сертификатов.
Они сохраняются в папках, находящихся в категории «Сертификаты – текущий пользователь».
После того, как папка окажется раскрытой, информацию об этих документах можно просмотреть справа. В столбике «Предназначение» предоставляются данные о каждом из них.
Далее возможно получить новый тип документа с ключом. Его можно передавать или принимать. Для осуществления каждого действия щелкают по сертификату, а потом в меню «Действие» подбирается пункт с необходимой командой.
Принцип просмотра хранилищ
Оснастка «Сертификаты» помогает отображать хранилище пользователей, службы и устройства, в зависимости от цели выдачи документов. Если они отображены соответственно с директорией, необходимо будет подобрать отображение физического лица с отображением иерархии хранилища.
Когда пользователь обладает соответствующими правами, ему разрешено проводить импорт и экспорт сертификатов из каждой папки в хранилище. В случае, когда ключ документа отмечен в качестве доступного к экспорту, разрешается как его, так и сертификат отправить в файл PKSC№12.
Windows публикует сертификацию в доменной службе под названием Active Directory. Публикация документа дает возможность компьютерам и юзерам с разрешениями извлекать его при необходимости.
Дополнительная информация о хранилищах
Система хранит сертификаты локально на устройстве либо компьютере, если они были запрошены пользователем ранее. В хранилище содержатся многочисленные документы, полученные от различных официальных центров. Их можно будет просматривать согласно назначению (подписание кода, проверка подлинности) и логической роли (доверенные, личные и т.п.). Параметры директории применяют для просмотра архивированных документов и структуры хранения.
Возможно, будет полезно почитать:
- Аббатство - это католический монастырь ;
- Самые распространенные расклады ;
- Быт и обычаи Обычаи и нравы 19 века ;
- К чему снятся жабы и лягушки: мужчине, девушке, женщине, беременной – толкования разных сонников ;
- Основные характеристики марса ;
- Должностная инструкция транспортного экспедитора ;
- Татаро-монгольское иго или история о том, как ложь стала правдой ;
- Журавль толкование сонника ;