Управление сертификатами в Windows Certificate Manager / PowerShell

Управление сертификатами в Windows Certificate Manager / PowerShell Электронная цифровая подпись
Содержание
  1. Что такое сертификат эцп
  2. Что такое хранилище сертификатов в windows системах
  3. Powershell против диспетчера сертификатов windows
  4. В реестре
  5. Выбор сертификатов
  6. Где в реестре хранится эцп
  7. Где хранится сертификат в ос windows
  8. Где хранится сертификат эцп в ос windows xp
  9. Где хранится эцп в системах linux
  10. Для чего оно нужно
  11. Добавление новой эцп
  12. Импорт и экспорт сертификатов в mmc
  13. Импорт сертификатов
  14. Использование powershell по логическому хранилищу
  15. Использование powershell по физическому хранилищу
  16. Использование диспетчера сертификатов windows (certmgr.msc)
  17. Как долго нужно хранить документ
  18. Как посмотреть
  19. Как посмотреть сертификат эцп
  20. Как посмотреть установленные цифровые сертификаты в windows 7 или 10
  21. Компьютерные сертификаты
  22. Места хранения эцп
  23. Открываем «хранилище сертификатов»
  24. Предварительные требования
  25. Проверка атрибутов в диспетчере сертификатов windows
  26. Просмотр сертификатов через certmgr
  27. Просмотр сертификатов через крипто про
  28. Просмотр физических хранилищ
  29. Просмотр через консоль управления
  30. Резюме
  31. Сертификаты пользователей
  32. Создание самозаверяющих (self-signed) сертификатов с помощью powershell
  33. Удаление сертификатов с помощью powershell
  34. Управление сертификатами в windows
  35. Установка через контейнер
  36. Установка через меню лс
  37. Экспорт закрытых ключей

Что такое сертификат эцп

Сегодня все чаще встречается дистанционное оформление бумаг. Сделки заключаются удаленно, присутствие сторон необязательно. Удостоверяющий центр выпускает специальную бумагу в электронном или бумажном формате. С его помощью подтверждается подлинность цифровой подписи, перекрывается доступ сторонним лицам к закрытой информации.

В сертификате ЭЦП содержатся следующие данные:

  • сведения о владельце;
  • срок действия;
  • название удостоверяющего центра, издавшего документ;
  • наименование средства;
  • проверочный ключ;
  • информация об ограничениях в области применения.

В отдельных случаях в него включаются дополнительные данные пользователя и издателя, адреса служб штампов времени и действующих статусов сертификатов и т.п.

Аккредитованный удостоверяющий центр в момент выпуска документа генерирует ключ проверки. При этом сохраняются сведения о владельце электронной подписи в специальном файловом массиве.

Что такое хранилище сертификатов в windows системах

Термин «хранилище сертификатов» можно расшифровать как часть оперативной памяти ПК, где помещена на хранение самая секретная зашифрованная информация.  К таковой относятся:

  • учетные данные;
  • доступ к определенным программным продуктам.

Сертификаты служат для идентификации человека посредством сети интернет, после чего он сможет подтвердить допуск к определенным утилитам.

Доступ к секретным документам имеют единицы. Хранилище, как объект ОС, можно обозначить как отдельный файл, но для его открытия используются совсем другие средства, нежели доступные многим программы.

Хранилище имеет два отдельных раздела. В одном хранятся личные данные пользователя, в другом – средства идентификации самого компьютера. Сохранение происходит локально для каждого ПК и для каждого пользователя, который работает на нем.

У файла сертификата расширение .cer или .csr. Он занимает совсем немного места. Объем занятой памяти не превышает нескольких килобайт. Кстати, подобные файлы эксплуатируются в ОС Linux, MacOS. Файлы с подобным расширением можно назвать стандартным форматом ЭЦП. Во многих странах используются сертификаты стандарта .x509. В РФ они распространения не получили.

Powershell против диспетчера сертификатов windows

Поскольку в Windows можно управлять сертификатами несколькими способами, встаёт вопрос выбора, что лучше использовать – GUI (MMC) или командную строку с PowerShell.

Во-первых, рассмотрим жизненный цикл сертификата. Если вы собираетесь установить или удалить один сертификат только один раз, рассмотрите возможность использования MMC. Но если вы управляете несколькими сертификатами или выполняете одну и ту же задачу снова и снова, использование командной строки может оказаться правильным решением.

Давайте сначала посмотрим, как обнаружить сертификаты, установленные в Windows, с помощью диспетчера сертификатов и PowerShell.

В реестре

Допускается хранить сертификаты ЭЦП в реестре по аналогии со стандартными ключевыми носителями. Найти перенесенные ключи цифровой подписи можно в папках:

Под Keys SID подразумевается персональное пользовательское имя, удостоверяющее подлинность подписи.

Выбор сертификатов

Когда вы работаете с сертификатами, вам понадобится способ фильтрации и выбора сертификатов для выполнения определенных операций. В большинстве случаев вы будете фильтровать и выбирать сертификаты на основе значения определенного расширения.

Для следующих примеров вам нужно начать с перечисления всех установленных сертификатов в хранилище корневого ЦС.

Где в реестре хранится эцп

Иногда реестр используется как ключевой носитель, т.е. он подходит для импорта и экспорта сертификатов. Где находится сертификат ЭЦП зависит от битности системы:

Где хранится сертификат в ос windows

Установка или просмотр корневого или личного сертификата (ЛС) невозможна без знания места хранения подписи в ОС. Все версии Windows помещают ключи ЭЦП в так называемый контейнер, который раздел на часть для пользователя и ПК.

Поменять настройки хранения ключа можно через mmc оснастку, которая выводится комбинацией клавиш WIN R:

В корне консоли комбинацией клавиш CTRL M через Файл можно добавить или удалить оснастку:

В открывшемся окне пользователь выбирает поле доступных оснасток, затем «Сертификаты» и нажимает добавление:

Диспетчер позволяет добавить новую оснастку для персональной учетной записи, учетной записи ПК или службы. Если добавляется учетная запись ПК, то в ней есть дополнительные настройки:

Выбрать необходимо локальный ПК, после чего нажать «Готово». Откроется вот такое окно:

Созданную оснастку нужно сохранить через пункт меню «Файл». Для удобства работы местом сохранения выбирают рабочий стол:

В корневой консоли область сертификатов разделена на 2 части для пользователя и ПК. Область пользователя содержит несколько папок:

  • Личное;
  • Корневые доверительные и промежуточные сертификаты;
  • Пользовательские объекты AD;
  • Сертификаты, к которым не установлено доверие;
  • Доверенные лица и издатели и т.п.

Обычно изначально папка «Личное» не содержит сертификатов. Перенести один сертификат в папку можно через запрос или импорт:

Далее необходимо нажать в мастере импортирования «Далее». Нужный сертификат обычно имеет следующий формат:

  • PKCS # 12 (.PFX, .P12);
  • Стандарт Cryprograhic Message Syntax — сертификаты PKCS #7;
  • Хранилище сериализованных сертификатов.

Через вкладку доверенных сертификатов откроется большой список корневых, который необходим для нормальной работы на интернет-пространстве:

Состав любого из них можно посмотреть через двойной щелчок мыши, а из действий пользователю доступен экспорт для последующей переустановки на другой ПК. Экспорт возможен в разных распространенных форматах:

Полезной для пользователя будет и папка, содержащая недействительные и просроченные сертификаты. Поскольку их своевременное обновление и замена позволят избежать проблем с работой компьютера.

Где хранится сертификат эцп в ос windows xp

К базовым компонентам ОС Windows XP относятся службы сертификации, а XP Professional уже поддерживает многоуровневые иерархии центра сертификации (ЦС) как с изолированными и интерактивными ЦС, так и сети ЦС с доверительными перекрестными отношениями.

Открытые ключи ЭЦП Windows XP хранит в личном хранилище, а т.к. они представляют собой общедоступную информацию, то хранятся в виде открытого текста. Сертификаты пользователя находятся по адресу:

Documents and Settings<имя_пользователя>ApplicationDataMicrosoft SystemCertificatesMyCertificates. Они автоматически вносятся в локальный реестр при каждом входе в систему. Если профиль перемещаемый, то открытые ключи хранятся обычно не на ПК, а следуют за пользователем при каждом входе в систему с внешнего носителя.

Читайте также:  Пив Асу ГФ, Вход, повышению финансовой грамотности

Такие поставщики услуг криптографии, как Enchanced CSP и Base CSP хранят закрытые ключи электронной подписи в папке %SystemRoot%Documents and Settings<имя_пользователя> Application DataMicrosoftCryptoRSA. Если профиль перемещаемый, то они расположены в папке RSA на контроллере домена.

В этом случае на ПК они загружаются только на время работы профиля. Все файлы в данной папке шифруются случайным симметричным ключом автоматически. Основной ключ пользователя имеет длину в 64 символа и создается проверенным генератором случайных чисел.

Где хранится эцп в системах linux

В Linux системах список контейнеров с закрытыми ключами можно найти при помощи утилиты csptest. Находится она в директории:  /opt/cprocsp/bin/<архитектура>.

Список контейнеров компьютера: csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys. Список контейнеров пользователя: csptest -keyset -enum_cont -verifycontext -fqcn. В списках имена контейнеров даются в виде, понятном для бинарных утилит, входящих в состав дистрибутива CSP.

Закрытые ключи хранятся в хранилище HDImageStore на жестком диске, и доступны они и для CSP, и для JCP.

Просмотреть список ключей электронной подписи на ОС Windows может только пользователь с правами администратора. Обычно ключи хранятся в системных папках и имеют расширение .cer или .csr. Чтобы посмотреть список, удалить ненужные элементы или скопировать их на внешний носитель можно воспользоваться программой КриптоПро, браузером Internet Explorer, консолью управления или специальной утилитой certmgr.

В Windows XP открытые и закрытые ключи хранятся в разных папках, а закрытые дополнительно шифруются паролем, состоящим из комбинации случайных чисел. Системы Linux хранят все сертификаты в отдельной директории, а пусть к ним задается вручную при помощи команд.

Для чего оно нужно

Каждый документ в хранилище призван сохранить безопасность работы операционной системы ПК. Это предотвращает проникновение в систему опасных или нежелательных и сомнительных программ. Каждая цифровая подпись отвечает за благонадежность отдельно взятого софта. Иногда такую же проверку проходит и сам пользователь. То есть для него тоже имеется свой идентификатор.

У Виндовс есть свои корневые сертификаты. Благодаря им поддерживается стандартная работа ОС. Например, можно совершенно спокойно пользоваться функцией «Центр обновления Windows».

Очень широкое применение сертификация получила в Google Chrome. Особенно она востребована для взаимодействия с государственными сайтами. Чтобы иметь доступ к базам данных, обязательно нужно соответствующее разрешение. Вот его и выдает государственный сайт.

Немало утилит создают свои шифры. Например, если требуется изменить характеристики оборудования. Таким образом они обеспечивают программному продукту законность.

Добавление новой эцп

Добавить в хранилище сертификатов через меню КриптоПро CSP новый объект можно двумя способами:

  • Через «Посмотреть установленные сертификаты в контейнере»;
  • Через «Установить личный сертификат (ЛС)».

Для ОС Windows 7 без установленного SP1 рекомендован второй путь.

Импорт и экспорт сертификатов в mmc

Криптография с открытым ключом основана на широкой доступности открытого ключа. Учитывая это, вам нужны стандартные способы эффективного обмена сертификатами. Не менее важна безопасность ваших личных ключей. Хранение закрытых ключей на недоступных носителях или с материалами для аварийного восстановления – обычная практика для определенных закрытых ключей.

Оба они требуют способов хранения этих криптографических объектов в стандартных форматах. Экспорт предоставляет функции для сохранения этих объектов и обеспечения использования широко распространенных стандартных форматов файлов. Импорт позволяет вам переносить криптографические объекты в операционные системы Windows.

Экспорт сертификатов из MMC относительно прост. Чтобы экспортировать сертификат без закрытого ключа, щелкните сертификат в MMC, выберите меню “Все задачи”, а затем “Экспорт”.

Во время экспорта вам будет предложено указать формат файла, как показано ниже. Наиболее распространены варианты кодирования – DER или Base-64

Импорт сертификатов

Функция импорта одинакова для всех поддерживаемых типов файлов сертификатов. Единственная разница в том, что если файл содержит закрытый ключ, вы можете “Отметить этот ключ как экспортируемый”, о чем вы узнаете подробнее ниже. Windows будет использовать мастер импорта сертификатов.

При использовании мастера импорта сертификатов для PFX вам потребуется указать пароль, используемый для шифрования закрытого ключа. Вот еще один обзор вариантов импорта.

Сертификаты для подписи кода PowerShell – хороший вариант использования надежной защиты закрытого ключа.

С автоматическим размещением сертификатов следует проявлять осторожность. Скорее всего, вы получите наилучшие результаты, выбрав хранилище сертификатов вручную.

Использование powershell по логическому хранилищу

Поскольку работа с сертификатами на их физических путях встречается редко, в остальных примерах вы будете работать с логическими хранилищами.

PowerShell может получить доступ к логическим хранилищам Windows с помощью PSDrive-объекта “Cert:”, который сопоставляет сертификаты с физическими хранилищами так же, как это делает MMC.

К сожалению, MMC и “Cert:” не маркируют логические хранилища одинаково. Ниже вы можете увидеть сравнительную таблицу общих хранилищ и их названий как в MMC, так и в “Cert:” PSDrive.

Использование powershell по физическому хранилищу

Как и в случае с MMC, вы можете просматривать сертификаты и управлять ими с помощью PowerShell. Давайте сначала проверим сертификаты в их физических хранилищах (реестр и файловая система).

Используя PowerShell командлет Get-ChildItem, вы можете перечислить все ключи и значения внутри родительского пути в реестре. Приведенная ниже команда перечислит все сертификаты вошедшего в систему пользователя в логическом хранилище промежуточных центров сертификации.

Get-ChildItem-Path'HKCU:SoftwareMicrosoftSystemCertificatesCACertificates'

Каждая запись в кусте реестра, который вы видите, будет соответствовать отпечатку сертификата доверенного центра сертификации и его сертификату в соответствующем свойстве. Вы можете увидеть пример вывода ниже.

Другое распространенное хранилище – это Personal store. Ваши сертификаты для этого хранилища находятся в файловой системе, а не в реестре. В следующих командах мы покажем эти различные физические пути и их цели.

Каждый файл в каталоге, возвращенный приведенной ниже командой, соответствует сертификату, установленному в личном хранилище текущего пользователя.

Get-ChildItem-Path$env:APPDATAMicrosoftSystemCertificatesMyCertificates

Каждый файл, возвращаемый в приведенной ниже команде, является ссылкой на объект для закрытого ключа, созданный поставщиком хранилища ключей (KSP). Имя файла соответствует идентификатору ключа субъекта сертификата. К каждому устанавливаемому вами закрытому ключу будет добавлен соответствующий файл.

Get-ChildItem-Path$env:APPDATAMicrosoftSystemCertificatesMyKeys

Каждый файл в каталоге, возвращаемый следующей командой, является уникальным контейнером для зашифрованного закрытого ключа, созданного KSP. Нет прямой связи между именем файла и сертификатом, но файл является целью указателя в предыдущей команде.

Get-ChildItem-Path$env:APPDATAMicrosoftCryptoKeys

Использование диспетчера сертификатов windows (certmgr.msc)

Чтобы просмотреть сертификаты с помощью MMC, откройте Диспетчер сертификатов: откройте меню “Пуск” и введите certmgr.msc. Это вызовет Windows Certificates MMC. Это начальное представление предоставит обзор всех логических хранилищ, отображаемых в левом окне.

На снимке экрана ниже видно, что выбрано логическое хранилище доверенных корневых центров сертификации

Читайте также:  ЭЦП для Суда (Мой Арбитр и ГАС «Правосудие») – ЭЦП SHOP 🚩 Центр выдачи ЭЦП

Как долго нужно хранить документ

Сертификат ЭЦП действителен лишь в течение строго установленного периода времени, равного одному году. По прошествии года цифровая подпись теряет свою функциональность и становится обязательной к замене. Вместе с новой ЭП владелец получает и новый сертификат.

Сколько времени нужно хранить сертификат ЭЦП зависит от того, какая информация в нем содержится. Полезный срок действия и содержание документа связаны между собой: чем больше информации, тем полезный срок действия документа меньше. Объясняется это тем, что данные, указанные в документе, могут измениться.

В удостоверяющем центре сроки хранения ключа в электронной форме определяются договорными условиями между УЦ и владельцем ЭЦП. В течение срока хранения ключа все участники информационной системы имеют к нему доступ. После аннулирования сроки хранения в УЦ определяются статьей ФЗ о законном сроке исковой давности.

На бумажном носителе ключ хранится в течение срока, установленного ФЗ РФ об архивном деле и архивах. С 2003 г. согласно новым поправкам срок хранения составляет 50 лет с момента поступления документа.

Как посмотреть

Для просмотра перечня проверочных ключей электронно-цифровой подписи, удаления элементов или копирования на внешний носитель пользуются браузером Internet Explorer, панелью управления или специфическими утилитами.

Как посмотреть сертификат эцп

Посмотреть установленные сертификаты можно при помощи Internet Explorer, Certmgr, консоль управления или КриптоПро. Пользоваться другими компьютерными программами не рекомендуется: они могут иметь встроенную команду отправки ключа ЭЦП на сторонний сервер, что приведет к компрометации подписи и невозможности ее использования.

Как посмотреть установленные цифровые сертификаты в windows 7 или 10

Прежде всего можно посмотреть доступные важные документы, такие как:

  • Сертификаты для оборудования. Они предустановлены разработчиком для обеспечения оптимальной работы аппарата. Их могут увидеть все желающие. Для открытия этого каталога нужно синхронно нажать на кнопки Win R. Появится пустая строка. Туда следует вбить символы certlm.msc. Откроется весь перечень секретных документов.
  • Персональные сертификаты. К ним доступ имеет пользователь с текущей учетной записью. Доступ можно получить, используя все те же клавиши Win R. Только в строчке нужно прописать команду certmgr.msc. Появится список всех доступных пользователю зашифрованных данных. Личная информация будет в файле «Личное».

Есть и другие способы, как просмотреть хранилище сертификатов Windows 7, 8, 10, ХР.

Компьютерные сертификаты

Если сертификат будет использоваться всеми пользователями компьютера или каким-либо системным процессом, его следует поместить в хранилище в контексте компьютера. Например, если сертификат будет использоваться на веб-сервере для шифрования связи для всех клиентов, размещение сертификата в контексте компьютера будет подходящим вариантом.

Вы увидите, что хранилище сертификатов компьютера логически сопоставлено для всех пользовательских контекстов. Это позволяет всем пользователям использовать сертификаты в хранилище сертификатов компьютера в зависимости от разрешений, настроенных для закрытого ключа.

Сертификаты компьютера находятся в кусте реестра локального компьютера и в подкаталогах ProgramData. Сертификаты пользователя находятся в кусте реестра текущего пользователя и в подкаталогах AppData. Ниже вы можете увидеть, где каждый тип хранилища находится в реестре и файловой системе.

Места хранения эцп

Допускается использовать ЭЦП одновременно на нескольких устройствах. Предварительно нужно узнать, где на персональном компьютере хранится файл сертификата.

Открываем «хранилище сертификатов»

Чтобы просмотреть сертификаты в Виндовс 7, заходим в ОС с правами администратора.

Необходимость в доступе к сертификатам особенно важна для пользователей, которые часто совершают платежи в интернете. Все сертификаты хранятся в одном месте, так называемом Хранилище, которое разбито на две части.

Предварительные требования

В оставшейся части этой статьи вы найдете несколько примеров, демонстрирующих взаимодействие с хранилищами сертификатов Windows. Чтобы воспроизвести эти примеры, убедитесь, что выполняются следующие требования:

  • Windows Vista, Windows Server 2008 или более новая операционная система. В показанных примерах используется Windows 10 Корпоративная версии 1903.
  • Знакомство с PowerShell. Хотя это и не обязательно, этот язык будет использоваться для ссылки на сертификаты, где это необходимо. Все показанные примеры были созданы с помощью Windows PowerShell 5.1.
  • Вам не потребуется устанавливать какие-либо специальные сертификаты, но использование самозаверяющего сертификата полезно.

Проверка атрибутов в диспетчере сертификатов windows

Есть много атрибутов сертификата, которые вы можете увидеть при просмотре их с помощью MMC. Например, вы, вероятно, захотите выбрать определенные сертификаты по их атрибутам. Самый простой способ сделать это – указать Serial Number сертификата или значение Thumbprint.

Вы можете увидеть некоторые атрибуты сертификата, открыв его в MMC, как показано ниже.

Следует отметить одну важную особенность – встроенные закрытые ключи. Сертификаты в Windows также могут иметь соответствующий закрытый ключ. Эти закрытые ключи хранятся в соответствующих физических хранилищах в виде зашифрованных файлов.

Чтобы быстро отличать сертификаты с соответствующим закрытым ключом и без него, посмотрите на значок сертификата. В Диспетчере сертификатов Windows, если значок просто выглядит как лист бумаги с лентой, соответствующий закрытый ключ отсутствует. Если у сертификата есть закрытый ключ, вы увидите ключ на значке MMC, и ключ в нижней части вкладки «Общие» при открытии сертификата

Просмотр сертификатов через certmgr

В операционных системах семейства Windows также имеется встроенный менеджер для работы с установленными сертификатами. Через него можно просмотреть и личные ключи, и сертификаты удостоверяющих центров, партнеров Microsoft (для предоставления привилегий определенным программам).

Где на компьютере найти сертификат цифровой подписи при помощи менеджера? Для этого необходимо:

  • открыть меню «Пуск»;
  • ввести команду «certmgr.msc» (без кавычек) и нажать клавишу «Enter»;
  • в левой части появившегося окна будут вкладки «Личное» и «Корневые сертификаты удостоверяющего центра» — вот там и можно найти все необходимые ключи.

Для запуска менеджера, а также удаления или копирования файлов сертификатов необходимо обладать правами администратора. В противном случае – программа даже не запустится, ссылаясь на недостаточный уровень прав доступа.

Данное приложение также имеет ряд ограничений по работе с шифрованными сертификатами (со специальной кодировкой данных). Поэтому она не всегда корректно отображает все установленные пользовательские цифровые подписи.

Просмотр сертификатов через крипто про

Просматривать ЭЦП можно с помощью программы-дистрибутива (Крипто ПРО).

Путь к просмотру:

  1. Запустить ОС.
  2. Войти в «Пуск».
  3. Открыть раздел «Все программы».
  4. Выбрать «Крипто ПРО».
  5. Нажать на вкладку «Сертификаты».

В появившемся окне появится перечень всех актуальных сертификатов. Имея права администратора, возможно управление сертификатами Windows 10 и других версий ОС. С ними можно проводить различные действия. То есть, можно удалять, редактировать, копировать.

Просмотр физических хранилищ

По умолчанию Диспетчер сертификатов Windows не отображает физические хранилища. Чтобы показать их, в верхнем меню оснастки выбирайте “View” > “Options”. Затем вы увидите варианты отображения физических хранилищ сертификатов. Включение этого параметра упрощает определение конкретных путей в Windows.

Читайте также:  Сайт для проверки эцп

Теперь вы можете видеть, что дополнительные контейнеры показаны в примере логического хранилища доверенных корневых центров сертификации, показанном ранее. Сертификаты по-прежнему сгруппированы относительно их логических хранилищ, но теперь вы можете увидеть физическое хранилище “Реестр”.

Просмотр через консоль управления

Предустановленной функцией просмотра секретной информации является консоль управления. Используя ее, тоже можно найти требуемые ключи. Для этого следует:

  1. Запустить ОС.
  2. Активировать «Командную строку» («cmd»).
  3. Нажать на «Enter».
  4. Вбить команду «mmc».
  5. Тапнуть «Enter».
  6. Открыть раздел «Файл».
  7. Активировать вкладку «Добавить или удалить оснастку».
  8. Кликнуть на «Добавить» и на «Добавить изолированную оснастку».
  9. Выбрать вкладку «Сертификаты».

Таким же способом можно в формате чтения просматривать сертифицированные учетки, зарегистрированные в Виндовс. Также можно вносить, убирать, исправлять и копировать документы.

Резюме

На протяжении всей этой статьи вы работали с сертификатами в Windows, изучая, как получить к ним доступ, и некоторые инструменты, которые можно использовать при работе с ними. По этой теме можно изучить гораздо больше, в том числе о том, как связать установленные сертификаты с конкретными службами или даже о том, как реализовать инфраструктуру закрытого открытого ключа (PKI) путем развертывания собственных центров сертификации (CA).

Сертификаты пользователей

Если вы хотите, чтобы сертификат использовался одним пользователем, то идеальным вариантом будет хранилище пользовательских сертификатов внутри Диспетчера сертификатов Windows. Это общий вариант использования процессов аутентификации на основе сертификатов, таких как проводной IEEE 802.1x.

Сертификаты пользователей находятся в профиле текущего пользователя и логически отображаются только в контексте этого пользователя. Сертификаты пользователей “сопоставлены” и уникальны для каждого пользователя даже в одних и тех же системах.

Создание самозаверяющих (self-signed) сертификатов с помощью powershell

PowerShell может создавать самозаверяющие (self-signed) сертификаты с помощью командлета New-SelfSignedCertificate. Самозаверяющие сертификаты полезны для тестирования, поскольку они позволяют генерировать пару открытого и закрытого ключей без использования центра сертификации.

Теперь давайте создадим самозаверяющий сертификат в хранилищах текущего пользователя и локального компьютера, чтобы использовать его в примерах для следующих шагов.

В приведенном ниже примере PowerShell создает пару открытого и закрытого ключей, самозаверяющий сертификат и устанавливает их все в соответствующие хранилища сертификатов.

Удаление сертификатов с помощью powershell

При удалении сертификатов помните, что понятие “Корзина Windows” в этом случае отсутствует. Как только вы удалите сертификат, он исчезнет! Это означает, что очень важно подтвердить, что вы удаляете правильный сертификат, путем проверки уникального идентификатора, такого как серийный номер или значение расширения Thumbprint.

Как и выше, в приведенной ниже команде мы выбираем самозаверяющий сертификат из личного хранилища текущего пользователя.

Управление сертификатами в windows

В Windows есть три основных способа управления сертификатами:

  • Оснастка консоли управления Microsoft (MMC) сертификатов (certmgr.msc)
  • PowerShell
  • Инструмент командной строки certutil

Установка через контейнер

Для начала нужно открыть Панель управления ПК, выбрать там КриптоПро и вкладку Сервис, после чего нажать кнопку просмотра:

В новом окне через «Обзор» пользователь выбирает нужный контейнер, и подтверждает действие через «ОК»:

Если после нажатия «Далее» выходит ошибка о том, что в контейнере закрытых ключей и сертификатов не обнаружен ключ шифрования, то рекомендуется совершить установку вторым методом.

В программе КриптоПро CSP версии 3.6 и выше в открывшемся окне необходимо нажать «Далее», «Установить» и согласиться с предложенными условиями. В иных версиях программы в поле «Сертификат для просмотра» пользователь должен открыть свойства.

Следующий шаг: через вкладку «Общие» перейти к установке сертификата:

На последних версиях ПО просто выберите хранилище ключей ЭЦП. Обычно после подтверждения действия в автоматическом режиме ключ попадает в папку «Личные»:

Если все сделано правильно, то появится сообщение об успешном импорте.

Установка через меню лс

Установка ключа ЭЦП этим способом требует наличия файла с расширением .cer, который обычно находится на жестком диске ПК или на токене. Начинается работа аналогичным образом через панель управления ПК, папки с программой КриптоПро и вкладки «Сервис».

Откроется Мастер установки, в котором сначала пользователь нажимает «Далее», а затем переходит к выбору нужного файла через «Обзор»:

Чтобы выбрать путь, нужно открыть хранилище сертификатов, и нажать «Далее». Пароль на хранилище ключей обычно стандартный, и равен комбинации чисел от 1 до 6:

Если есть необходимость, то в новом окне можно посмотреть информацию о сертификате, а если нет — можно сразу переходить к следующему шагу:

Пользователь должен ввести или указать контейнер закрытого ключа КриптоПро, который содержит искомый электронный документ. Сделать это можно через кнопку «Обзор»:

Подтверждает свой выбор пользователь через нажатие «Далее»:

Следующий шаг — выбор хранилища, куда будет помещен новый ключ. Для этого в соответствующем окне нажимают «Обзор». В версии КриптоПро 3.6 и выше необходимо также установить флажок напротив пункта об установке сертификата в контейнер:

Далее нужно выбрать хранилище и подтвердить действие:

Если после последующего нажатия «Далее» и «Готово» появилось сообщение о том, что данный сертификат уже имеется на ПК, и его можно заменить на новый с проставленной ссылкой на закрытый ключ, то нужно нажать «Да». При правильно выполненных действиях в течение нескольких секунд появится сообщение об успешной установке ЛС на компьютер.

Работа с электронной цифровой подписью иногда требует обновления или переустановки сертификатов, а также проверки их актуальности. Для этого пользователю необходимо знать и место их хранения в реестре, и в операционной системе и понимать, как можно осуществить установку или экспорт.

Обычно процесс поиска интересующего ключа ЭЦП занимает несколько минут и при следовании инструкции не вызывает ошибок или проблем. Если во время установки сертификатов происходят повторяющиеся сбои или системные ошибки, то лучше обратиться в службу технической поддержки для разъяснения ситуации.

Экспорт закрытых ключей

Чтобы экспортировать сертификат с соответствующим закрытым ключом, вы должны соответствовать двум критериям:

  • Вошедшая в систему учетная запись должна иметь разрешение на закрытый ключ (только для сертификатов компьютеров);
  • Закрытый ключ должен быть помечен как экспортируемый.

Чтобы проверить разрешения для закрытых ключей локального компьютера, вы можете выбрать сертификат с закрытым ключом, выбрать “Все задачи” и “Управление закрытыми ключами” в MMC “Сертификаты”. В открывшемся диалоговом окне отображаются записи управления доступом для закрытых ключей.

Когда выше обозначенные условия выполнены, вы можете выбрать сертификат, щелкнуть “Все задачи”, а затем “Экспорт”, как если бы вы использовали сертификат только с открытым ключом. При экспорте теперь у вас должна присутствовать возможность выбора экспорта закрытого ключа (“Yes, export the private key”), как показано ниже.

Когда вы экспортируете закрытый ключ в Windows, вы можете сохранить файл только как PFX. Этот и другие типы файлов и форматы кодирования подробно описаны в этом посте.

Для остальных параметров, отображаемых в мастере экспорта, вы можете использовать значения по умолчанию. В таблице ниже приводится краткое изложение каждого из них.

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector