Automatski ažurirajte skladište certifikata pouzdanih korijenskih autoriteta za izdavanje certifikata na Windows računarima koji nemaju direktan pristup Internetu. Ne može se izgraditi lanac certifikata za pouzdano korijensko ovlaštenje Mapa pouzdanih korijenskih ovlaštenja

s problemom nemogućnosti ispravne implementacije softvera zbog činjenice da se skladište certifikata pouzdanih korijenskih certifikacijskih tijela ne ažurira na ciljnim računarima koji rade pod Windows OS (u daljem tekstu, radi kratkoće, ovo ćemo spremište zvati TrustedRootCA). U to vrijeme, problem je riješen implementacijom paketa rootsupd.exe, dostupno u članku KB931125, koji se odnosi na OS Windows XP. Sada je ovaj OS u potpunosti povučen iz Microsoftove podrške i možda je to razlog zašto ovaj KB članak više nije dostupan na Microsoft web stranici. Svemu ovome možemo dodati da ni u to vrijeme rješenje sa uvođenjem paketa certifikata koji je tada već bio zastario nije bilo najoptimalnije, jer u to vrijeme sistemi sa OS Windows Vista I Windows 7, koji je već uključivao novi mehanizam za automatsko ažuriranje skladišta certifikata TrustedRootCA. Evo jednog od starih članaka o Windows Visti, koji opisuje neke aspekte kako takav mehanizam funkcionira -Podrška za sertifikate i rezultirajuća Internet komunikacija u operativnom sistemu Windows Vista . Nedavno sam se ponovo suočio sa prvobitnim problemom potrebe za ažuriranjem skladišta sertifikata TrustedRootCA na brojnim Windows-baziranim klijentskim računarima i serverima. Svi ovi računari nemaju direktan pristup Internetu i samim tim mehanizam za automatsko obnavljanje certifikata ne obavlja svoj zadatak kako bi želio. Opcija otvaranja direktnog pristupa Internetu svim računarima, pa i određenim adresama, u početku se smatrala ekstremnom opcijom, a potraga za prihvatljivijim rešenjem dovela me je do člankaKonfigurirajte pouzdane korijene i nedozvoljene certifikate(RU ), koji je odmah odgovorio na sva moja pitanja. Pa, generalno, na osnovu ovog članka, u ovoj napomeni ću ukratko izložiti konkretan primjer kako možete centralno rekonfigurisati ovaj isti mehanizam automatskog ažuriranja za TrustedRootCA skladište certifikata na Windows Vista i novijim računarima tako da koristi resurs datoteke ili web lokaciju na lokalnoj korporativnoj mreži kao izvor ažuriranja.

Za početak, ono na šta treba da obratite pažnju je da u grupnim politikama koje se primenjuju na računare, parametar koji blokira rad mehanizma automatskog ažuriranja ne bi trebalo da bude omogućen. Ovo je parametar Isključite automatsko ažuriranje korijenskih certifikata U poglavlju Konfiguracija računara > Administrativni predlošci > Sistem > Upravljanje internetskom komunikacijom > Postavke Internet komunikacije. Ovaj parametar će nam trebati da bude Isključen, ili samo Nije konfigurisano.

Ako pogledate TrustedRootCA spremište certifikata pod Lokalni kompjuter, onda će na sistemima koji nemaju direktan pristup internetu skup certifikata biti, recimo to tako, mali:

Ova datoteka je zgodna za korištenje, na primjer, kada trebate odabrati samo određeni skup iz cijelog podskupa dostupnih certifikata i prenijeti ih u zasebnu SST datoteku za daljnje učitavanje, na primjer, pomoću lokalne konzole za upravljanje certifikatima ili pomoću Konzola za upravljanje grupnim politikama (za uvoz u neku ili domensku politiku preko parametra Konfiguracija računara > Politike > Windows postavke > Sigurnosne postavke > Politika javnog ključa > Pouzdani Root Certification Authorities).

Međutim, za metod distribucije root certifikata koji nas zanima, modifikacijom rada mehanizma automatskog ažuriranja na krajnjim klijentskim računarima, trebat će nam nešto drugačiji prikaz skupa trenutnih root certifikata. Možete ga dobiti koristeći isti uslužni program Certutil, ali sa drugačijim setom ključeva.

U našem primjeru, dijeljena mrežna mapa na serveru datoteka će se koristiti kao lokalni izvor distribucije. I ovdje je važno obratiti pažnju na činjenicu da je prilikom pripreme takve mape potrebno ograničiti pristup pisanju kako se ne bi dogodilo da bilo ko može modificirati skup root certifikata, koji će se potom „rasprostirati“ po mnogim kompjuteri.

Certutil-syncWithWU -f -f \\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment\

Ključevi -f -f se koriste za prisilno ažuriranje svih datoteka u odredišnom direktoriju.

Kao rezultat izvršavanja naredbe, mnoge datoteke ukupne zapremine od otprilike pola megabajta pojavit će se u mrežnoj mapi koju smo naveli:

Prema prethodno pomenutomčlanci , svrha fajlova je sljedeća:

  • File autrootstl.cab sadrži liste pouzdanosti certifikata treće strane;
  • File disallowedcertstl.cab sadrži listu pouzdanih certifikata s nepouzdanim certifikatima;
  • File disallowedcert.sst sadrži spremište serijaliziranih certifikata, uključujući nepouzdane certifikate;
  • Fajlovi sa imenima poput thumbprint.crt sadrže treću stranu korijenski certifikati.

Dakle, datoteke potrebne za rad mehanizma automatskog ažuriranja su primljene i sada prelazimo na implementaciju promjena u šemi rada samog ovog mehanizma. Za to nam, kao i uvijek, u pomoć priskaču politike grupe domena. Aktivni direktorij (GPO), iako možete koristiti druge alate za centralizirano upravljanje, sve što trebamo učiniti na svim računarima je da promijenimo, odnosno dodamo samo jedan parametar registra RootDirURL u temi HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate, koji će odrediti putanju do našeg mrežnog direktorija, u koji smo prethodno postavili skup datoteka root certifikata.

Govoreći o postavljanju GPO-a, opet možete koristiti različite opcije za postizanje zadatka. Na primjer, postoji “stara škola” opcija s kreiranjem vlastitog predloška grupnih pravila, kao što je to opisano u već poznatomčlanak . Da biste to učinili, kreirajte datoteku u formatu GPO administrativnog predloška ( A.D.M.), na primjer, s imenom RootCAUpdateLocalPath.adm i sadržajem:

CLASS KATEGORIJA MAŠINA !!SystemCertificates KEYNAME " Softver\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" POLICY !!RootDirURL EXPLAIN !!RootDirURL_help DIO !!RootDirURL EDITTEXT VRIJEDNOSTI "RootDirURL " END PART END POLICY END CATEGORY RootDirURL="URL adresa koja će se koristiti umjesto zadane ctldl.URL.windowsupdate URL="nter. koristiti kao lokaciju za preuzimanje CTL fajlova." SystemCertificates="Postavke automatskog ažuriranja za Windows"

Kopirajmo ovu datoteku u kontroler domene u direktorij %SystemRoot%\inf (obično direktorij C:\Windows\inf). Nakon ovoga, idemo na uređivač politika grupe domena i kreiramo posebnu novu politiku, a zatim je otvorimo za uređivanje. U poglavlju Konfiguracija računara > Administrativni predlošci… otvorite kontekstni meni i izaberite opciju za povezivanje novog predloška politike Dodaj/ukloni predloške

U prozoru koji se otvori, koristite dugme za pretraživanje da biste odabrali prethodno dodanu datoteku %SystemRoot%\inf\RootCAUpdateLocalPath.adm, a nakon što se predložak pojavi na listi, kliknite Zatvori.

Nakon završetka akcije u odjeljku Konfiguracija > Administrativni predlošci > Klasični administrativni predlošci (A.D.M.) pojavit će se grupa Windows AutoUpdate Settings, u kojem će jedini parametar biti dostupan URL adresa koja će se koristiti umjesto zadane ctldl.windowsupdate.com

Otvorimo ovaj parametar i unesemo putanju do lokalnog resursa na kojem smo locirali prethodno preuzete datoteke ažuriranja, u formatu http://server1/folder ili file://\\server1\folder .
Na primjer file://\\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment

Sačuvajmo napravljene promene i primenimo kreiranu politiku na kontejner domena u kojem se nalaze ciljni računari. Međutim, razmatrani način postavljanja GPO-a ima niz nedostataka i zato sam ga nazvao “old-school”.

Druga, modernija i naprednija metoda postavljanja klijentskog registra je korištenje Postavke grupne politike (GPP). Pomoću ove opcije možemo kreirati odgovarajući GPP objekat u odjeljku Politika grupe Konfiguracija računara > Preferences > Registry sa ažuriranjem parametara ( Akcija: Ažuriraj) registar RootDirURL(tip vrijednosti REG_SZ)

Ako je potrebno, možemo omogućiti fleksibilni mehanizam ciljanja za kreirani GPP parametar (Tab Često>Opcija Ciljanje na nivou stavke) na određenom računaru ili grupi računara radi preliminarnog testiranja onoga što ćemo na kraju dobiti nakon primene grupnih politika.

Naravno, morate odabrati jednu opciju, bilo povezivanjem vlastite A.D.M.-template, ili koristeći GPP.

Nakon postavljanja grupnih politika na bilo kojem eksperimentalnom klijentskom računaru, ažurirat ćemo naredbom gpupdate /force nakon čega slijedi ponovno pokretanje. Nakon što se sistem pokrene, provjerite u registru prisustvo kreiranog ključa i pokušajte provjeriti da li je ažurirano spremište root certifikata. Za provjeru ćemo koristiti jednostavan, ali efikasan primjer opisan u bilješci.Pouzdani korijeni i nedozvoljeni certifikati .

Na primjer, hajde da vidimo da li u skladištu certifikata računara postoji root certifikat koji je korišten za izdavanje certifikata koji je instaliran na web-stranici pod nazivom buypass.no (ali još ne idemo na samu stranicu :)).

Najprikladniji način da to učinite je uz pomoć alata PowerShell:

Get-ChildItem cert:\localmachine\root | Gdje ( $_ .friendlyname -kao " *Buypass* " )

Sa velikim stepenom vjerovatnoće, nećemo imati takav root certifikat. Ako je tako, otvorićemo ga Internet Explorer i pristupite URL-u https://buypass.no . A ako mehanizam koji smo konfigurirali za automatsko ažuriranje korijenskih certifikata uspješno radi, onda u Windows dnevniku događaja Aplikacija događaj sa izvorom ( Izvor) CAPI2, što pokazuje da je novi root certifikat uspješno preuzet:

Naziv dnevnika: Aplikacija
  • “Ostali korisnici” je spremište certifikata regulatornih tijela;
  • “Pouzdani korijenski certifikacijski autoriteti” i “srednja ovlaštenja za sertifikaciju” su spremišta certifikata certifikacijskog tijela.

Instalacija ličnih certifikata vrši se samo pomoću programa Crypto Pro.

Da biste pokrenuli konzolu potrebno je da uradite sledeće:

1. Izaberite meni „Start“ > „Run“ (ili istovremeno pritisnite tastere „Win+R“ na tastaturi).

2. Odredite naredbu mmc i kliknite na dugme “OK”.

3. Odaberite File > Add or Remove Snap-In.

4. Odaberite “Certificates” snap-in sa liste i kliknite na dugme “Add”.

5. U prozoru koji se otvori odaberite „Moj račun korisnik" i kliknite na dugme "Završi".

6. Odaberite dodatnu opremu sa liste na desnoj strani i kliknite na dugme “OK”.

Instaliranje certifikata

1. Otvorite potrebno spremište (na primjer, Pouzdani Root Certification Authorities). Da biste to učinili, proširite granu “Sertifikati - trenutni korisnik” > “Pouzdani korijenski autoriteti za izdavanje certifikata” > “Sertifikati”.

2. Odaberite meni Akcija > Svi zadaci > Uvezi.

4. Zatim kliknite na dugme “Pregledaj” i odredite datoteku certifikata za uvoz (root certifikati Centra za sertifikaciju mogu se preuzeti sa web stranice Centra za sertifikaciju, certifikati regulatornih tijela nalaze se na web stranici Kontur.Extern sistema) . Nakon odabira certifikata, morate kliknuti na dugme „Otvori“, a zatim na dugme „Dalje“.

5. U sljedećem prozoru morate kliknuti na dugme “Next” (željena memorija se bira automatski).

6. Kliknite na dugme “Završi” da završite uvoz.

Uklanjanje sertifikata

Da biste uklonili certifikate pomoću mmc konzole (na primjer, iz trgovine Ostali korisnici), morate učiniti sljedeće:

Proširite granu “Sertifikati - trenutni korisnik” > “Ostali korisnici” > “Sertifikati”. Desna strana prozora će prikazati sve certifikate instalirane u prodavnici Ostali korisnici. Odaberite željeni certifikat, kliknite desnim tasterom miša na njega i odaberite "Izbriši".

Da biste instalirali sertifikate, potrebno je da povežete USB fleš disk sa elektronskim potpisom, otvorite ga i instalirate sertifikate

1. Instalirajte certifikat glavnog certifikacijskog tijela u pouzdana korijenska tijela, za ovo trebate:

1.1. Dvaput kliknite na certifikat glavnog CA - fajl “Head Certification Authority.cer”.

1.2. U obrascu koji se otvori kliknite na dugme „Instaliraj sertifikat...“.

1.3. Odaberite “Smjesti sve certifikate u sljedeću trgovinu” (označite polje ispred natpisa) i kliknite na dugme “Pregledaj”.


1.4. Na listi koja se otvori odaberite "Pouzdani korijenski autoriteti za izdavanje certifikata" i kliknite "U redu".

2. Instalirajte lični sertifikat

Instalacija ličnog sertifikata se vrši pomoću programa CryptoPro CSP
2.1. Potrebno je da pokrenete program CryptoPro CSP (dugme Start -> CryptoPro CSP ili dugme Start -> Svi programi -> CRYPTO-PRO -> CryptoPro CSP).

2.2. U prozoru koji se otvori odaberite karticu "Usluga" i kliknite na dugme "Instaliraj". lični sertifikat…».

2.3. U prozoru koji se otvori potrebno je kliknuti na dugme "Pregledaj", odabrati certifikat organizacije na fleš disku - 2. datoteku sa ekstenzijom "cer" (ne datoteku CA certifikata (u primjeru - "adicom.cer" )) i kliknite na “Dalje”.




2.4. U obrascu koji se otvori kliknite na "Dalje"


2.5. U obrascu koji se otvori kliknite na potvrdni okvir „Pronađi automatski spremnik“. Kao rezultat toga, "Naziv spremnika ključeva" će biti popunjen i kliknite "Dalje"


2.6. U obrascu koji se otvori kliknite na "Dalje"


2.7. U obrascu koji se otvori kliknite "Završi"


Sve potrebno za generisanje elektronski potpis Softver – možete potpisati štampane obrasce.

3. Instalirajte proširenje (dodatak) CryptoPro Extension for Cades Browser Plug-in u pretraživaču

Da biste instalirali proširenje pretraživača (dodatak) CryptoPro Extension for Cades Browser Plugin, otvorite prodavnicu ekstenzija u svom pretraživaču i potražite ekstenzije koristeći riječ Cades / Za link za Yandex.Browser -

Ako se prilikom pokušaja uspostavljanja veze sa Web nalogom otvori sigurnosni prozor pretraživača (slika 1), potrebno je da dodate Root certifikat Moskovske razmjene moex.cer na listu pouzdani certifikati.

Slika 1 – sigurnosni prozor pretraživača

Da biste to uradili potrebno vam je:

  1. unesite u polje za pretragu Naziv Windows datoteke certmgr.msc(Sl. 2). Zatim kliknite lijevom tipkom miša na pronađenu datoteku. Kao rezultat, otvorit će se direktorij sistema certifikata (slika 3);

    Slika 2 – potražite direktorij sistemskih certifikata Slika 3 – sistemski direktorij certifikata
  2. idi na odjeljak Certifikati bočni meni (slika 4). Onda desni klik na fasciklu Certifikati i u kontekstnom meniju koji se otvori izaberite stavku Svi zadaci→Uvezi(Sl. 5).

    Slika 4 – pouzdani direktoriji Slika 5 – uvoz certifikata

    Kao rezultat, otvorit će se Čarobnjak za uvoz certifikata(Sl. 6), u kojoj treba pritisnuti dugme Dalje da nastavite sa odabirom datoteke certifikata moex.cer(Sl. 7);

    Slika 6 – čarobnjak za uvoz certifikata Slika 7 – dijaloški okvir za odabir uvezene datoteke

  3. pritisnite dugme Pregled(vidi sliku 7, 1) i odaberite root sertifikat Moskovske berze moex.cer. Kao rezultat toga, na terenu Ime dokumenta put do ovaj fajl(vidi sliku 7.2). Zatim treba da pritisnete dugme Dalje(vidi sliku 7.3);
  4. pritisnite dugme Dalje u dijaloškom okviru Prodavnica certifikata, bez promjene zadanih parametara (slika 8), zatim kliknite na dugme Spreman da završite uvoz sertifikata (slika 9).



    Slika 8 – skladište certifikata Slika 9 – uvoz završen

Kada se uvoz završi, otvoriće se sigurnosni prozor. Prozori (Sl. 10). Provjerite otisak ključa. Njegov broj mora odgovarati broju prikazanom na slici (10,1). Ako se podaci podudaraju, kliknite Da(Sl. 10.2).



Slika 10 – sigurnosni prozor Windows

Kao rezultat, otvorit će se obavijest o uspješnom uvozu. Certifikat Moskovske berze moex.cer na listu pouzdanih sertifikata (slika 11), u kojoj treba da kliknete na dugme uredu.


Slika 11 – završetak uvoza

Podijeli: