Ручное обновление корневых сертификатов на Windows

Что такое корневой сертификат (СА)

Корневой сертификат (СА) — часть ключа, которым центры сертификации подписывают выпущенные SSL-сертификаты. Выдавая корневой сертификат, каждый такой центр гарантирует, что пользователи или организации, запросившие SSL, верифицированы и действия с доменом легальны.

Центры сертификации с двадцатилетней историей: GlobalSign, Comodo, Symantec, TrustWave, GeoTrust. Они используют «именные» корневые сертификаты, которые распознаются большинством современных браузеров.

Это значит: если на сайт установлен корневой сертификат GlobalSign, браузер идентифицирует его как выпущенный доверенным «поручителем» и приступает к частной проверке сайта.

Если информация о корневом сертификате центра отсутствует в браузере, у сайта нет «поручителя», и браузер считает его недостоверным. Так иногда происходит с самоподписанными сертификатами безопасности (например, Let’s Encrypt):

Однако одного корневого сертификата недостаточно. Чтобы конкретный домен считался защищенным, помимо корневого сертификата необходимы промежуточный сертификат и индивидуальный сертификат домена, которые так же выдаются центром сертификации при выпуске SSL. Достоверность промежуточных и «индивидуальных» сертификатов подтверждается корневым сертификатом. Цепочка сертификатов, установленных на сайт, дает основание считать его «защищенным SSL-сертификатом» в сети Интернет.

Обновление сертификатов

Обновление доверенных корневых сертификатов выполняется во время обновления операционной системы. Если последнее включено, то нашего участия не требуется, иначе, можно установить обновление вручную. Пример такого пакета — KB931125.

Однако, если операционная система устарела, разработчик прекращает выпуск обновлений, и мы не можем воспользоваться средствами обновления системы. В таком случае, необходимо сделать выгрузку корневых сертификатов на актуальной системе и перенести их на устаревший.

Как установить корневой сертификат удостоверяющего центра.

  1. Если скачанный корневой сертификат находится в заархивированном виде, то первым делом его нужно извлечь. Для этого открываем архив любым архиватором, например 7zip . Нажимаем кнопку «извлечь», выбираем папку для разархивации и жмём «ОК».
  2. Открываем извлеченный файл и жмём кнопку «Установить сертификат«. Выбираем между «Текущий пользователь» и «Локальный компьютер». Если за компьютером обычно работает один пользователь и имеет одну учетную запись Windows, то смело выбираем «Текущий пользователь». Если на компьютере несколько учетных записей, то для того чтобы корневой сертификат установился для всех выбираем «Локальный компьютер».
  3. В следующем окне Мастер импорта сертификатов спросит, в какое хранилище сертификатов установить Ваш сертификат. Жмем кнопку «Обзор» и выбираем «Доверенные корневые центры сертификации«. Т.к. данный сертификат устанавливается на компьютер в первый раз, система безопасности Windows сообщит о том, что ей не удается проверить действительность сертификата. Жмём кнопку «Да» и получаем окошко, в котором сообщается о том, что Импорт выполнен успешно.

На этом установка корневого сертификата закончена. Для проверки можно ещё раз открыть только что установленный корневой сертификат или личный сертификат пользователя. Во вкладке «путь сертификации» не должно быть никаких красных крестиков или желтых восклицательных знаков.
Если Вы всё сделали правильно, то в поле «состояние сертификата» должно быть значение: «Этот сертификат действителен«.

Установка сертификата ЭЦП на компьютер: способ № 1

Чтобы беспрепятственно работать с СКПЭП, приобретите в УЦ токен (в нашей стране наиболее востребован Рутокен — решение для аутентификации российской разработки от компании «Актив»), на котором хранится информация, необходимая для создания и проверки ЭП. Затем инсталлируйте КриптоПро CSP на ПК, если криптопровайдер не интегрирован в токен.

Чтобы использовать возможности электронной подписи без подключения флешки к персональному компьютеру, установите на него сертификат ЭЦП. В зависимости от модели криптоносителя, может понадобиться установка драйверов. Выбирайте нужное ПО в Центре загрузок на портале производителя и инсталлируйте его на компьютер.

Скачать КриптоПро CSP можно здесь. При выборе необходимого продукта откроется окно для авторизации. Неавторизованным пользователям придется сначала пройти регистрацию, а затем появится возможность скачать программу.

После скачивания КриптоПро CSP запустите установочный файл и следуйте рекомендациям. Если приобретен лицензионный продукт, в предложенной строке введите серийный номер лицензии (придет на e-mail).

КриптоПро позволяет также скачать демонстрационную версию утилиты со сроком действия 3 месяца.

Установка сертификата ЭЦП на компьютер описанным способом подходит для поздних релизов КриптоПро CSP, обладающих функцией автоматической транспортировки документа с внешнего носителя на винчестер. Вставьте токен в ПК и следуйте инструкции:

    Найдите КриптоПро CSP, нажав «Пуск» и перейдя в «Панель управления». Если кликнуть 2 раза левой кнопкой по требуемой надписи, появится окно. Выберите «Сервис», затем — «Просмотреть сертификаты в контейнере».

Выберите Вашу ОС

  • КриптоПро CSP
    • Установка КриптоПро CSP
    • Установка сертификатов Windows
    • Обновление сертификатов
    • Ошибки при работе с Порталом
    • Работа через защищённое соединение
    • Настройка антивируса AVAST
    • Инструкция по обновлению
    • Как узнать серийный номер?Регистрация (однопользовательская)
    • Регистрация (сетевая)
    • Продление ключа (однопользовательская)
    • Продление ключа (сетевая)
    • Прочее
      • Ошибки при работе с Порталом
      • Работа через защищённое соединение
      • Основной сертификат безопасности для приложения Збраузер

      На данный момент работа через защищённое соединение c устройств Apple не поддерживается.

      На данный момент работа через защищённое соединение c Android-устройств не поддерживается.

      Как работают цифровые подписи?

      Цифровые подписи основаны на инфраструктуре открытого ключа. С помощью этого механизма генерируются два ключа: открытый и закрытый. Закрытый ключ хранится у лица, которое подписало документ, и должен храниться надежно. Получатель должен иметь открытый ключ для расшифровки подписи.

      Когда вы нажимаете «подписать», уникальный цифровой отпечаток (называемый хэш) документа создается с использованием математического алгоритма. Этот хэш предназначен для этого конкретного документа. Даже малейшее изменение приведет к другому хешу.

      Хеш зашифрован с использованием закрытого ключа подписавшего. Зашифрованный хэш и открытый ключ подписавшего объединяются в цифровую подпись, которая добавляется к документу.

      Когда вы открываете документ в программе с поддержкой цифровой подписи (например, Adobe Reader, Microsoft Office), программа автоматически использует открытый ключ подписавшего (который был включен в цифровую подпись вместе с документом) для расшифровки хэша документа.

      Программа рассчитывает новый хеш для документа. Если этот новый хэш совпадает с дешифрованным хэшем, программа узнает, что документ не был изменен, и отображает только одну строку сообщения: «Документ не был изменен с момента применения этой подписи».

      Программа также проверяет, что открытый ключ, используемый в подписи, принадлежит подписавшему и отображает имя подписавшего.

      Теперь, когда понятен принцип работы ЭЦП, рассмотрим, как установить ключ ЭЦП на компьютер.

      Как установить сертификаты

      Запрос на установку корневых сертификатов НУЦ появляется автоматически после установки NCALayer. Нажмите Да в этом окне.

      Как установить сертификаты НУЦ в Windows

      Если у вас не появляется окно установки сертификатов, установите сертификаты вручную.

      Для того чтобы установить корневые сертификаты НУЦ вручную, выполните следующие шаги:

      Корневой сертификат НУЦ успешно установлен, повторите процедуру импорта для второго сертификата.

      После импорта сертификатов перезапустите браузер и повторите попытку входа нужный сайт.

      Стоимость использования КриптоПро CSP

      Каждый новый пользователь получает бесплатный тестовый период пользования программой – 90 дней. Когда этот период истечёт, нужно будет приобретать лицензию. Но иногда она уже включена в сертификат ЭЦП.

      Перед установкой КриптоПро убедитесь, что ваш компьютер отвечает минимальным техническим требованиям:

      операционная система (ОС) – Виндовс 7 и старше (8, 10);

      наличие браузера InternetExplorer 8 и выше, либо актуальных версий Яндекс-браузера, Google Chrome, Mozilla Firefox;

      процессор – 32 или 64-битный с частотой 1Ггц или выше;

      ОЗУ – 512 Мб или выше;

      устройство вывода изображения с разрешением 800х600 или выше;

      наличие USB-входа стандарта 1.1 или выше.

      Откройте программу КриптоПро CSP.

      Во вкладке Сервис нажмите кнопку Просмотреть сертификат в контейнере.

       Просмотреть сертификат в контейнере.1

      Теперь нажмите Обзор .

       Обзор

      КриптоПро выдаст вам окно с предложением выбрать контейнер. Там же будет отображаться доступный считыватель.

       доступный считыватель.3

      А если закрытый ключ содержится в виде файлов?

      Закрытый ключ может быть в виде шести файлов: header.key, masks.key, masks2.key, name.key, primary.key, primary2.key

      И если эти файлы находятся в корневой папке (то есть, записаны непосредственно на жёсткий диск), то КриптоПро CSP их не «увидит». Соответственно, все действия нужно производить только после того, как каждый файл перенесён на флешку. Причём находиться он должен в папке первого уровня.

      После выбора контейнера откроется окно Сертификаты в контейнере закрытого ключа. С помощью кнопки Установить начните установку сертификата.

       Сертификаты в контейнере закрытого ключа

      Если установка прошла успешно, перед вами появится окно о завершении операции. Закройте его, нажав ОК.

      Если автоматическая установка сертификата не удалась, может потребоваться ручная установка. О том, как её осуществить, читайте нашей пошаговой инструкции.

      Шаг 3: добавление сертификатов

      Установить ЭЦП на компьютер пошагово и правильно — это не только скачать криптопровайдер и рутокен, но и установить и добавить личные сертификаты.

      Проверка наличия сертификата

      Перед тем как установить личный сертификат необходимо проверить его наличие в контейнере. Делается это так:

      • запуск КриптоПро (Пуск — Панель управления — КриптоПро CSP);
      • переход во вкладку «Сервис» и нажатие «Посмотреть сертификаты».

      В новом окне нужно нажать «Обзор»:

      обзор Сертификатов ЭЦП

      Далее пользователь выбирает контейнер, который желает проверить, и нажимает «Ок»:

      Выбор контейнера Сертификата

      Когда в поле «Имя контейнера» отобразится название, нужно нажать «Далее»:

      Выбор Сертификата эцп

      На этом этапе может потребоваться пин-код для контейнера. Обычно по умолчанию используются следующие варианты:

      • ruToken: 12345678
      • eToken: 1234567890

      Однако в разных регионах они могут различаться, поэтому желательно уточнить эту информацию в точке подключения.

      Ввод ПИН-кода

      Если выдается сообщение об отсутствии сертификата, то необходимо установить личный сертификат.

      Отсуствие Сертификата

      А если личный сертификат уже установлен, то откроется окно с выбором сертификатов для просмотра.

      Установка сертификата

      Для установки сертификата нужно нажать «Свойства»:

      Свойства Сертификата

      Далее пользователь переходит во вкладку «Общие» и нажимает «Установить сертификат»:

      Сведения о Сертификате

      Чтобы завершить установку нужно нажать «Далее»:

      Завершение установки Сертификата

      Заключающий этап — выбор хранилища. Для этого в окне «Хранилище сертификатов» пользователь выбирает режим «Поместить сертификат в следующее хранилище» и нажимает «Обзор»:

      Обзор Хранилищ Сертификата

      В новом окне нужно выбрать личное хранилище и нажать «Ок»:

      Помещение Сертификата в хранилище

      Когда в поле «Хранилище сертификатов» появляется имя нужного хранилища, пользователь нажимает «Далее» и «Готово». Если вышло сообщение об успешном импорте сертификата — все сделано правильно. Настройка ЭЦП завершается последовательным нажатием «Ок» — «Готово» — «Ок».

      Если следовать пошаговой инструкции и выполнять все действия в указанной последовательности, то установка подписи на ПК не вызовет сложностей. Все дистрибутивы, драйвера, приложения нужно скачивать только с официальных ресурсов. Процесс установки начинается со скачивания криптопровайдера КриптоПро и драйверов рутокен. Затем через установленное приложение добавляется личный сертификат — ЭЦП готова к использованию. Если во время работы возникают ошибки системы или несоответствия оборудования — необходимо обратиться в техническую поддержку КриптоПро или Рутокена.

Adblock
detector