В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Разберём, как решить проблему с отсутствующим хранилищем «Другие пользователи» в оснастке «Сертификаты» (CertMGR.exe или certs.ru.msc – в случае КриптоПро) или при установке сертификата.

Суть проблемы

При попытке установки сертификата в хранилище «Другие пользователи» на ОС Windows, можно столкнуться с проблемой отсутствия этого хранилища на компьютере – его просто нет в списке, и, соответственно, невозможно установить сертификат в это хранилище.

Причина отсутствия данного хранилища связана с тем, что ОС по какой-то причине не создала ветку реестра, в которой хранятся ключи хранилища «Другие пользователи».

Решение проблемы

Для этого необходимо запустить редактор реестра: Пуск – Средства администрирования Windows – Редактор реестра (либо Win+R – “regedit” (без кавычек) – OK).

Далее перейдите в ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificates и внутри неё создайте раздел AddressBook. Внутри раздела AddressBook создайте ещё три раздела: Certificates, CRLs и CTLs

Никаких параметров внутри разделов создавать не нужно.

Ветка реестра, после добавления разделов, должна выглядеть так:


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Данная ветка отвечает за расположение хранилища «Локальный компьютер». То есть, если вы внесёте изменения только в эту ветку реестра, то хранилище «Другие пользователи» появится в списке только в случае, если при установке сертификата вы выберите место его хранения – «Локальный компьютер»:


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

После внесения изменений в реестр, перезагрузите компьютер. После перезагрузки, хранилище «Другие пользователи» должно появиться в списке хранилищ.

Вариант 2. С помощью файла редактора реестра

После изменения реестра, перезагрузите компьютер, и хранилище «Другие пользователи» должно появиться в списке.

Эта статья описывает типичные ошибки работы КриптоПро ЭЦП Browser plug-in  в браузерах  и предлагает способы их решения.

Появляется окно КриптоПро CSP Вставьте ключевой носитель

Появление данного окна значит, что у Вас не вставлен носитель с закрытым ключом для выбранного Вами сертификата.

Необходимо вставить ключевой носитель. Убедитесть, что устройство отображается в Диспетчере Устройств Windows. Установите драйверы на устройство с сайта производителя если они не установлены.

Если предыдущие действия не помогли, необходимо переустановить сертификат в хранилище Личное текущего пользователя с привязкой к закрытому ключу. См статью.

Не удалось создать подпись из-за ошибки: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)

Эта ошибка возникает, когда невозможно проверить статус сертификата (нет доступа к спискам отзыва или OCSP службе), либо не установлены корневые сертификаты.

Скриншоты с примерами сертификатов, у которых не строится цепочка доверия.

Если вы используете квалифицированный сертификат, то попробуйте установить в доверенные корневые эти 2 сертификата. Это сертификаты Головного УЦ Минкомсвязи и Минцифры. От них, при наличии интернета, должна построится цепочка доверия у любого квалифицированного сертификата.

https://e-trust.gosuslugi.ru/#/portal/registry/ufo-certificate-card/34656 – страница сертифката, ссылка с серийным номером скачает файл сертификата

Чтобы установить скачанный сертификат в доверенные корневые центры сертификации, нажмите по нему правой кнопкой-Выберите пункт –Установить сертификат- Локальный компьютер (если такой выбор есть) – Поместить все сертификаты в следующие хранилище-Обзор-Доверенные корневые центры сертификации-Ок- Далее- Готово- когда появится предупреждение системы безопасности об установке сертификата- нажмите Да-Ок.

Если этого недостаточно, обратитесь в УЦ, выдавший вам сертификат, за сертификатом самого УЦ.

Важно: Если вы создаете CAdES-T (доверенное время) или CAdES-XLongType 1 (доверенное время и доказательства подлинности), ошибка цепочки может возникать если нет доверия к сертификату оператора TSP службы. В этом случае необходимо установить в доверенные корневые центры сертификации корневой сертификат УЦ, предоставляющего службу TSP.

При создании подписи появляется окно с ошибкой “Не удается найти сертификат и закрытый ключ для расшифровки. (0x8009200B)”, в информации о сесртификате отображается “нет привязки к закрытому ключу”

Выполните привязку сертификата к закрытому ключу.

Важно: На наших демо-страницах подпись будет создана даже если привязки к ЗК нет. При этом сертификат должен находиться в контейнере. Сообщение “нет привязки к закрытому ключу” в данном случае будет носить информационный характер. Однако для обеспечения совместимости со сторонними площадками мы рекомендуем выполнять привязку сертификата к закрытому ключу.

Подпись создается, но также отображается статус “ошибка при проверке цепочки сертификатов”.

Это значит, что нет доступа к спискам отозванных сертификатов.

Причина ошибки – истёк срок действия лицензий на КриптоПро CSP и/или КриптоПро TSP Client 2.0 и/или Криптопро OCSP Client 2.0.

Для создания CAdES-BES подписи должна быть действующая лицензия на КриптоПро CSP.

Для создания CAdES-T должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0.

Для создания XLT1 должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0, КриптоПро OCSP Client 2.0

Посмотреть статус лицензий можно через: Пуск- Все программы- КРИПТО-ПРО- Управление лицензиями КриптоПро PKI.

Чтобы активировать имеющуюся лицензию:

– введите в поле информацию о лицензии и нажмите OK чтобы сохранить её.

Отказано в доступе (0x80090010)

Ошибка: Invalid algorithm specified. (0x80090008)

Ошибка возникает, если Вы используете сертификат, алгоритм которого не поддерживается Вашим криптопровайдером.

Пример: У вас установлен КриптоПро CSP 3.9 а сертификат Выпущен по ГОСТ 2012.

Или если используется алгоритм хеширования, не соответствующий сертификату.

Так же проверьте актуальность версии КриптоПро CSP.

Система цифровых сертификатов используется аналогично паролям, для подтверждения личности пользователя или ПК, обмена электронной информацией в виртуальной сети. Легковесные файлы содержат личные данные, которые применяются при идентификации личности. Хранилище сертификатов в ОС Windows 10 находится в секретном месте. Иногда фирмам приходится настраивать личные сертификаты, поэтому им важно знать местоположение файлов.

Для чего знать, где хранятся сертификаты?

Каждый файл в хранилище предусмотрен для защиты операционки цифрового устройства. Они препятствуют проникновению вредоносных программ в систему. Отдельная цифровая подпись отвечает за определенный скачанный софт.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Знание о том, где хранятся такие файлы, требуется в случае просмотра или установки корневых, личных сертификатов. В «десятке» инструменты находятся в контейнере двух типов:

Сертификаты представляют собой корневые и личные файлы. Первые являются составным элементом секретного ключа. Вторые предназначены для идентификации юзеров при обмене электронных данных. Поменять настройки в «десятке» можно через mmc оснастки, в том числе через хранилище.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Список важных объектов: сертификаты для оборудования, персональные файлы – находят несколькими способами с помощью встроенных инструментов, сторонних утилит.

Через «КриптоПро»

Криптопровайдер предназначен для организации защиты программных обеспечений методом шифрования. Менеджер защищает конфиденциальную информацию при обмене данными через сеть интернет, обеспечивает юридическую достоверность электронных документов.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Просмотр проверочных ключей ЭЦП происходит по следующему алгоритму:


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В открывшемся окне пользователь увидит все актуальные корневые, личные файлы. Обладая администраторскими правами, можно управлять файлами в «десятке»: выполнять копирование, редактирование, деинсталлировать файлы.

Через Certmgr

Диспетчер разрешает проводить различные действия с цифровыми документами. Консоль является частью операционной системы, включает инструменты для функций управления.

Для просмотра данных нужно следовать инструкции:


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Без прав Администратора утилита не заработает. Софт имеет ограничение в шифровании данных, где происходит специальное кодирование файлов.

Через Internet Explorer

С помощью браузера можно найти ЭЦП, следуя инструкции:


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В результате откроется содержимое с полным списком искомых файлов. В веб-сервисе существует возможность их добавления. Юзеру стоит помнить, что корневые ЭЦП удостоверяющих центров деактивировать запрещено.

Аналогичный способ поиска документов выполняется через Центр управления сетями или общим доступом:


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Преимущество метода заключается в том, что посмотреть список ЭЦП можно без администраторских прав. Для обычных людей доступен только просмотр, вносить изменения запрещено.

Через контроль управления

Представляет собой один из важнейших компонентов ОС Виндовс 10. С помощью встроенного средства осуществляется управление, запуск, настройка большинства системных функций. Также можно найти, где лежат сертифицированные файлы ЭЦП для их редактирования.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Все действия пользователь может выполнять только с правами Администратора. Такой вариант подходит не каждому человеку, так как некоторые запросы вводятся через Командную строку. Сервисом обычно пользуются системные администраторы или люди, хорошо разбирающиеся в теме.

Существует целый список сторонних ресурсов, позволяющих управлять сертификатами, инсталлированными в ОС Виндовс 10. Но пользоваться такими утилитами не рекомендуется, так как нет гарантии, что в них присутствует команда отправки сертификата на внешний сервер. Надежное сертифицированное приложение – это «КриптоПро», которое дает гарантию защиты от несанкционированного доступа посторонних лиц к ЭЦП.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Сертификаты созданы для безопасной работы цифровой техники. Их достоверность гарантирована сертификационным центром. Управление ЭЦП требует определенных знаний, поэтому работу должен выполнять специалист или продвинутый пользователь.

Данный материал является переводом оригинальной статьи «ATA Learning : Michael Soule : Manage Certs with Windows Certificate Manager and PowerShell».

Работа с сертификатами обычно является одной из тех дополнительных задач, которые вынужден брать на себя системный администратор Windows. Диспетчер Сертификатов Windows (Windows Certificate Manager) — это один из основных инструментов, который позволяет выполнять эту работу.

Понимание хранилищ сертификатов

В диспетчере сертификатов Windows все сертификаты находятся в логических хранилищах, называемых «хранилищами сертификатов». Хранилища сертификатов – это «корзины», в которых Windows хранит все сертификаты, которые в настоящее время установлены, и сертификат может находиться более чем в одном хранилище.

К сожалению, хранилища сертификатов — не самая интуитивно понятная концепция для работы. О том, как различать эти хранилища и как с ними работать, вы прочитаете ниже.

Каждое хранилище находится в Реестре Windows и в файловой системе. При работе с сертификатом в хранилище вы взаимодействуете с логическим хранилищем, не изменяя напрямую реестр или файловую систему. Этот более простой способ позволяет вам работать с одним объектом, в то время как Windows заботится о том, как представить этот объект на диске.

Иногда можно встретить хранилища сертификатов, называемые физическими или логическими хранилищами. Физические хранилища ссылаются на фактическую файловую систему или место в реестре, где хранятся разделы реестра и / или файл(ы). Логические хранилища — это динамические ссылки, которые ссылаются на одно или несколько физических хранилищ. С логическими хранилищами намного проще работать, чем с физическими хранилищами для наиболее распространенных случаев использования.

Windows хранит сертификаты в двух разных областях — в контексте пользователя и компьютера. Сертификат помещается в один из этих двух контекстов в зависимости от того, должен ли сертификат использоваться одним пользователем, несколькими пользователями или самим компьютером. В остальной части этой статьи сертификат в контексте пользователя и компьютера будет неофициально называться сертификатами пользователей и сертификатами компьютеров.

Сертификаты пользователей

Если вы хотите, чтобы сертификат использовался одним пользователем, то идеальным вариантом будет хранилище пользовательских сертификатов внутри Диспетчера сертификатов Windows. Это общий вариант использования процессов аутентификации на основе сертификатов, таких как проводной IEEE 802.1x.

Сертификаты пользователей находятся в профиле текущего пользователя и логически отображаются только в контексте этого пользователя. Сертификаты пользователей «сопоставлены» и уникальны для каждого пользователя даже в одних и тех же системах.

Компьютерные сертификаты

Если сертификат будет использоваться всеми пользователями компьютера или каким-либо системным процессом, его следует поместить в хранилище в контексте компьютера. Например, если сертификат будет использоваться на веб-сервере для шифрования связи для всех клиентов, размещение сертификата в контексте компьютера будет подходящим вариантом.

Вы увидите, что хранилище сертификатов компьютера логически сопоставлено для всех пользовательских контекстов. Это позволяет всем пользователям использовать сертификаты в хранилище сертификатов компьютера в зависимости от разрешений, настроенных для закрытого ключа.

Сертификаты компьютера находятся в кусте реестра локального компьютера и в подкаталогах ProgramData. Сертификаты пользователя находятся в кусте реестра текущего пользователя и в подкаталогах AppData. Ниже вы можете увидеть, где каждый тип хранилища находится в реестре и файловой системе.

Предварительные требования

В оставшейся части этой статьи вы найдете несколько примеров, демонстрирующих взаимодействие с хранилищами сертификатов Windows. Чтобы воспроизвести эти примеры, убедитесь, что выполняются следующие требования:

Управление сертификатами в Windows

В Windows есть три основных способа управления сертификатами:

PowerShell против диспетчера сертификатов Windows

Поскольку в Windows можно управлять сертификатами несколькими способами, встаёт вопрос выбора, что лучше использовать — GUI (MMC) или командную строку с PowerShell.

Во-первых, рассмотрим жизненный цикл сертификата. Если вы собираетесь установить или удалить один сертификат только один раз, рассмотрите возможность использования MMC. Но если вы управляете несколькими сертификатами или выполняете одну и ту же задачу снова и снова, использование командной строки может оказаться правильным решением. Даже если вы не умеете писать сценарии PowerShell, вам стоит этому научиться, если у вас есть много разных сертификатов, которыми нужно управлять.

Давайте сначала посмотрим, как обнаружить сертификаты, установленные в Windows, с помощью диспетчера сертификатов и PowerShell.

Использование диспетчера сертификатов Windows (certmgr. msc)

Чтобы просмотреть сертификаты с помощью MMC, откройте Диспетчер сертификатов: откройте меню «Пуск» и введите certmgr.msc. Это вызовет Windows Certificates MMC. Это начальное представление предоставит обзор всех логических хранилищ, отображаемых в левом окне.

На снимке экрана ниже видно, что выбрано логическое хранилище доверенных корневых центров сертификации


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Просмотр физических хранилищ


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Теперь вы можете видеть, что дополнительные контейнеры показаны в примере логического хранилища доверенных корневых центров сертификации, показанном ранее. Сертификаты по-прежнему сгруппированы относительно их логических хранилищ, но теперь вы можете увидеть физическое хранилище «Реестр».


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Проверка атрибутов в диспетчере сертификатов Windows

Есть много атрибутов сертификата, которые вы можете увидеть при просмотре их с помощью MMC. Например, вы, вероятно, захотите выбрать определенные сертификаты по их атрибутам. Самый простой способ сделать это — указать Serial Number сертификата или значение Thumbprint. Если сертификат был подписан центром сертификации (CA), при выдаче он будет иметь серийный номер. Thumbprint вычисляется каждый раз при просмотре сертификата.

Вы можете увидеть некоторые атрибуты сертификата, открыв его в MMC, как показано ниже.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Следует отметить одну важную особенность — встроенные закрытые ключи. Сертификаты в Windows также могут иметь соответствующий закрытый ключ. Эти закрытые ключи хранятся в соответствующих физических хранилищах в виде зашифрованных файлов.

Чтобы быстро отличать сертификаты с соответствующим закрытым ключом и без него, посмотрите на значок сертификата. В Диспетчере сертификатов Windows, если значок просто выглядит как лист бумаги с лентой, соответствующий закрытый ключ отсутствует. Если у сертификата есть закрытый ключ, вы увидите ключ на значке MMC, и ключ в нижней части вкладки «Общие» при открытии сертификата


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Использование PowerShell по физическому хранилищу

Как и в случае с MMC, вы можете просматривать сертификаты и управлять ими с помощью PowerShell. Давайте сначала проверим сертификаты в их физических хранилищах (реестр и файловая система).

Используя PowerShell командлет Get-ChildItem, вы можете перечислить все ключи и значения внутри родительского пути в реестре. Приведенная ниже команда перечислит все сертификаты вошедшего в систему пользователя в логическом хранилище промежуточных центров сертификации.

Каждая запись в кусте реестра, который вы видите, будет соответствовать отпечатку сертификата доверенного центра сертификации и его сертификату в соответствующем свойстве. Вы можете увидеть пример вывода ниже.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Другое распространенное хранилище — это Personal store. Ваши сертификаты для этого хранилища находятся в файловой системе, а не в реестре. В следующих командах мы покажем эти различные физические пути и их цели.

Каждый файл в каталоге, возвращенный приведенной ниже командой, соответствует сертификату, установленному в личном хранилище текущего пользователя.

Каждый файл, возвращаемый в приведенной ниже команде, является ссылкой на объект для закрытого ключа, созданный поставщиком хранилища ключей (KSP). Имя файла соответствует идентификатору ключа субъекта сертификата. К каждому устанавливаемому вами закрытому ключу будет добавлен соответствующий файл.

Каждый файл в каталоге, возвращаемый следующей командой, является уникальным контейнером для зашифрованного закрытого ключа, созданного KSP. Нет прямой связи между именем файла и сертификатом, но файл является целью указателя в предыдущей команде.

Использование PowerShell по логическому хранилищу

Поскольку работа с сертификатами на их физических путях встречается редко, в остальных примерах вы будете работать с логическими хранилищами.

PowerShell может получить доступ к логическим хранилищам Windows с помощью PSDrive-объекта ««, который сопоставляет сертификаты с физическими хранилищами так же, как это делает MMC.

К сожалению, MMC и «Cert:» не маркируют логические хранилища одинаково. Ниже вы можете увидеть сравнительную таблицу общих хранилищ и их названий как в MMC, так и в «Cert:» PSDrive.

Выбор сертификатов

Когда вы работаете с сертификатами, вам понадобится способ фильтрации и выбора сертификатов для выполнения определенных операций. В большинстве случаев вы будете фильтровать и выбирать сертификаты на основе значения определенного расширения.

Для следующих примеров вам нужно начать с перечисления всех установленных сертификатов в хранилище корневого ЦС.

Возвращенные объекты будут объектами сертификатов, которые вы можете использовать в следующих примерах.

Общие расширения уже доступны как свойства объектов сертификата. В приведенном ниже примере вы используете Get-Member для вывода списка всех свойств возвращаемых объектов.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Как видим, некоторые из этих расширений, например «Issuer», помогают найти сертификат, который вы ищете. Расширения предоставляют информацию о сертификате, например, кому он выдан, для чего его можно использовать и любые ограничения на него.

В более сложных случаях использования вам может понадобиться найти сертификаты других расширений, таких как используемый шаблон сертификата. Сложность в том, что значения этих расширений возвращаются как массив целых чисел. Эти целые числа соответствуют содержимому в кодировке ASN.1.

Покажем пример взаимодействия с свойствами типа ScriptProperty. В приведенной ниже команде вы извлекаете Key Usages.

Новая часть, которую мы вводим в приведенной выше команде, — это метод форматирования, который выполняет декодирование ASN.1. Вы передаете ему логическое значение (например, $true), чтобы определить, хотим ли мы, чтобы возвращаемый объект был однострочным или многострочным.

Попробуем использовать значение Thumbprint из сертификата в приведенной ниже команде. Значение Thumbprint устанавливается как переменная PowerShell и используется для выбора конкретного сертификата в приведенных ниже командах.

Создание самозаверяющих (self-signed) сертификатов с помощью PowerShell

PowerShell может создавать самозаверяющие (self-signed) сертификаты с помощью командлета New-SelfSignedCertificate. Самозаверяющие сертификаты полезны для тестирования, поскольку они позволяют генерировать пару открытого и закрытого ключей без использования центра сертификации.

Теперь давайте создадим самозаверяющий сертификат в хранилищах текущего пользователя и локального компьютера, чтобы использовать его в примерах для следующих шагов.

В приведенном ниже примере PowerShell создает пару открытого и закрытого ключей, самозаверяющий сертификат и устанавливает их все в соответствующие хранилища сертификатов.

Использование самозаверяющих сертификатов для продуктивных сервисов не рекомендуется, поскольку не существует всех механизмов, основанных на доверии.

Импорт и экспорт сертификатов в MMC

Криптография с открытым ключом основана на широкой доступности открытого ключа. Учитывая это, вам нужны стандартные способы эффективного обмена сертификатами. Не менее важна безопасность ваших личных ключей. Хранение закрытых ключей на недоступных носителях или с материалами для аварийного восстановления — обычная практика для определенных закрытых ключей.

Оба они требуют способов хранения этих криптографических объектов в стандартных форматах. Экспорт предоставляет функции для сохранения этих объектов и обеспечения использования широко распространенных стандартных форматов файлов. Импорт позволяет вам переносить криптографические объекты в операционные системы Windows.

Экспорт сертификатов из MMC относительно прост. Чтобы экспортировать сертификат без закрытого ключа, щелкните сертификат в MMC, выберите меню «Все задачи», а затем «Экспорт».

Во время экспорта вам будет предложено указать формат файла, как показано ниже. Наиболее распространены варианты кодирования — DER или Base-64


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Экспорт закрытых ключей

Чтобы экспортировать сертификат с соответствующим закрытым ключом, вы должны соответствовать двум критериям:

Чтобы проверить разрешения для закрытых ключей локального компьютера, вы можете выбрать сертификат с закрытым ключом, выбрать «Все задачи» и «Управление закрытыми ключами» в MMC «Сертификаты». В открывшемся диалоговом окне отображаются записи управления доступом для закрытых ключей.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Когда выше обозначенные условия выполнены, вы можете выбрать сертификат, щелкнуть «Все задачи», а затем «Экспорт», как если бы вы использовали сертификат только с открытым ключом. При экспорте теперь у вас должна присутствовать возможность выбора экспорта закрытого ключа («Yes, export the private key»), как показано ниже.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Когда вы экспортируете закрытый ключ в Windows, вы можете сохранить файл только как PFX. Этот и другие типы файлов и форматы кодирования подробно описаны в этом посте.

Для остальных параметров, отображаемых в мастере экспорта, вы можете использовать значения по умолчанию. В таблице ниже приводится краткое изложение каждого из них.

Импорт сертификатов

Функция импорта одинакова для всех поддерживаемых типов файлов сертификатов. Единственная разница в том, что если файл содержит закрытый ключ, вы можете «Отметить этот ключ как экспортируемый», о чем вы узнаете подробнее ниже. Windows будет использовать мастер импорта сертификатов.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

При использовании мастера импорта сертификатов для PFX вам потребуется указать пароль, используемый для шифрования закрытого ключа. Вот еще один обзор вариантов импорта.

Сертификаты для подписи кода PowerShell — хороший вариант использования надежной защиты закрытого ключа.

С автоматическим размещением сертификатов следует проявлять осторожность. Скорее всего, вы получите наилучшие результаты, выбрав хранилище сертификатов вручную.

Импорт и экспорт сертификатов в PowerShell

Теперь, когда вы выбрали сертификат, вы можете использовать команду Export-Certificate, чтобы сохранить файл в кодировке DER, используя команду ниже.

Теперь давайте посмотрим на экспорт закрытого ключа. Ниже вы проверяете, что у выбранного сертификата есть закрытый ключ. Если он не возвращает True, то команда Get-Item, скорее всего, выбрала неправильный сертификат.

Ниже вы установите пароль, который будет использоваться для шифрования закрытого ключа. Затем экспортируйте выбранный сертификат в файл PFX и используйте пароль, который вы ввели ранее, чтобы зашифровать файл.

В случае, если необходимо выполнить импорт, как и при экспорте, есть две команды. Одна команда для импорта сертификатов и одна для импорта файлов PFX.

Ниже команда Import-Certificate импортирует файл в формате DER, который вы экспортировали ранее, в личное хранилище текущего пользователя.

Допустим, вы тоже хотите установить закрытый ключ этого сертификата.

Имейте в виду, что пароль должен быть защищенной строкой. Кроме того, если вы импортируете в хранилище локального компьютера (например, ««), вам нужно будет запустить команду из командной строки администратора с повышенными привилегиями.

В приведенном выше примере вы также используете параметр с командой, отмечая закрытый ключ как экспортируемый в будущем. По умолчанию (без указания этого параметра) экспорт не используется. Экспортируемые закрытые ключи – отельный аспект информационной безопасности, заслуживающий отдельного внимания.

Удаление сертификатов с помощью PowerShell

При удалении сертификатов помните, что понятие «Корзина Windows» в этом случае отсутствует. Как только вы удалите сертификат, он исчезнет! Это означает, что очень важно подтвердить, что вы удаляете правильный сертификат, путем проверки уникального идентификатора, такого как серийный номер или значение расширения Thumbprint.

Как и выше, в приведенной ниже команде мы выбираем самозаверяющий сертификат из личного хранилища текущего пользователя.

Ниже вы можете увидеть свойства отпечатка, серийного номера и темы для выбранного сертификата, чтобы убедиться, что это именно тот сертификат, который вы собираетесь выбрать.

Убедитесь, что вы выбрали правильный сертификат, который собираетесь удалить.

Приведенная ниже команда удаляет все выбранные объекты сертификата, используйте с осторожностью! Передав объект через конвейер в командлет Remove-Item в приведенной ниже команде, вы удалите все содержимое сертификата без каких-либо запросов на проверку.

Резюме

На протяжении всей этой статьи вы работали с сертификатами в Windows, изучая, как получить к ним доступ, и некоторые инструменты, которые можно использовать при работе с ними. По этой теме можно изучить гораздо больше, в том числе о том, как связать установленные сертификаты с конкретными службами или даже о том, как реализовать инфраструктуру закрытого открытого ключа (PKI) путем развертывания собственных центров сертификации (CA).

Для чего знать где хранятся сертификаты в windows

Давайте я вам приведу основные причины, по которым вы захотите обладать этим знанием:

Ранее я вам рассказывал какие бывают сертификаты и где вы их можете получить и применять, советую ознакомиться с данной статьей, так как информация изложенная в ней является фундаментальной в этой теме.

Во всех операционных системах начиная с Windows Vista и вплоть до Windows 10 Redstone 2 сертификаты хранятся в одном месте, неком таком контейнере, который разбит на две части, один для пользователя, а второй для компьютера.

В большинстве случаев в Windows поменять те или иные настройки вы можете через mmc оснастки, и хранилище сертификатов не исключение. И так нажимаем комбинацию клавиш WIN+R и в открывшемся окне выполнить, пишем mmc.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Вы конечно можете ввести команду certmgr.msc, но таким образом вы сможете открыть только личные сертификаты

Теперь в пустой mmc оснастке, вы нажимаете меню Файл и выбираете Добавить или удалить оснастку (сочетание клавиш CTRL+M)


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В окне Добавление и удаление оснасток, в поле Доступные оснастки ищем Сертификаты и жмем кнопку Добавить.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Тут в диспетчере сертификатов, вы можете добавить оснастки для:

Я обычно добавляю для учетной записи пользователя


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

У компьютера есть еще дополнительные настройки, это либо локальный компьютер либо удаленный (в сети), выбираем текущий и жмем готово.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В итоге у меня получилось вот такая картина.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Задаем место сохранения и все.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Как вы видите консоль хранилище сертификатов, я в своем примере вам показываю на Windows 10 Redstone, уверяю вас интерфейс окна везде одинаковый. Как я ранее писал тут две области Сертификаты — текущий пользователь и Сертификаты (локальный компьютер)


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Сертификаты — текущий пользователь

Данная область содержит вот такие папки:

В папке личное, по умолчанию сертификатов нет, если вы только их не установили. Установка может быть как с токена или путем запроса или импорта сертификата.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В мастере импортирования вы жмете далее.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

далее у вас должен быть сертификат в формате:

  • PKCS # 12 (. PFX, . P12)
  • Стандарт Cryprograhic Message Syntax — сертификаты PKCS #7 (.p7b)


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

На вкладке доверенные центры сертификации, вы увидите внушительный список корневых сертификатов крупнейших издателей, благодаря им ваш браузер доверяет большинству сертификатов на сайтах, так как если вы доверяете корневому, значит и всем кому она выдал.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Двойным щелчком вы можете посмотреть состав сертификата.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Из действий вы их можете только экспортировать, чтобы потом переустановить на другом компьютере.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Экспорт идет в самые распространенные форматы.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Еще интересным будет список сертификатов, которые уже отозвали или они просочились.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Список пунктов у сертификатов для компьютера, слегка отличается и имеет вот такие дополнительные пункты:

Думаю у вас теперь не встанет вопрос, где хранятся сертификаты в windows и вы легко сможете найти и корневые сертификаты и открытые ключи.

Разберём, что делать, если в ЛК ФСС, при подписании, в графе «Сертификат уполномоченного лица ФСС для шифрования», отсутствуют сертификаты.

Один из клиентов обратился к нам с проблемой: при отправке реестра из Личного кабинета ФСС, в графе «Сертификат уполномоченного лица ФСС для шифрования» не было никаких сертификатов, лишь надпись «Не выбрано / Не найдено». При этом личные сертификаты («Общий сертификат организации») отображались корректно.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Проблема решается весьма просто. Приступим.

Скачивание сертификата

Перейдите в Личный кабинет ФСС, в раздел сертификатов (https://lk.fss.ru/cert.html)


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Спуститесь на странице вниз до раздела «Для взаимодействия с ПВСО, Ф4»


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Установите сертификат


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Должно появиться окно с надписью «Импорт успешно выполнен.».

Для того, чтобы сертификат заработал, его цепочка должна быть корректна, чтобы сервисы знали, какие удостоверяющие центры выпустили этот сертификат и могли убедиться в его подлинности.

Для проверки корректности цепочки сертификатов, вновь откройте сертификат из загрузок и перейдите на вкладку «Путь сертификации». Корректная цепочка сертификатов выглядит следующим образом (может иметь иные названия сертификатов – если сертификат был уже перевыпущен к тому моменту, как вы читаете эту статью):


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Если же вы столкнулись с ошибкой в информации о сертификате, а также цепочка сертификатов в поле сверху не отображается (т.е. виден только основной сертификат и/или не виден головной сертификат), то необходимо установить корневые сертификаты.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

Актуальные корневые сертификаты вы можете найти в инструкции, приложенной на странице со сертификатами ФСС (https://lk.fss.ru/cert.html). На момент публикации статьи, актуальные корневые сертификаты располагаются по следующим ссылкам:

Эти сертификаты также необходимо установить, при этом поместив их в хранилище «Доверенные корневые центры сертификации»


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

В случае, если появится окно подтверждения установки сертификата, согласитесь на его установку.


В СЕРТИФИКАТАХ НЕТ ДРУГИХ ПОЛЬЗОВАТЕЛЕЙ И В СЕРТИФИКАТАХ WINDOWS 10 ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ ХРАНЯТСЯ

После того, как вы убедитесь в корректности установки цепочки сертификатов и установите сертификат ПВСО/Ф4, перезагрузите страницу отправки реестра. Сертификат уполномоченного лица должен появиться в списке сертификатов.

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Доброго времени суток! Есть определенное ПО которое отправляет по электронной почте файлы и подписывает их ЭЦП. В настройках ПО есть настройка выбора сертификата шифрования из списка установленных сертификатов. На сервере установлено Crypto PRO CSP 4. Когда выбираешь эту самую опцию то появляется ошибка expimp

Сертификаты не доступны
Сертификаты не отвечают критериям.

При этом установлены все необходимые корневые сертификаты, и так же личные сертификаты. Они все видны в certmgr.msc и при просмотре контейнера в крипто про. Подскажите что это может быть

Последнее редактирование: 04.08.2022

Дело на windows server 2019 + crypto pro 4

Может у софта нет прав для доступа к сертификатам. Надо глянуть от имени кого ваше ПО работает. Я бы в эту сторону подумал

Не думаю. Он ведь их видит по идее но понимает что они каким то критериям не соответствуют

а на чем записаны сертификаты? Что за носитель? java token, e-token или реестр или рутокен ? Может ему носитель не нравится

Они на обычной флэшке записаны, но я пробовал копировать сертификат в реестр – пофигу, не работает

крипто про нормально видит эти сертификаты в считывателях

У меня на личном сертификате пользователя горело сообщение: Недостаточно информации для проверки этого сертификата
Тогда я понял что нет корневых сертификатов. Я их установил позже – все предупреждения исчезли. Теперь все в порядке с сертификатами.
Только выбрать их почему то не дает софт

Все таки еще раз проверьте что корневые установлены там где нужно. Похоже на то что не хватает каких то сертификатов. Возможно стоит попробовать перезагрузиться

Или есть промежуточные сертификаты

Посмотреть вложение 11558

Громадное значение имеет место размещения сертификатов. Личное хранилище либо доверенные корневые центры сертификации либо промежуточные центры сертификации.
Также сам сертификат имеет дату до которой он валиден, а после нет!
Также в свойствах сертификата обычно прописывается каким он сертификатом подписывается.
А также под каким пользователем ставится сертификат!
Проверьте все эти моменты – каждый из них может кардинальным образом влиять на конечный результат.

UPD. Решили перезагрузить сервак. Ушел в ребут и не вернулся. Пищит – что то с памятью.

UPD2. Битую память извлекли сервак запустили. Переставили еще раз все корневые сертификаты – не работает.

UPD3. Написали в саппорт разрабам – говорят поставьте корневые сертификаты в доверенные корневые ЦС локального ПК а не пользователя.
Дичь какая то! Попробовали так – тоже не работает.

UPD3. Написали в саппорт разрабам – говорят поставьте корневые сертификаты в доверенные корневые ЦС локального ПК а не пользователя.
Дичь какая то! Попробовали так – тоже не работает.

Так, стоп! Команды “паниковать” не было!
Откройте пожалуйста в Проводнике файл сертификата и покажите здесь вкладку “Certification Path”.

Вроде норм сертификат. Я думаю надо дождаться ответа ТП разработчиков

Отлично. Итак, у вас на руках должно быть три файла:
1. сертификат, свойства которого мы сейчас смотрим. Его надо класть в хранилище сертификатов Личное или Personal.
2. сертификат промежуточного центра сертификации. Его надо класть в хранилище промежуточных центров.
3. сертификат корневого удостоверяющего центра. Его надо класть в хранилище доверенных центров сертификации.
Делать это надо запустив оснастку Сертификаты с правами администратора для всего компа. Хотя я сделал бы и под админом и под пользователем.
Также в каждом из хранилищ надо проверить, чтобы свой сертификат лежал ТОЛЬКО в своём хранилище.
А также проверил бы свойства КАЖДОГО сертификата валиден ли он.
С этих точек зрения именно так и было сделано?

точнее не скажешь. Все так.

Тогда так:
1. Crypto PRO CSP 4 поддерживает работу на WS2019?
2. Что сказано в инструкции Crypto PRO CSP 4 как ставить сертификаты?
3. В ТП Crypto PRO CSP 4 обращались? Что они говорят?

В общем совместно с саппортом победили. Дело было в том что установленный личный сертификат был без закрытого ключа (там есть пометка что содержит закрытый ключ). Это косяк номер раз.
Косяк номер два – сертификаты должны были устанавливаться в в личные текущего компьютера, а не пользователя.
Всем спасибо за советы и ответы!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *