Андрей Смирнов
Время чтения: ~13 мин.
Просмотров: 0

Не устанавливается корневой сертификат windows 7. Управление доверенными корневыми сертификатами

Чтобы добавить сертификаты в хранилище доверенных корневых центров сертификации локального компьютера, выполните следующие действия.

  1. Первый шаг. Откройте мастер импорта сертификатов одним из описанных далее способом и нажмите «Далее >».

Установка через Internet Explorer:

  • Запустите iexplorer. В главном меню выберите Сервис / Свойства обозревателя.
  • Откройте «Свойства обозревателя» через Пуск / Панель управления.
  • Переключитесь на вкладку «Содержание».
  • Откроется окно «Сертификаты». Переключитесь на вкладку «Доверенные корневые центры сертификации».
  • Нажмите кнопку «Импорт».
  • Запустите файл сертификата как программу. Появится окно «Сертификат».
  • Нажмите кнопку «Установить сертификат».

Через консоль MS Windows

Внимание! Данный вариант — ЕДИНСТВЕННЫЙ работоспособный для Windows 7!

    • Запустите консоль mmc, для этого выполните следующие действия: Войти в «Пуск / Выполнить», в строке «Найти программы и файлы» пропишите mmc, Разрешите внести изменения — кнопка Да.
    • Появится окно консоли. В главном меню выберите Консоль / Добавить или удалить оснастку
    • Появится окно «Добавить или удалить оснастку». Нажмите кнопку «Добавить…»
    • В списке оснастки выберите «Сертификаты» и нажмите «Добавить».
    • В окне «Оснастка диспетчера сертификатов» оставьте значения по умолчанию и нажмите «Готово»
    • Закройте окно «Добавить изолированную оснастку» (кнопка «Закрыть»)
    • В окне «Добавить или удалить оснастку» нажмите «ОК»
    • В дереве консоли появится запись «Сертификаты». Раскройте ее и найдите раздел «Доверенные корневые центры сертификации», «Сертификаты»
    • На строке «Сертификаты» нажмите правую кнопку мыши и в контекстном меню выберите Все задачи / Импорт
  1. На шаге «Импортируемый файл» (Шаг может быть пропущен, в зависимости от варианта запуска мастера) с помощью кнопки «Обзор…» выберите корневой сертификат и нажмите «Далее >».
  2. На шаге «Хранилище сертификатов» установите опцию «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор».
  3. В окне выбора хранилища установите флаг «Показать физические хранилища», раскройте «ветку» (+) «Доверенные корневые центры сертификации» и выберите место хранения сертификата:
    • «Реестр» — для пользования корневым сертификатом только текущим пользователем под данной операционной системой.
    • «Локальный компьютер» — для пользования корневым сертификатом всеми пользователями операционной системой.
    hranilische_sertifikatov.jpg
  4. После нажатия кнопок «Ок», «Далее >» и «Готово» может появиться предупреждение о безопасности (зависит от внутренних настроек операционной системы) с вопросом «Установить данный сертификат?», нажмите «Да».
  5. Появится сообщение — «Импорт успешно выполнен», корневой сертификат добавлен в доверенные корневые центры сертификации для вашей или для всех учетных записей.

ВНИМАНИЕ информация для клиентов получивших СКП только для ФТС! Вам достаточно установить корневой сертификат Удостоверяющего центра «НТСсофт». Для этого скачайте два сертификата по ссылкам: здесь и здесь . Установите их в «Доверенные корневые центры сертификации», пример установки можно найти на рисунках с 3го по 6й. Если сертификат получен для других целей(не для ФТС), то необходимо проделать действия описанные ниже: После установки корневых сертификатов (п. 3.3) и личного сертификата (п. 3.4) откройте файл личного сертификата двойным щелчком мыши. Может возникнуть ошибка в сертификате (См. рис. 1 и 2).

Рис.1 «Ошибка 1»

Рис.2 «Ошибка 2»

Это обозначает, что на вашем компьютере закрыт доступ к адресам, с которых скачиваются и устанавливаются промежуточные сертификаты. В этом случае их надо установить вручную. Для этого скачайте сертификаты по ссылке  и установите, как показано ниже.

Откройте сертификат и нажмите кнопку «Установить сертификат». (См. рис.3)

Рис. 3 «Окно установки сертификата».

В открывшемся окне нажмите «Далее» (См. рис.4).

Рис. 4 «Окно мастера импорта сертификата».

В окне выбора хранилища сертификатов поставьте кружок напротив надписи «Поместить все сертификаты в следующее хранилище», затем нажмите «Обзор», выберите хранилище «Промежуточные центры сертификации» и нажмите «Ок» (См. рис.5).

Рис. 5 «Окно выбора хранилища сертификатов».

После выбора хранилища сертификатов нажмите «Далее» и «Готово» (См. Рис. 5 и 6).

Рис. 6 «Окно завершения работы мастера импорта сертификата».

Установите все сертификаты, загруженные по ссылке, точно таким же образом. Для системных администраторов. Также можно открыть доступ внутри вашей сети к адресам, с которых произойдет закачка и установка промежуточных сертификатов. Данный способ наиболее удобен т.к. при смене личного сертификата не придется заново устанавливать промежуточные сертификаты вручную. Для этого откройте личный сертификат, перейдите на вкладку «Состав» и найдите строчку «Доступ к информации о центрах сертификации». Здесь будет указано несколько адресов, все адреса нужно будет добавить в исключения на вашем прокси-сервере или в firewall (См. рис. 7).

Рис. 7 «Нахождения адреса для добавления его в список исключений»

После добавления адреса в список исключений закройте и откройте личный сертификат заново. На вкладке «Путь сертификации» появится еще один сертификат. Выделите данный сертификат и нажмите «Просмотр сертификата». (См. рис. 8).

Рис. 8 «Нахождения адреса для добавления его в список исключений»

После этого проделайте те же действия, что и с личным сертификатом. Перейдите на вкладку «Состав» и найдите строчку «Доступ к информации о центрах сертификации». Здесь будет указано несколько адресов, все адреса нужно будет добавить в исключения на вашем прокси-сервере или в firewall. Действуя по аналогичной схеме, добавьте все адреса в исключения из вновь появившихся сертификатов. НазадОглавлениеВперед

Для выполнения этой операции у вас должны быть права администратора. Сертификат устанавливают на той рабочей станции, где организована доставка отчётности.

Из каталога, где установлена программа криптозащиты (CSP ) на сервере, скопируйте на рабочую станцию файл center_ cert. cer . С помощью проводника откройте файл – появится окно «Сертификат «.

Нажмите «Импорт», а затем выполните действия мастера импорта сертификатов для импорта сертификатов. Из-за этих находок мы предприняли шаги по защите пользователей от обновления безопасности. Мы предпринимаем более сложные шаги для защиты пользователей в следующем обновлении для системы безопасности.

О надежности и сертификатах

Доверенные сертификаты используются для создания цепочки доверия, которая проверяет другие сертификаты, подписанные доверенными корнями, например, для установления безопасного соединения с веб-сервером. Когда используется один из этих сертификатов, вы должны указать, доверяете ли вы ему. Заблокированные сертификаты считаются скомпрометированными и никогда не будут доверять. Вы также поймете роль цифровых сертификатов в отношении информационной безопасности.

Рис. П 2-1 – Установка сертификата

Нажмите кнопку «Установить сертификат » — будет запущен Мастер импорта сертификатов . Для перехода к следующему этапу нажимайте «Далее >» или «ОК «.

1. Для выбора хранилища сертификатов установите флаг рядом с командой «Поместить все сертификаты в следующее хранилище » и нажмите «Обзор «.

Использование сертификатов и инфраструктуры с открытым ключом является недорогой альтернативой для сред, требующих высокого уровня безопасности, таких как исследовательские отделы для новых продуктов и технологий или стратегических государственных органов, таких как обороны и безопасности.

Безопасность более чем когда-либо является предметом, который всегда стоит на повестке дня. Время от времени новый вирус вызывает панику в Интернете, сообщаются новые типы атак, сайты становятся недоступными из-за хакерских атак, проблем безопасности доступа к данным, которые облегчают жизнь мошенникам и т.д.

Мнение экспертаАлександра СтепановаКонсультант по подбору ЭЦП Корневой сертификат удостоверяющего центра выдается самой организацией, которая и зарегистрировала электронную подпись. Как правило, предоставляют сам файл на CD-накопителе или же предлагают его скачать на официальном сайте.

Если удостоверяющий центр не предоставил необходимый файл при выдаче ЭЦП – следует обращаться к нему за получением информационной помощи. Также нередко корневые сертификаты можно скачать на официальном сайте УЦ (к примеру, кто получал ЭЦП в «Контур», то может скачать их по адресу https://ca.kontur.ru/about/certificates).

Необходимо обратить внимание, что срок действия корневых сертификатов также ограничен и составляет 12 месяцев с даты их регистрации (выдачей занимается Минкомсвязи, его наличие у УЦ подтверждает, что организация аккредитована). Соответственно, в начале нового календарного года необходимо проводить инсталляцию нового ключа удостоверяющего центра, чтобы продолжать нормально пользоваться электронной подписью.

Можно ли установить ЭЦП без корневого сертификата

Без корневого сертификата электронную подпись установить тоже получится, но такой ключ не будет признаваться в качестве действительного. Соответственно, подписать документ не получится (КриптоПро CSP будет выдавать ошибку, ссылаясь на невозможность проверить подлинность ЭЦП).

Это актуально и для онлайн-сервисов, где выполняется авторизация через ЭЦП. Все это работать не будет даже при считывании открытого ключа непосредственно из USB-накопителя через КриптоАРМ (без интеграции корневого ключа в систему). Операционная система точно так же будет выдавать ошибку, ссылаясь на невозможность проверить подлинность подписи.

Какая информация содержится в корневом сертификате

Что такое корневой сертификат удостоверяющего центра? Это файл, где сохранена сервисная информация об удостоверяющем центре с указанием даты его действия, сервисным интернет-адресом (через который можно связаться с реестром организации). Все эти данные предоставляются в шифрованном виде, которые использует КриптоПро CSP для проверки подлинности открытой персональной ЭЦП.

Основное назначение корневого ключа – это именно проверка подлинности открытого ключа ЭЦП. Открытую подпись гражданина в теории можно украсть, но воспользоваться ею без сертификата от удостоверяющего центра – не получится. То есть, вся эта схема сделана так, чтобы предотвратить факты использования чужой ЭЦП мошенниками или просто третьими лицами.

Как установить

Как установить корневой сертификат удостоверяющего центра?Понадобится сам файл с расширением .crt. Если он распространяется в форме архива – сперва файл необходимо разархивировать (для этого подойдет приложение WinRAR или 7Z). Затем для установки корневого сертификата необходимо следовать шагам инструкции:

  1. Необходимо правой кнопкой кликнуть на файл с расширением .crt;
  2. Выбрать «Установить сертификат», после чего запустится «Мастер импорта»;
  3. Нажать «Далее»,
  4. Выбрать «Поместить все сертификаты в выбранной хранилище»;
  5. Из диалогового окна выбрать «Доверенные корневые центры сертификации», нажать ОК (пункт «Показать только физические хранилища» не должен быть отмечен галкой);
  6. Нажать «Далее», на предупреждение системы об установке ключа неизвестного назначения можно не обращать внимание и просто закрыть данное окно, затем – кликнуть на «Готово».

В том случае, если пользователь попытается провести установку корневого сертификата удостоверяющего центра, срок действия которого уже истек, то при попытке его импорта система выдаст ошибку.

</ol>

После установки корневого ключа настоятельно рекомендуется перезагрузить компьютер. В противном случае – могут возникать ошибки при запуске КриптоПро CSP (довольно частая проблема при использовании Windows XP устаревших редакций, которые официально уже не поддерживаются разработчиком ПО).

Установка в Linux

В современных дистрибутивах Linux установка корневых сертификатов удостоверяющих центров выполняется ничуть не сложнее, нежели в среде Windows. Потребуется файл с расширением .crt, достаточно по нему дважды кликнуть мышкой и выбрать «Установить» (подтвердить выбор необходимо введением пароля пользователя).

При возникновении каких-либо проблем рекомендуется воспользоваться консольной утилитой certmgr. Установка из терминала ключей удостоверяющего центра выполняется по следующей команде: certmgr -inst -store root -file <путь к файлу с расширением .crt>. После ввода данной команды также необходимо указать пароль Root (так как файл интегрируется в корневой раздел диска).

Возможные проблемы и пути их решения

Первое, на что стоит обратить внимание если не устанавливается корневой сертификат удостоверяющего центра – это на лицензию операционной системы. В пиратских версиях Windows функционал, отвечающий за установку и работу с сертификатами, довольно часто полностью обрезан или нарушена целостность хранилищ (из-за некоторых отключенных служб). Поэтому начать следует именно с установки лицензионной версии Windows.

Ошибка с правами

Если при попытке установки корневого сертификата удостоверяющего центра возникает ошибка на недостаточность полномочий пользователя, то это означает, что в систему необходимо войти под логином администратора и выполнить установку в таком режиме. Если речь идет о компьютере, подключенного к локальной сети предприятия, то сертификат импортируется в хранилище сервера.

Windows не может проверить подлинность сертификата

Такая ошибка возникает при использовании устаревшей редакции Windows 7. Необходимо обновить ОС до редакции Service Pack 1 и выполнить импорт сертификата удостоверяющего центра ещё раз.

Также следует упомянуть, что разработчики КриптоПро CSP рекомендуют использовать 64-битные версии операционных систем. Это актуально для Windows 7 и выше. Windows XP последней редакции (Service Pack 3) никогда не выходила в 64-битной вариации, но там с установкой сертификатов никаких подобных проблем не возникает.

Данная ошибка также часто встречается в Windows Vista (кроме редакции Service Pack 2). Решение – обновить операционную систему или установить более актуальную версию. Все это относится не только к пользовательским версиям Windows, но и к серверным.

Ошибка импорта сертификата

Если Windows выдает ошибку при попытке выполнения импорта сертификата во внутреннее хранилище, то это может указывать на:

  • использование несовместимого дистрибутива криптопровайдера (следует использовать КриптоПро CSP версии 3.5 или выше);
  • копия открытого ключа уже установлена в систему (проверить список можно через КриптоПро CSP из панели управления Windows);
  • ошибки в работе с реестром (рекомендуется выполнить восстановление системы или чистку реестра с помощью специального ПО, типа C&CLeaner);
  • срок действия корневого сертификата удостоверяющего центра истек (необходимо импортировать действующий, а не отозванный);
  • файл ключа поврежден (его целостность проверяется с помощью хеширования, на сайтах удостоверяющих центров может указываться хеш-сумма для проверки).

Если все вышеуказанные причины устранены, но ошибка все равно возникает, то следует выполнить переустановку операционной системы с очисткой всего хранилища ранее установленных пользователем сертификатов.

Обновление корневого сертификата удостоверяющего центра

При наступлении нового календарного года необходимо самостоятельно устанавливать обновленные ключи удостоверяющих центров на компьютеры, где используется ЭЦП (операционная система выдаст соответствующее напоминание при запуске).

Выполнить обновление можно двумя методами:

  1. Вручную загрузить и установить необходимый ключ.
  2. С помощью специального ПО, распространяемого удостоверяющими центрами (таковое есть, к примеру, в «Контур»).

Установка нового сертификата ничем не отличается от описанной выше. Удалять старый ключ удостоверяющего центра не обязательно – он все равно будет считаться системой как недействительный, использоваться он не будет.

Также некоторые удостоверяющие центры выпускают специальные программы для автоматической установки всех необходимых корневых сертификатов. Информацию на этот счет можно получить в самом УЦ или на их официальном сайте. Для установки обновленных ключей действующее интернет-подключение не нужно, актуальность файла будет автоматически проверена при первом подключении к сети. Такая проверка проводится всего один раз за весь срок действия корневого сертификата.

Итого, как установить корневой сертификат удостоверяющего центра для КриптоПро? Как и любой другой ключ, потребуется лишь указать в качестве хранилища «Доверенные корневые центры». В противном случае – ключ будет импортирован как персональный, для проверки электронной подписи он использоваться не будет.

Заказать ЭЦППодобрать ЭЦП

Windows, Windows 10, Windows 7, Windows 8, Windows Server, Windows Vista, Windows XP, Безопасность, Программное обеспечение
  • Recluse
  • 11

error-01.jpg

Причина возникновения ошибки

На самом деле, вся суть проблемы более чем корректно описана в тексте ошибки — отсутствуют сертификаты доверенных корневых центров.

Убедиться в этом, можно, открыв проблемный сертификат на компьютере, при использовании которого появляется ошибка. Если в окне сертификата, на вкладке «Общие» написано «При проверке отношений доверия произошла системная ошибка» или «Этот сертификат не удалось проверить, проследив его до доверенного центра сертификации», то проблема точно в этом. О том, как устранить её — читайте ниже.

rundll32_OVQlXI4u8y.jpg

Исправление ошибки

Как писалось выше, вся проблема в отсутствующих корневых сертификатах. Для того, чтобы данная ошибка ушла, нужно поставить эти самые корневые сертификаты — взять их можно у издателя сертификата (почти наверняка, они должны быть на их сайте). Издателя сертификата можно увидеть в поле «Кем выдан» свойств сертификата (выделено оранжевым на картинке ниже).

rundll32_cdmZTKyFup.jpg

В качестве примера разберем как исправить подобную ошибку для сертификатов выданных Федеральным Казначейством России.

Переходим на сайт федерального казначейства, в раздел «Корневые сертификаты». Скачиваем «Сертификат Минкомсвязи России (Головного удостоверяющего центра) ГОСТ Р 34.10-2012» и «Сертификат Удостоверяющего центра Федерального казначейства ГОСТ Р 34.10-2012 CER». Открываем оба скачанных файла и устанавливаем оба сертификата.

Установка сертификата состоит из следующих действий:

  1. Открываем сертификат. В левом нижнем углу нажимаем на кнопку «Установить сертификат«.error-02.jpg
  2. Откроется «Мастер импорта сертификатов«. Нажимаем «Далее«. В следующем окошке выбираем пункт «Поместить все сертификаты в следующее хранилище», и нажимаем кнопку «Обзор».error-03.jpg
  3. В списке выбора хранилища сертификатов выбираем «Доверенные корневые центры сертификации«. Нажимаем кнопку «ОК«, затем кнопку «Далее«.error-04.jpg
  4. В следующем окошке нажимаем на кнопку «Готово«. Затем, в окне предупреждения системы безопасности, на вопрос о том, что вы действительно хотите установить этот сертификат, нажимаем «Да». После этого последует подтверждение установки сертификатов.error-05.jpg

После установки всех нужных корневых сертификатов, данная ошибка должна исчезнуть.

Используемые источники:

  • https://mfoc.ru/information/adding-certificates-in-storage/
  • https://ca.ntssoft.ru/instruktsii/5-raznoe/5-7/
  • https://admstroitel.ru/the-root-certificate-for-windows-7-is-not-installed-managing-trusted-root-certificates.html
  • https://pro-ecp.ru/etsp/instruktsii/instruktsiya-po-ustanovke-kornevogo-sertifikata-udostoveryayushhego-tsentra-uts.html
  • https://sysadmin.ru/articles/oshibka-sozdaniya-podpisi-ne-udaetsya-postroit-cepochku-sertifikatov-dlya-doverennogo-kornevogo-centra-0x800b010a

Рейтинг автора
5
Подборку подготовил
Максим Уваров
Наш эксперт
Написано статей
171
Ссылка на основную публикацию
Похожие публикации