Помощь по Теле2, тарифы, вопросы

Службы сертификации - это компонент базовой ОС, позволяющий ей выполнять функции центра сертификации (certification authority, CA), или ЦС, в том числе выпускать цифровые сертификаты и управлять ими. Windows XP Professional поддерживает многоуровневые иерархии ЦС и сети ЦС с перекрестными доверительными отношениями, а также изолированные и интерактивные ЦС.

Хранилища сертификатов с открытыми ключами

Windows XP Professional хранит сертификаты с открытыми ключами в личном (Personal) хранилище сертификатов. Они хранятся открытым текстом, так как это общедоступная информация. Сертификаты имеют цифровую подпись ЦС для предотвращения изменения.

Сертификаты пользователя расположены в папке Documents and Settings\<имя_пользователя>\ApplicationData\Microsoft\
SystemCertificates\My\Certificates профиля пользователя. Эти сертификаты записываются в локальном реестре при каждом входе в систему компьютера. Для перемещаемых профилей сертификаты обычно хранятся в определенном месте (не на компьютере) и "следуют" за пользователем при его входе в систему любого компьютера в домене.

Хранение закрытых ключей

Поставщики услуг криптографии (cryptographic service provider, CSP) - как Base CSP, так и Enhanced CSP, хранят закрытые ключи в профиле пользователя в папке %SystemRoot%\Documents and Settings\<имя_пользователя>\
Application Data\Microsoft\Crypto\RSA. В перемещаемых профилях пользователей закрытый ключ располагается в папке RSA на контроллере домена и загружается на компьютер только на время его работы.

Поскольку закрытые ключи надо защищать, все файлы в папке RSA автоматически шифруются случайным симметричным ключом - основным ключом пользователя (user"s master key). Ключ длиной в 64 символа создается надежным генератором случайных чисел. На базе основного ключа создаются ключи 3DES, используемые для шифрования закрытых ключей. Основной ключ автоматически генерируется и периодически возобновляется.

При хранении на диске основной ключ защищается по алгоритму Triple DES с применением ключа, созданного на основе вашего пароля. Основной ключ применяется для автоматического шифрования всех файлов в папке RSA по мере их создания.

Автоматический запрос сертификата пользователя

В Windows 2000 имелась функция автоматического запроса сертификата пользователя. Автоматический запрос сертификата компьютера и контроллера домена поддерживается и групповой политикой Microsoft Active Directory. Автоматический запрос сертификата компьютера чрезвычайно полезен для упрощения подключений по IPSec или L2TP/IPSec VPN к серверам с Windows XP со службой Routing и Remote Access и другим серверам.

Эта функция снижает совокупную стоимость владения и упрощает управление жизненным циклом сертификатов для пользователей и администраторов. Автоматический запрос сертификата смарт-карты и ЦС с самоподписанными сертификатами обеспечивают дополнительную защиту пользователям предприятий, где требуется усиленная безопасность.

Запросы в ожидании и обновление сертификатов

Автоматический запрос сертификата пользователя в Windows XP Professional обеспечивает также запросы в ожидании и обновление сертификатов. После запроса сертификата вручную или автоматически на сервере сертификации Windows .NET Server CA ожидается разрешение администратора на выпуск сертификата или завершение процесса верификации. После одобрения и выпуска сертификата механизм автоматического запроса автоматически установит сертификат.

В процессе обновления сертификатов пользователя с истекшим сроком действия также применяется механизм автоматического запроса. Сертификаты автоматически обновляются от имени пользователя, причем процедура определяется параметрами шаблонов сертификатов в Active Directory.

По умолчанию сертификаты и ключи защищены. Для дополнительной защиты вы вправе применить дополнительные меры безопасности, в том числе выполнять экспорт закрытых ключей и хранить их в защищенном месте.

Шаг 1. Загрузите сертификаты КриптоПро CSP

— (обновлен 27 ноября 2017 г.) основной сертификат, необходим для устранения ошибки сертификата безопасности для веб-узла сайт.

cacer.p7b — (обновлен 30 ноября 2016 г.) контейнер сертификатов КриптоПро CSP, необходимых, для функционирования сертификата ssl.сайт.cer.

Шаг 2. Установка основного сертификата ssl.сайт.cer

Запустите файл корневого сертификата ssl.сайт.cer. При запуске может быть открыто окно предупреждения системы безопасности.

Нажмите на кнопку «Открыть». Будет открыто окно, содержащее сведения о текущем сертификате. Нажмите на кнопку «Установить сертификат...»

Откроется окно Мастера импорта сертификатов.

В последующих шагах установки нажимайте на кнопку «Далее», не меняя параметров установки. После завершения установки, на экран будет выведено окно оповещения.

Нажмите на кнопку «ОК», окно будет закрыто. Ещё раз нажмите на кнопку «ОК», чтобы закрыть окно сведений о текущем сертификате.

Шаг 3. Установка контейнера сертификатов КриптоПро CSP cacer.p7b

Откройте меню Пуск (Значок Windows в левом нижнем углу). В строке поиска наберите «mmc.exe» (без кавычек) и нажмите Enter.

Откроется окно консоли управления Microsoft.

В основном меню консоли, выберите Файл — Добавить или удалить оснастку. Будет открыто окно «Добавление и удаление оснасток».

В левом списке выберите пункт Сертификаты и нажмите на кнопку «Добавить». Будет открыто окно «Оснастка диспетчера сертификатов».

Нажмите на кнопку «Готово». Окно «Оснастка диспетчера сертификатов» будет закрыто, Вы вернетесь в окно консоли управления Microsoft.

В левом списке раскройте дерево Сертификаты — текущий пользователь. Выберите пункт «Доверенные корневые центры сертификации». Щелкните правой кнопкой мыши по пункту «Доверенные корневые центры сертификации». В появившемся меню выберите «Все задачи» — «Импорт». Будет открыто окно «Мастер импорта сертификатов».

Нажмите на кнопку «Обзор». Будет открыто стандартное окно выбора файла. В выпадающем списке выбора типа отображаемых файлов выберите Все файлы (*.*).

Выберите файл контейнера сертификатов cacer.p7b и нажмите на кнопку «Открыть». Окно выбора файлов будет закрыто, Вы вернётесь в окно выбора файла для импорта сертификатов.

Шаг 4. Завершение установки

В последующих шагах установки нажимайте на кнопку «Далее» или «Готово», не меняя параметров установки. По завершении настроек, окно «Мастера импорта сертификатов» будет закрыто. На экране появится окно предупреждения системы безопасности.

Нажмите на кнопку «ОК», окно будет закрыто. Всего окон предупреждения, будет 4 (для каждого сертификата)

После завершения установки, на экран будет выведено окно оповещения.

Нажмите на кнопку «ОК», окно будет закрыто. Вы вернётесь в окно консоли управления Microsoft. Нажмите на крестик в правом верхнем углу консоли.

В открывшемся окне нажмите на кнопку «Нет», окно будет закрыто. Поздравляем! Вы установили все требуемые сертификаты.

Пользователям Windows все более тщательное внимание стоит уделать установленным на компьютере сертификатам. Недавние скандалы с сертификатами Lenovo Superfish , Dell eDellRoot и Comodo PrivDog лишний раз свидетельствуют о том, что пользователю нужно быть внимательным не только при установке новых приложений, но и четко понимать, какое ПО и сертификаты предустановлены в системе производителем оборудования. Через установку поддельных или специально сгенерированных сертификатов злоумышленники могут осуществить атаки MiTM (man-in-the-middle), перехватывать трафик (в том числе HTTPS), разрешать запуск вредоносного ПО и скриптов и т.п.

Как правило такие сертификаты устанавливаются в хранилище доверенных корневых сертификатов Windows (Trusted Root Certification Authorities). Разберемся, каким образом можно проверить хранилище сертификатов Windows на наличие сторонних сертификатов.

В общем случае в хранилище сертификатов Trusted Root Certification Authorities должны присутствовать только доверенные сертификаты, проверенные и опубликованные Microsoft в рамках программы Microsoft Trusted Root Certificate Program . Для проверки хранилища сертификатов на наличия сторонних сертификатом можно воспользоваться утилитой Sigcheck (из набора утилит Sysinternals).

1. Скачайте утилиту Sigcheck с сайта Microsoft (https://technet.microsoft.com/ru-ru/sysinternals/bb897441.aspx)
2. Распакуйте архив Sigcheck .zip в произвольный каталог (например, C:\install\sigcheck\)
3. Откройте командную строку и перейдите в каталог с утилитой: cd C:\install\sigcheck\
4. В командной строке выполните команду sigcheck.exe–tv , или sigcheck64.exe –tv (на 64 битных версиях Windows)
5. При первом запуске утилита sigcheck попросит принять условия использования
6. После этого утилита скачает с сайта Microsoft и поместит свой каталог архив authrootstl. cab со .

   Совет . Если на компьютере отсутствует прямое подключение к Интернету, файл authrootstl.cab можно скачать самостоятельно по ссылке http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab и вручную поместить в каталог с утилитой SigCheck

7. Утилита сравнит список сертификатов установленных на компьютере со списком корневых сертификатов MSFT в файле authrootstl.cab. В том случае, если в списке коревых сертификатов компьютера присутствуют сторонние сертификаты, SigCheck выведет их список. В нашем примере на компьютере имеется один сертификат с именем test1 (это самоподписанный сертификат созданный с помощью командлета , который я создавал )
   
   
8. Каждый найденный сторонний сертификат стоит проанализировать на предмет необходимости его присутствуя в списке доверенных. Желательно также понять какая программа установила и использует его.

   Совет . В том случае, если компьютер входит в домен, скорее всего в списке «сторонних» окажутся корневые сертификаты внутреннего центра сертификации CA, и другие сертификаты, интегрированные в образ системы или , которые с точки зрения MSFT могут оказаться недоверенными.

9. Чтобы удалить данный сертификат их списка доверенных, откройте консоль управления сертификатами (msc ) и разверните контейнер Trusted Root Certification Authorities (Доверенные корневые центры сертификации) -> Certificates и удалите сертификаты, найденные утилитой SigCheck.
   
   

Таким образом, проверку хранилища сертификатов с помощью утилиты SigCheck стоит обязательно выполнять на любых системах, особенно на OEM компьютерах с предустановленной ОС и различных сборках Windows, распространяемых через популярные торрент-трекеры.