Как установить сертификат эцп в реестр компьютера


Как установить сертификат в реестр через КриптоПРО

Добрый день! Уважаемые читатели и гости крупного IT блога рунета pyatilistnik.org. Продолжаем нашу с вами тему с сертификатами и работе с ними. В прошлый раз я вам подробно рассказал, как получить тестовый сертификат криптопро, посмотрите очень интересная заметка. Согласитесь, что для тестирования вам может потребоваться не один сертификат, а гораздо больше, и очень удобно иметь возможность работать с ними, без привязки к физическим токенам, например, на виртуальных машинах Vmware. Для таких задач, есть возможность поместить сертификаты КриптоПРО в реестр Windows, чем мы с вами и займемся.

Когда нужно копировать сертификаты КриптоПРО в реестр

Существует ряд задач, когда удобно иметь вашу ЭЦП подпись в реестре Windows:

1. При тестировании настроенного окружения для торговых площадок, для входа на которые используется ЭЦП подпись.
2. Когда у вас виртуальная инфраструктура и нет возможности, произвести проброс USB устройств по локальной сети
3. Ситуации, когда КриптоПРО не видит USB токена
4. Ситуации, когда USB ключей очень много и нужно работать одновременно с 5-ю и более ключами, примером может служить программа по сдачи отчетности СБИС

Как скопировать сертификат в реестр КриптоПРО

CryptoPRo позволяет производить установку с копирование закрытого ключа (сертификата) в реестр Windows.

Хочу вас сразу предупредить, что с точки зрения безопасности, это очень не надежно и ваши закрытые ключи могут быть похищены, если вы не организовываете надлежащий уровень безопасности

И так, у меня есть USB токен SafeNet, на который я выпустил тестовую ЭЦП, ее я буду переносить вместе с закрытым ключом в реестр Windows. Открываем утилиту CryptoPRO с правами администратора.

Переходите на вкладку "Сервис" и нажимаете "скопировать"

У вас откроется окно "Контейнер закрытого ключа", тут вам нужно нажать кнопку "Обзор", что бы выбрать ваш сертификат, который вы хотите скопировать в реестр.

В итоге у вас в поле "Имя ключевого контейнера" отобразиться абракадабровое имя.

Нажимаем далее.

У вас появится окно с вводом пин-кода от вашего USB токена.

Теперь вам необходимо задать имя для копируемого сертификата в реестр Windows, КриптоПРО благо, это позволяет. Я назвал его "Копия сертификата в реестре (Семин Иван)"

Теперь вам необходимо положить сертификаты КриптоПРО в реестр, для этого выбираем соответствующий пункт и нажимаем "Ок".

На следующем шаге вам предложат установить новый пароль на ваш контейнер с закрытым ключом, советую установить его и желательно посложнее.

Установка закрытого ключа в реестр

Теперь когда ваш закрытый ключ находится в реестре, давайте установим личный сертификат. Для этого откройте на вкладке "Сервис" кнопку "Посмотреть сертификат в контейнере"

Далее в окне "онтейнер закрытого ключа" нажмите кнопку "Обзор".

И выберите сертификат из реестра, он будет с тем именем, что вы ему задавали.

Нажимаем далее.

После чего производится установка закрытого ключа в реестр, через соответствующую кнопку.

Видим, что сертификат был установлен в хранилище "Личные" текущего пользователя.Как видите, было очень просто скопировать закрытый ключ в реестр операционной системы.

Где хранится закрытый ключ в реестре Windows

После процедуры добавления сертификата в реестр КриптоПРО, я бы хотел показать, где вы все это дело можете посмотреть. Ранее я вам рассказывал, о том как добавить оснастку сертификаты. Нас будет интересовать раздел "Сертификаты пользователя - Личное".

Либо вы можете зайти в свойства Internet Explorer на вкладку "Содержание'. Потом перейти в пункт "Сертификаты", где у вас будут отображаться все ваши SSL сертификаты, и те, что КриптоПРО скопировал в реестр операционной системы.

Если нужно найти ветку реестра с закрытым ключом, то я вам приводил уже пример в статье, когда я переносил ЭЦП с компьютера на компьютер.

\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\Ваш SID, как его определить читайте по ссылке\Keys\Копия сертификата в реестре (Семин Иван)

Про копирование ЭЦП с закрытыми ключами мы разобрали, теперь ситуация обратная.

Как скопировать эцп из реестра на флешку

Предположим, что у вас стоит задача скопировать контейнер из реестра, так как он уже там, то он экспортируемый, для этого открываем криптопро, "Сервис-Скопировать"

Выбираете "Обзор" и ваш сертификат из реестра.

Задаете ему новое имя, удобное для себя.

После чего вас попросят указать флешку, на которую вы будите копировать контейнер с закрытым ключом из реестра.

Обязательно задайте новый пароль.

Ну и собственно теперь открывайте вашу флешку и лицезрейте перенесенный на него контейнер, он будет состоять из файликов с форматом key.

Как видите КриптоПРО, это конвейер, который позволяет легко скопировать сертификат из реестра на флешку или даже дискету, если они еще используются.

Как установить сертификат в реестр

Добрый день дорогие друзья! Хочу сегодня затронуть важную тему: как установить сертификат в реестр. Сейчас каждый бухгалтер знаком с электронными подписями, работает с ними каждый, кто отправляет отчетность. Процесс установки вроде и не сложный, но многие люди забывают как это делается, с учетом того, что многие устанавливают одну, максимум две подписи в год. Поэтому я решил сделать шпаргалку, эксклюзивно для своих читателей. Приступим!

Как установить сертификат в реестр

Если у Вас не получается самостоятельно решить данную проблему, то Вы можете перейти в раздел ПОМОЩЬ и Вам помогут наши специалисты.

Чтобы успешно установить подпись нам понадобится:

— Компьютер на операционной системе Windows (желательно 7 и выше)

— Крипто-Про (скачать)

— Флеш накопитель

— Сертификат (открытый и закрытый ключ)

Немного теории. Если у Вас нет Крипто-Про, то Вам придется его приобрести, он не сильно дорогой и лицензия покупается один раз, на одно рабочее место. Но, что делать если отчетность нужно сдать завтра, а времени покупать лицензию нет? Ребята из Крипто-Про не жадные и дарят Вам 3 месяца работы с их программой бесплатно! Поэтому можем пока отправить отчет, а потом купить лицензию.

Теперь нам нужно установить Крипто-Про, если Вы не знаете, как это делается, то прочитайте вот тут.

Скажу сразу, мы будем рассматривать способ, когда у Вас есть открытый и закрытый ключ. Причем будем производить установку не с токена, не с Jacarta, а именно с флеш накопителя. Как устанавливается сертификат с токенов и прочих защищенных носителей, расскажу позже, когда у меня на руках окажутся эти носители.

Как установить сертификат в реестр с флеш накопителя

Теперь посмотрим, как выглядит наш сертификат. Он состоит из закрытого ключа и открытого.

Скопируем оба файла на флеш накопитель, обязательно в корень флешки. То есть, прятать открытый и закрытый ключ в папку нельзя, только в корень! Установка обязательно должна производиться с флеш накопителя.

Теперь откроем программу Крипто-Про. Её Вы можете найти в меню «Пуск».

Откроется программа Крипто-Про и переходим в меню «Сервис».

Устанавливаем закрытый ключ в реестр и на флеш накопитель

Теперь нам нужно скопировать закрытый ключ в реестр. Для этого нажимаем на кнопку «Скопировать».

На данном этапе нам нужно выбрать носитель, на котором хранится закрытый ключ. Для этого нажимаем кнопку «Обзор». Чтобы не запутаться с закрытыми ключами, советую вытащить из компьютера все токены, Jacarta, лишние флешки и так далее. Оставьте только ту флешку, на которой у нас закрытый ключ.

Выбираем нашу флешку. В моем случае это диск H. Ну у меня флеш накопитель один, поэтому выбирать не сложно.

Переходим к следующему этапу, тут нам нужно назвать контейнер. Как Вы его назовете не важно. Лучше пишите название организации, чтобы потом не запутаться.

Теперь у нас спрашивают, куда установить закрытый ключ. Это важный этап! Если Вы хотите, чтобы сертификат хранился на компьютере, то выбираете реестр.

Если Вы хотите, чтобы закрытый ключ хранился на флеш носителе, то выбираем флеш накопитель, в моем случае это диск H.

Поясню разницу. Если вы поставите закрытый ключ в реестр, то Вы можете пользоваться сертификатом в любой удобный для Вас момент. Если Вы поставите закрытый ключ на флеш накопитель, то Вам для работы с сертификатом понадобится, чтобы флеш накопитель был вставлен в USB порт. То есть, если Вы не хотите, чтобы данным сертификатом кто-то пользовался без Вас, то ставьте закрытый ключ на флешку, и пока нет флешки, ни кто не сможет использовать сертификат. Если Вам не нужны такие меры защиты, то ставьте в реестр. Работать будет и так и так.

Теперь вводим пароль. Я ни когда не ввожу пароль, чтобы его не забыть. Нет пароля — нечего забывать. Если Вы хотите обезопасить себя, можете ввести пароль. Затем нажимаем «ОК».

Все! Закрытый ключ установили, перейдем к открытому.

Как установить открытый ключ в реестр

Опять нам нужна программа Крипто-Про вкладка «Сервис».

Нажимаем «Установить личный сертификат».

Теперь нам нужно выбрать наш открытый ключ, нажимаем кнопку «Обзор».

Выбираем наш сертификат, который у нас на флеш накопителе. Затем нажимаем «Открыть».

Видим, что сертификат выбран, нажимаем «Далее»

Видим общую информации о сертификате. Нажимаем «Далее».

Теперь нам нужно связать открытый и закрытый ключ. Это делается очень просто. Ставим галочку «Найти контейнер автоматически». Если на предыдущих этапах Вы все сделали правильно, то закрытый ключ подтянется автоматически.

Теперь снова важный этап. Ставим галочку «Установить сертификат (цепочку сертификатов) в контейнер». Это даст нам промежуточные сертификаты, что это рассказывать не буду, но без этой цепочки сертификат работать не будет. Так что галочку обязательно ставьте.

Теперь нажимаем «Готово».

Все! Сертификат в реестр установлен.

Давайте это проверим. Переходим снова в меню «Пуск». Выбираем папку Крипто-Про. В этой папке выбираем раздел «Сертификаты пользователя».

Появится окно с папками. Нас интересует раздел «Личное», затем выбираем «Сертификаты». В правом окне, отобразятся все установленные Вами сертификаты. Тут ищем нужный нам сертификат. Если он тут есть, значит установка прошла успешно!

Если Вам нужна помощь профессионального системного администратора, для решения данного или какого-либо другого вопроса, перейдите в раздел ПОМОЩЬ, и Вам помогут наши сотрудники.

На этом все, теперь Вы знаете, как установить сертификат в реестр.

Если у Вас появятся вопросы задавайте их в комментариях! Всем удачи и добра!

Присоединяйтесь к нам в социальных сетях, чтобы самыми первыми получать все новости с нашего сайта!

КриптоПро CSP: Как установить/скопировать сертификат/контейнер/ключ в реестр?

     1. Вставьте в компьютер носитель с действующим сертификатом.
     2. Откройте меню «Пуск» - «Панель управления» - «КриптоПро CSP». В открывшемся окне откройте вкладку «Сервис», нажмите «Скопировать».

     3. В открывшемся окне нажмите «Обзор…», выберите ключевой контейнер с действующим сертификатом, нажмите «ОК». Нажмите «Далее». 

     4. Введите Pin-код от ключевого контейнера (носителя). Нажмите «ОК»

     5. Введите имя для создаваемого ключевого контейнера. Советуем оставлять имя контейнера, предложенное по умолчанию. Нажмите «Готово».

     6. Выберите носитель для хранения контейнера (по умолчанию выбран «Реестр»). Нажмите «ОК».

     7. Задайте пароль для создаваемого контейнера, нажмите «ОК».

     8. Дождитесь успешного копирования контейнера.

     9. Для того, чтобы пользоваться электронной подписью, записанной в реестр, не вставляя ключевой носитель, необходимо переустановить личный сертификат в хранилище «Личные». Инструкция «КриптоПро CSP: сообщение «Вставьте ключевой носитель» или «Вставлен другой ключевой носитель» - выполите действия, описанные в п.2.

 

Остались вопросы? 

Отдел технической поддержки
 
тел.: 8 (800) 333-91-03, доб. 2400
email: [email protected]

Как установить личный сертификат? — Удостоверяющий центр СКБ Контур

1. Откройте меню Пуск - Панель управления - КриптоПро CSP.

2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Просмотреть сертификаты в контейнере:

3. В следующем окне нажмите кнопку Обзор, чтобы выбрать контейнер для просмотра (в нашем примере контейнер находится на смарт-карте JaCarta):

4. После выбора контейнера нажмите кнопку Ок, затем Далее.

* Если после нажатия на кнопку Далее Вы видите такое сообщение:

«В контейнере закрытого ключа отсутствует открытый ключ шифрования», следует установить сертификат по рекомендациям, описанным в разделе Вариант 2.

5. В окне Сертификат для просмотра нажмите кнопку Установить:

6. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

7. Дождитесь сообщения об успешной установке:

8. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Вариант 2. Установка через меню «Установить личный сертификат».

Для установки сертификата этим способом Вам понадобится файл сертификата (файл с расширением.cer). Он может находиться, например, на съемном носителе или на жёстком диске компьютера (если Вы делали копию сертификата или Вам присылали его по электронной почте).

В случае, если файл сертификата отсутствует, напишите письмо с описанием проблемы в техническую поддержку по адресу [email protected]

1. Откройте меню Пуск - Панель управления - КриптоПро CSP.

2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Установить личный сертификат:

3. В следующем окне нажмите кнопку Обзор, чтобы выбрать файл сертификата:

4. Укажите путь к файлу сертификата и нажмите кнопку Открыть (в нашем примере файл сертификата находится на Рабочем столе):

5. В следующем окне нажмите кнопку Далее; в окне Сертификат для установки нажмите Далее.

6. Поставьте галку в окне Найти контейнер автоматически (в нашем примере контейнер находится на смарт-карте JaCarta) и нажмите Далее:

7. В следующем окне отметьте пункт Установить сертификат (цепочку сертификатов) в контейнер и нажмите Далее:

8. В окне Завершение мастера установки личного сертификата нажмите Готово:


9. Если КриптоПро CSP запрашивает pin-код от контейнера, введите нужный код или попробуйте стандартные pin-коды носителей:

10. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

11. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Как установить сертификат подписи через КриптоПро CSP

Часто к нам обращаются с вопросом, как установить сертификат через КриптоПpo CSP. Ситуации бывают разные: сменился директор или главбух, получили новый сертификат в удостоверяющем центре и т.п. Раньше все работало, а теперь нет. Рассказываем, что нужно делать, чтобы установить личный цифровой сертификат на компьютер.

Вы можете установить личный сертификат двумя способами:

1. Через меню КриптоПро CSP «Просмотреть сертификаты в контейнере»

2. Через меню КриптоПро CSP «Установить личный сертификат»

Если на рабочем месте используется операционная система Windows 7 без SP1, то устанавливать сертификат следует по рекомендациям варианта № 2.

Вариант № 1. Устанавливаем через меню «Просмотреть сертификаты в контейнере»

Чтобы установить сертификат:

1. Выберите Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажмите кнопку “Просмотреть сертификаты в контейнере”.


2. В открывшемся окне нажмите на кнопку “Обзор”. Выберите контейнер и подтвердите свой выбор кнопкой ОК.


3. В следующем окне нажмите “Далее”.

Если появится сообщение “В контейнере закрытого ключа отсутствует открытый ключ шифрования”, перейдите к установке цифрового сертификата по варианту № 2.

4. Если на вашем компьютере установлена версия “КриптоПро CSP” 3.6 R2 (версия продукта 3.6.6497) или выше, то в открывшемся окне нажмите на кнопку “Установить”. После этого согласитесь с предложением заменить сертификат.

Если кнопка “Установить” отсутствует, в окне “Сертификат для просмотра” нажмите кнопку “Свойства”.


5. В окне “Сертификат” - > вкладка “Общие” нажмите на кнопку “Установить сертификат”.


6. В окне “Мастер импорта сертификатов” выберите “Далее”.

7. Если у вас уставлена версия “КриптоПро CSP” 3.6, то в следующем окне достаточно оставить переключатель на пункте “Автоматически выбрать хранилище на основе типа сертификата” и нажать “Далее”. Сертификат будет автоматически установлен в хранилище “Личные”.


8. В следующем окне нажмите “Далее”, затем “Готово” и дождитесь сообщения об успешной установке сертификата: “Импорт успешно выполнен”.


Вариант 2. Устанавливаем через меню «Установить личный сертификат»

Для установки вам понадобится, собственно, сам файл сертификата (с расширением .cer). Он может находиться, например, на дискете, на токене или на жестком диске компьютера.

Чтобы установить сертификат:

1. Выберите Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажмите кнопку “Установить личный сертификат”.


2. В окне “Мастер установки личного сертификата” нажмите на кнопку “Далее”. В следующем окне, чтобы выбрать файл сертификата, нажмите “Обзор”.


3. Укажите путь к сертификату и нажмите на кнопку “Открыть”, затем “Далее”.


4. В следующем окне вы можете просмотреть информацию о сертификате. Нажмите “Далее”.


5. На следующем шаге введите или укажите контейнер закрытого ключа, который соответствует выбранному сертификату. Для этого воспользуйтесь кнопкой “Обзор”.


6.  Выбрав контейнер, нажмите “Далее”.


7. Дальше вам необходимо выбрать хранилище, куда будет установлен сертификат. Для этого в окне “Выбор хранилища сертификатов” нажмите на кнопку “Обзор”.

Если у вас установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, поставьте флаг “Установить сертификат в контейнер”.


8. Выберите хранилище “Личные” и нажмите ОК.


9. Хранилище вы выбрали. Теперь нажмите “Далее”, затем - “Готово”. После этого может появиться сообщение:


В этом случае нажмите “Да”.

10.  Дождитесь сообщения об успешной установке личного сертификата на компьютер.

Все, можно подписывать документы, используя новый сертификат.

Как установить ключи ЭЦП в реестр (КриптоПро) - Полезные статьи - Каталог статей

При работе с носителями ключей ЭЦП, как в виде RuToken так и в виде обычных флеш-накопителей, часто могут возникать ситуации, когда есть необходимость скопировать ключ в реестр КриптоПро, как например в случае, если на одном рабочем месте используется слишком большое количество электронных цифровых подписей. В целом вся процедура сводится к тому, что вы подключаете носитель "Реестр" в CryptoPro и копируете туда Ваш контейнер для дальнейшей работы без участия переносного носителя. Давайте подробнее рассмотрим все необходимые действия.

Во-первых необходимо установить нужный нам считыватель, для этого открываем КриптоПро через меню "Пуск" - "Панель управления":


Жмем "Настроить считыватели" и если в появившемся окне управления считывателями Вы не видите поле "Реестр", нажимаем "Добавить". В ином случае можно пропустить данный пункт и переходить к процедуре копирования контейнера:


В мастере установки считывателей выбираем предложенный вариант "Реестр" и нажимаем "Далее":


Задаем имя считывателя, где пишем "реестр" чтобы не запутаться, жмем "далее" и видим, что носитель добавлен. Нажимаем "ОК":


Теперь нам необходимо скопировать ключ ЭЦП, для этого открываем вкладку "Сервис" в КриптоПро и жмем "Скопировать ...". Убеждаемся, что Ваш носитель подключен к компьютеру и выбираем его в окне выбора ключевого контейнера через кнопку "Обзор". В нашем случае это дисковод G:


Жмем "ОК", "Далее", вводим пароль для контейнера, задаем имя ключевого контейнера для носителя и жмем "Готово". Теперь КриптоПро предложит выбрать носитель куда необходимо сохранить контейнер закрытого ключа:


Выбираем Реестр в левом списке, жмем "ОК" и задаем новый пароль для вновь скопированного контейнера:


Контейнер скопирован, осталось установить личный сертификат и можно приступать к работе. Для этого во вкладке "Сервис" выбираем "Установить личный сертификат", кнопкой "Обзор" выбираем открытый сертификат скопированного закрытого ключа, жмем "Далее" - "Далее" - указываем контейнер "реестр" как ключевой, жмем "ОК", вводим пароль который указали выше при копировании контейнера, в имени хранилища сертификатов кнопкой "Обзор" выбираем папку "Личные" - "ОК" - "Далее" - "Готово". Теперь Вы можете подписывать с помощью ЭЦП без использования физического носителя.

Локальный компьютер и хранилища сертификатов текущего пользователя - драйверы Windows

  • 2 минуты на чтение

В этой статье

Каждое из хранилищ сертификатов системы имеет следующие типы:

  • Хранилище сертификатов локального компьютера

    Этот тип хранилища сертификатов является локальным для компьютера и глобальным для всех пользователей компьютера.Это хранилище сертификатов находится в реестре под корнем HKEY_LOCAL_MACHINE.

  • Хранилище сертификатов текущего пользователя

    Хранилище сертификатов этого типа является локальным для учетной записи пользователя на компьютере. Это хранилище сертификатов находится в реестре под корнем HKEY_CURRENT_USER.

Информацию о конкретных местоположениях в реестре магазинов сертификатов см. В разделе «Расположение системных магазинов».

Имейте в виду, что все хранилища сертификатов текущего пользователя , кроме хранилища текущего пользователя / личного, наследуют содержимое хранилищ сертификатов локального компьютера.Например, если сертификат добавлен в хранилище сертификатов доверенных корневых центров сертификации локального компьютера, все хранилища сертификатов доверенных корневых центров сертификации текущего пользователя (с указанным выше предупреждением) также содержат этот сертификат.

Примечание

Для проверки подписи драйвера во время установки Plug and Play (PnP) требуется, чтобы корневой сертификат и сертификаты Authenticode, включая тестовые сертификаты, находились в хранилище сертификатов локального компьютера.

Для получения дополнительной информации о том, как добавлять или удалять сертификаты из системных хранилищ сертификатов, см. CertMgr .

.

Установите центр сертификации | Документы Microsoft

  • 3 минуты на чтение

В этой статье

Применимо к: Windows Server (полугодовой канал), Windows Server 2016

Эту процедуру можно использовать для установки служб сертификации Active Directory (AD CS), чтобы можно было зарегистрировать сертификат сервера на серверах, на которых работает сервер политики сети (NPS), служба маршрутизации и удаленного доступа (RRAS) или и то, и другое.

Важно

  • Перед установкой служб сертификации Active Directory необходимо дать компьютеру имя, настроить компьютер со статическим IP-адресом и присоединить компьютер к домену. Дополнительные сведения о том, как выполнить эти задачи, см. В Руководстве по основной сети Windows Server 2016.
  • Для выполнения этой процедуры компьютер, на котором вы устанавливаете AD CS, должен быть присоединен к домену, где установлены доменные службы Active Directory (AD DS).

Членство как в группе Enterprise Admins , так и в группе Domain Admins корневого домена является минимумом, необходимым для выполнения этой процедуры.

Примечание

Чтобы выполнить эту процедуру с помощью Windows PowerShell, откройте Windows PowerShell и введите следующую команду, а затем нажмите клавишу ВВОД.

Добавить WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

После установки AD CS введите следующую команду и нажмите ENTER.

Install-AdcsCertificationAuthority -CAType EnterpriseRootCA

Для установки служб сертификации Active Directory

  1. Войдите в систему как член группы администраторов предприятия и группы администраторов домена корневого домена.

  2. В диспетчере сервера щелкните Управление , а затем щелкните Добавить роли и компоненты . Откроется мастер добавления ролей и компонентов.

  3. В Перед началом работы щелкните Далее .

    Примечание

    Страница Перед началом работы мастера добавления ролей и компонентов не отображается, если вы ранее выбрали Пропустить эту страницу по умолчанию при запуске мастера добавления ролей и компонентов.

  4. В Выберите тип установки , убедитесь, что выбрана установка на основе ролей или функций , а затем щелкните Далее .

  5. В Выбрать целевой сервер убедитесь, что выбран Выбрать сервер из пула серверов . В Server Pool убедитесь, что выбран локальный компьютер. Щелкните Далее .

  6. В выберите роли сервера , в Роли выберите Службы сертификации Active Directory .Когда вам будет предложено добавить необходимые функции, нажмите Добавить компоненты , а затем нажмите Далее .

  7. В Выберите элементы , щелкните Далее .

  8. В Службы сертификации Active Directory прочтите предоставленную информацию и нажмите Далее .

  9. В Подтвердите выбор установки , щелкните Установить . Не закрывайте мастер в процессе установки.После завершения установки щелкните Настроить службы сертификации Active Directory на целевом сервере . Откроется мастер настройки AD CS. Прочтите информацию об учетных данных и, при необходимости, предоставьте учетные данные для учетной записи, которая является членом группы администраторов предприятия. Щелкните Далее .

  10. В Role Services щелкните Центр сертификации , а затем щелкните Далее .

  11. На странице Тип установки убедитесь, что выбран Enterprise CA , а затем нажмите Далее .

  12. На Укажите тип страницы CA , убедитесь, что выбран Root CA , а затем нажмите Next .

  13. На странице Укажите тип закрытого ключа убедитесь, что выбран Создать новый закрытый ключ , а затем нажмите Далее .

  14. На странице «Криптография для CA » сохраните настройки по умолчанию для CSP ( RSA # Microsoft Software Key Storage Provider ) и алгоритма хеширования ( SHA2 ) и определите наилучшую длину символа ключа для вашего развертывания.Большая длина ключевого символа обеспечивает оптимальную безопасность; однако они могут повлиять на производительность сервера и могут быть несовместимы с устаревшими приложениями. Рекомендуется оставить значение по умолчанию 2048. Щелкните Далее .

  15. На странице CA Name сохраните предложенное общее имя для CA или измените имя в соответствии с вашими требованиями. Убедитесь, что вы уверены, что имя CA совместимо с вашими соглашениями об именах и целями, потому что вы не можете изменить имя CA после установки AD CS.Щелкните Далее .

  16. На странице Срок действия в поле Укажите период действия , введите число и выберите значение времени (Годы, Месяцы, Недели или Дни). Рекомендуется установка по умолчанию - пять лет. Щелкните Далее .

  17. На странице База данных ЦС в Укажите расположение базы данных , укажите расположение папки для базы данных сертификатов и журнала базы данных сертификатов.Если вы укажете расположение, отличное от расположения по умолчанию, убедитесь, что папки защищены списками управления доступом (ACL), которые предотвращают доступ неавторизованных пользователей или компьютеров к базе данных ЦС и файлам журнала. Щелкните Далее .

  18. В Подтверждение щелкните Настроить , чтобы применить выбранные параметры, а затем щелкните Закрыть .

.

Установка сертификатов безопасности | Документы Microsoft

  • 6 минут на чтение

В этой статье

Применимо к : Lync Server 2013 | Skype для бизнеса 2015 | Skype для бизнеса 2019

Чтобы обеспечить безопасную передачу сообщений и проверку подлинности клиента, компоненты интерфейса SDN Skype для бизнеса поддерживают безопасность взаимного транспортного уровня (TLS).Но чтобы это сработало, вы должны запросить сертификаты в соответствующем центре сертификации. Эти сертификаты необходимы для SDN Manager, Dialog Listener и для подписчиков. Вам также может потребоваться установить корневой сертификат центра сертификации (ЦС), если он не является доверенным.

Вам необходимо будет использовать сертификат клиента на каждом сервере переднего плана в прослушивателе диалоговых окон и сертификат сервера на каждом диспетчере SDN для полного доменного имени пула диспетчера SDN.Кроме того, вы должны установить сертификат сервера на подписчиках, а также соответствующий сертификат клиента на хост-компьютерах SDN Manager, чтобы вы могли аутентифицировать его для подписчиков. Наконец, необходимо убедиться, что конфигурация Windows Communication Foundation (WCF) диспетчера SDN проверяет сертификаты клиентов, установленные в прослушивателях диалоговых окон. Чтобы установить сертификаты, вы будете следовать этому общему подходу:

  1. Запросить сертификат у сервера сертификатов правильного типа

  2. Установите сертификат сервера на сервере для каждого SDN Manager и подписчика.

  3. Установите клиентские сертификаты на всех клиентах, которые являются слушателями диалогов, чтобы они могли разговаривать с SDN Manager, а также на всех экземплярах SDN Manager, чтобы они могли общаться с подписчиками, выступающими в качестве сервера (если этот подписчик требует аутентификации через сертификат клиента).

  4. Установите доверенный корневой сертификат на компьютеры, где центр сертификации сообщает, что он недоверенный. Инструкции см. В разделе Установка доверенного корневого сертификата.

Примечание

Вы можете проверить, что SSL и проверка подлинности клиента работают независимо от интерфейса SDN Skype для бизнеса, с помощью универсального средства тестирования, такого как wfetch.Exe.

Подробные инструкции по установке конкретных сертификатов можно найти в следующих процедурах. В каждом из них предположим, что используется центр сертификации Microsoft. Подробное объяснение и инструкции по созданию запроса на сертификат для служб сертификации Microsoft см. В разделе Управление службами сертификации и SSL.

Запрос и установка сертификата

В следующем примере показано, как запросить сертификат у сервера сертификатов Windows, и ваши политики безопасности и доступные шаблоны в вашей службе сертификатов могут отличаться.

  1. В веб-браузере перейдите на сервер сертификации (например, http: // / certsrv ). Это должен быть тот же центр сертификации, который используется для создания сертификатов для клиента.

  2. Выберите ссылку Запросить сертификат .

  3. Выберите ссылку Расширенный запрос сертификата .

  4. Выберите Create и отправьте запрос по этой ссылке CA .

  5. В раскрывающемся списке Certificate Template выберите опцию Exportable Server Cert для сертификата сервера или соответствующий шаблон для сертификата клиента.

  6. При создании сертификата сервера укажите полное доменное имя в качестве сертификата Имя , а также его понятное имя . Другие поля могут оставаться пустыми или сохранять значения по умолчанию.

  7. Выберите Отправить .

  8. Выберите ссылку «Установить этот сертификат». Сертификат будет установлен в папку Certificates-Current User \ Personal \ Certificates .

  9. Запустите MMC и добавьте оснастки сертификатов, показанные на шаге 8 раздела Установка доверенного корневого сертификата в Приложении.

  10. Переместите сертификат из папки Certificates-Current User \ Personal \ Certificates в папку Certificates Local computer \ Personal \ Certificates .

  11. Убедитесь, что процессы имеют доступ ко всему сертификату, включая его закрытый ключ. Это может потребовать добавления сетевой службы (или других учетных данных, которые запускают службу) к сертификату, как показано на рисунках 1 и 2.

Рисунок 1. Добавление услуги в сертификат, часть 1

Рисунок 2. Добавление услуги в сертификат, часть 2

Установка сертификатов для использования с SDN Manager

Необходимо установить сертификаты в SDN Manager, чтобы выполнять следующие действия:

  • Аутентификация и защита связи между, возможно, несколькими прослушивателями диалогов и диспетчером SDN.(Относится к сертификатам сервера.)

  • Аутентификация и защита связи от SDN Manager с возможно несколькими абонентами (например, сетевыми контроллерами, системами управления сетью, инструментами ITPro и т. Д.). (Относится к клиентским сертификатам.)

Каждый сертификат сервера должен содержать полное доменное имя принимающей системы. Вы не можете использовать IP-адрес, имя хоста или локальные адреса (* .local). Сертификат должен быть установлен в хранилище локального компьютера.Если для системы подписчика требуется проверка подлинности клиента, сертификат клиента в SDN Manager может содержать полное доменное имя компьютера, на котором размещен SDN Manager, в зависимости от того, как сторонняя система подписчика проверяет подлинность клиента. Сертификаты должны быть подписаны центром сертификации, которому доверяют все вовлеченные стороны. Если центр сертификации не является доверенным, корневой сертификат центра сертификации должен быть установлен на всех задействованных компьютерах.

Вы должны следовать стандартному механизму проверки сертификатов WCF, чтобы настроить параметры для проверки сертификатов клиентов.

Примечание

Убедитесь, что при использовании пула менеджеров SDN сертификат содержит полное доменное имя пула (например, «sdnpool.contoso.com»). Это имя должно иметь хотя бы один разделитель точки (".").

Назначение сертификата сервера порту

Чтобы активировать и назначить сертификат сервера порту, который используется для приема SSL-трафика в SDN Manager, вам необходимо выполнить следующую команду:

  netsh http добавить sslcert ipport = 0.0.0.0: 9332 certhash =  appid = {12345678-1234-ABCD-ABCD-1234567890AB} clientcertnegotiation = <включить или отключить> verifyclientcertrevocation = <включить или отключить>  

Замените отпечатком сертификата сервера, связанного с полным доменным именем пула SDN Manager. Вам также, вероятно, потребуется установить verifyclientcertrevocation = disabled , если вы используете самозаверяющие сертификаты, и clientcertnegotiation , в зависимости от того, используете ли вы клиентские сертификаты в прослушивателе диалогов.

Предоставление клиентского сертификата

При инициализации подписчиков вы можете указать отпечаток сертификата клиента в параметрах конфигурации для указанного подписчика.

Примечание

Данная процедура необходима только в том случае, если абоненту требуется аутентификация клиента. В этом случае подписчик должен быть настроен на проверку и принятие сертификата клиента. При создании сертификата клиента необходимо настроить параметры и поля в соответствии с политикой проверки сертификата системы подписчика.

Чтобы установить сертификат клиента, выполните действия, перечисленные в процедуре запроса и установки сертификата ранее в этой статье. Отпечаток клиентского сертификата должен быть указан в свойстве clientcertificateid конфигурации подписчика.

Вы можете получить отпечаток в диалоговом окне Сертификат , как показано на рисунке 1.

Рисунок 3. Диалоговое окно сертификата

Аутентификация подключений прослушивателя диалоговых окон с использованием клиентских сертификатов

Для того, чтобы SDN Manager мог авторизовать клиентские сертификаты из Dialog Listener, необходимо настроить логику проверки сертификата клиента в SDNManager.exe.config, как указано в Windows Communication Framework (WCF).

По умолчанию SDN Manager использует простой настраиваемый валидатор для клиентских сертификатов, которые он получает от Dialog Listener. Текущий файл SDNManager.exe.config содержит конфигурацию для этого настраиваемого средства проверки сертификата клиента с функцией приема и регистрации. Затем WCF гарантирует, что сертификат согласован и действителен до вызова валидатора. Этот валидатор ( AcceptAndLogValidator ) регистрирует информацию из сертификата и всегда принимает ее.

Для повышения безопасности необходимо настроить другой валидатор для клиентских сертификатов, используя стандартные механизмы конфигурации WCF. В следующем примере показана конфигурация WCF для AcceptAndLogValidator :

.
            

Аутентификация сертификата сервера на DL

Для повышения безопасности вы можете активировать проверку списка отзыва сертификатов сервера. Для WCF это можно настроить, добавив следующие параметры файла конфигурации в файл DialogListener.exe.config:

  <конфигурация>  <настройки>      

Установка сертификатов для Dialog Listener

Необходимо установить сертификат на прослушивателе диалоговых окон для аутентификации и защиты связи между прослушивателем диалоговых окон и диспетчером SDN. Это касается сертификата клиента. Чтобы установить сертификат клиента, выполните действия, перечисленные в разделе «Запрос и установка сертификата» ранее в этой статье.

После установки сертификата необходимо настроить прослушиватель диалогов для использования сертификата клиента. Вам понадобится отпечаток пальца, как описано в разделе «Подготовка сертификата клиента» ранее в этой статье. Для прослушивателя диалоговых окон отпечаток должен быть предоставлен во время установки или после него путем редактирования поля configurationcertificate в файле DialogListener.exe.config и поля clientcertificateid в настройках Listener.

См. Также

.

Как получить бесплатно сертификат edX?

25+ бесплатных сертификатов Coursera (до 31 января)

Посмотреть Закрыть Класс Центральный Курсы
Субъектов
  • Компьютерная наука

  • Здоровье и медицина

  • Математика

  • Бизнес

  • Гуманитарные науки

  • Инженерное дело

  • Наука

  • Образование и обучение

  • Социальные науки

  • Арт Дизайн

  • Data Science

  • Программирование

  • Личное развитие

  • Все предметы
Просмотреть все предметы
Ежемесячные отчеты о курсе
  • Начиная с этого месяца
  • Новые онлайн-курсы
  • Самостоятельный темп
  • Самый популярный
Курсы от 900+ университетов

Меню

  • Компьютерная наука

    Компьютерная наука

    • Искусственный интеллект
    • Алгоритмы и структуры данных
    • Интернет вещей
    • Информационные технологии
    • Кибербезопасность
    • Компьютерная сеть
    • Машинное обучение
    • DevOps
    • Глубокое обучение
    • Блокчейн и криптовалюта
    • Квантовые вычисления
    • Посмотреть все компьютерные науки
  • Здоровье и медицина

    Здоровье и медицина

    • Питание и благополучие
    • Болезни и расстройства
    • Здравоохранение
    • Здравоохранение
    • Уход
    • Анатомия
    • Ветеринария
    • Посмотреть все Здоровье и медицина
  • Математика

    Математика

    • Статистика и вероятность
    • Основы математики
    • Исчисление
    • Алгебра и геометрия
    • Посмотреть всю математику
  • Бизнес

    Бизнес

    • Менеджмент и лидерство
    • Финансы
    • Предпринимательство
    • Развитие бизнеса
    • Маркетинг
    • Стратегический менеджмент
    • Специфическая отрасль
    • Бизнес-аналитика
    • Бухгалтерский учет
    • Отдел кадров
    • Управление проектом
    • Продажи
    • Дизайн-мышление
    • Реклама
    • Программное обеспечение для бизнеса
    • Посмотреть все Бизнес
  • Гуманитарные науки

    Гуманитарные науки

    • История
    • Литература
    • Иностранный язык
    • Грамматика и письмо
    • Философия
    • Религия
    • ESL
    • Культура
    • Спортивный
    • Журналистика
    • Этика
    • Лингвистика
    • Еда
    • Просмотреть все гуманитарные науки
  • Инженерное дело

    Инженерное дело

    • Электротехника
    • Инженерное дело
    • Гражданское строительство
    • Робототехника
    • Нанотехнологии
    • ГИС
    • Текстиль
    • Производство
    • BIM
    • CAD
    • Химическая инженерия
    • Посмотреть все разработки
  • Наука

    Наука

    • Химия
    • Физика
    • Наука об окружающей среде
    • Астрономия
    • Биология
    • Квантовая механика
    • сельское хозяйство
    • Термодинамика
    • Материаловедение
    • Просмотреть все науки
  • Образование и обучение

    Образование и обучение

    • K12
    • Высшее образование
    • STEM
    • Профессиональное развитие учителей
    • Развитие курса
    • Онлайн-образование
    • Подготовка к тесту
    • Просмотреть все Образование и обучение
  • Социальные науки

    Социальные науки

    • Социология
    • Экономика
    • Психология
    • Антропология
    • Политическая наука
    • Закон
    • Городское планирование
    • Права человека
    • Устойчивость
    • Публичная политика
.

Как включить шифрование SSL для экземпляра SQL Server с помощью консоли управления Microsoft

Сводка

В этой статье с пошаговыми инструкциями описывается установка сертификата на компьютер, на котором выполняется Microsoft SQL Server, с помощью консоли управления Microsoft (MMC), а также описывается, как включить шифрование SSL на сервере или для определенных клиентов.

Примечание. Этот метод нельзя использовать для размещения сертификата на кластерном сервере SQL Server.Для кластерного экземпляра см. Метод, описанный в разделе «Включение сертификата для SSL в кластерной установке SQL Server» далее в этой статье.

Если ваша компания внедрила центр сертификации предприятия, вы можете запросить сертификаты для автономного сервера SQL Server, а затем использовать сертификат для шифрования Secure Sockets Layer (SSL).

Вы можете включить параметр Принудительное шифрование протокола на сервере или на клиенте.

Примечание. Чтобы включить принудительное шифрование протокола на сервере, используйте служебную программу Server Network или диспетчер конфигурации SQL Server, в зависимости от версии SQL Server.Чтобы включить принудительное шифрование протокола на клиенте, используйте клиентскую сетевую утилиту или диспетчер конфигурации SQL Server.

Важно! Если вы включаете шифрование SSL с помощью клиентской сетевой утилиты (для клиентов SQL Server 2000) или собственного клиента SQL <версия> Configuration (32-разрядная версия) или собственного клиента SQL <версия> Страницы конфигурации в конфигурации SQL Server Manager, все подключения от этого клиента будут запрашивать шифрование SSL на любом сервере SQL, к которому этот клиент подключается.

Если вы включили принудительное шифрование протокола на сервере, вы должны установить сертификат на сервере.

Если вы хотите включить принудительное шифрование протокола на клиенте, у вас должен быть сертификат на сервере, а у клиента должен быть обновлен доверенный корневой центр, чтобы доверять сертификату сервера.

Примечание. Если вы используете SQL Server для включения зашифрованных соединений для экземпляра SQL Server, вы можете установить для параметра ForceEncryption значение Yes. Дополнительные сведения см. В разделе «Включение шифрования подключений к ядру СУБД (диспетчер конфигурации SQL Server)» в электронной документации по SQL Server:

http: // msdn.microsoft.com/en-us/library/ms191192(v=sql.110).aspx#ConfigureServerConnections

Установить сертификат на сервере с Microsoft Management Console (MMC)

Чтобы использовать шифрование SSL, необходимо установить сертификат на сервере. Выполните следующие действия, чтобы установить сертификат с помощью оснастки Microsoft Management Console (MMC).

Как настроить оснастку MMC

  1. Чтобы открыть оснастку «Сертификаты», выполните следующие действия:

    1. Чтобы открыть консоль MMC, щелкните Пуск, а затем щелкните Выполнить.В диалоговом окне «Выполнить» введите:

      MMC

      .
    2. В меню консоли щелкните Добавить / удалить оснастку ....

    3. Нажмите «Добавить», а затем «Сертификаты». Снова нажмите "Добавить".

    4. Вам будет предложено открыть оснастку для текущей учетной записи пользователя, учетной записи службы или учетной записи компьютера.Выберите учетную запись компьютера.

    5. Выберите "Локальный компьютер" и нажмите "Готово".

    6. Нажмите «Закрыть» в диалоговом окне «Добавить автономную оснастку».

    7. Щелкните OK в диалоговом окне «Добавить / удалить оснастку». Установленные вами сертификаты находятся в папке Certificates в контейнере Personal.

  2. Используйте оснастку MMC для установки сертификата на сервере:

    1. Щелкните, чтобы выбрать личную папку на левой панели.

    2. Щелкните правой кнопкой мыши на правой панели, выберите «Все задачи» и нажмите «Запросить новый сертификат»....

    3. Откроется диалоговое окно мастера запроса сертификата. Нажмите "Далее. Выберите тип сертификата «компьютер».

    4. В текстовом поле Понятное имя вы можете ввести понятное имя для сертификата или оставить текстовое поле пустым, а затем завершить работу мастера. После завершения работы мастера вы увидите сертификат в папке с полным доменным именем компьютера.

    5. Если вы хотите включить шифрование для определенного клиента или клиентов, пропустите этот шаг и перейдите к разделу «Включить шифрование для определенного клиента» данной статьи.

      Для SQL Server 2000, чтобы включить шифрование на сервере, откройте служебную программу Server Network на сервере, на котором установлен сертификат, а затем установите флажок Принудительное шифрование протокола . Перезапустите службу MSSQLServer (SQL Server), чтобы шифрование вступило в силу.Теперь ваш сервер готов к использованию SSL-шифрования.

      Для SQL Server 2005 и более поздних версий, чтобы включить шифрование на сервере, откройте диспетчер конфигурации SQL Server и выполните следующие действия:

      1. В диспетчере конфигурации SQL Server разверните сетевую конфигурацию SQL Server, щелкните правой кнопкой мыши Протоколы для <экземпляр сервера> , а затем выберите Свойства.

      2. На вкладке «Сертификат» выберите нужный сертификат в раскрывающемся меню «Сертификат» и нажмите кнопку «ОК».

      3. На вкладке «Флаги» выберите «Да» в поле «ForceEncryption», а затем нажмите «ОК», чтобы закрыть диалоговое окно.

      4. Перезапустите службу SQL Server.

Включить сертификат для SSL в кластерной установке SQL Server

Сертификат, используемый SQL Server для шифрования подключений, указан в следующем разделе реестра:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Microsoft SQL Server \ MSSQL.x \ MSSQLServer \ SuperSocketNetLib \ Certificate

Этот ключ содержит свойство сертификата, известное как отпечаток, который идентифицирует каждый сертификат на сервере. В кластерной среде для этого ключа будет установлено значение Null, даже если в хранилище существует правильный сертификат. Чтобы решить эту проблему, необходимо выполнить следующие дополнительные действия на каждом из узлов кластера после установки сертификата на каждый узел):

  1. Перейдите в хранилище сертификатов, где хранится сертификат FQDN.На странице свойств сертификата перейдите на вкладку «Подробности» и скопируйте значение отпечатка сертификата в окно «Блокнот».

  2. Удалите пробелы между шестнадцатеричными символами в значении отпечатка пальца в Блокноте.

  3. Запустите regedit, перейдите к следующему разделу реестра и скопируйте значение из шага 2:

    HKLM \ SOFTWARE \ Microsoft \ Microsoft SQL Server \ <экземпляр> \ MSSQLServer \ SuperSocketNetLib \ Certificate

  4. Если виртуальный сервер SQL в настоящее время находится на этом узле, переключитесь на другой узел в вашем кластере, а затем перезагрузите узел, на котором произошло изменение реестра.

  5. Повторите эту процедуру на всех узлах.


Скриншоты этой процедуры см. В следующем сообщении блога на MSDN:

http://blogs.msdn.com/b/jorgepc/archive/2008/02/19/enables-certificates-for-ssl-connection-on-sql-server-2005-clustered-installation.aspx

Включить шифрование для определенного клиента

Чтобы клиент мог запросить шифрование SSL, клиентский компьютер должен доверять сертификату сервера, а сертификат уже должен существовать на сервере.Вы должны использовать оснастку MMC для экспорта доверенного корневого центра сертификации, используемого сертификатом сервера:

  1. Чтобы экспортировать доверенный корневой центр сертификации (CA) сертификата сервера, выполните следующие действия:

    1. Откройте MMC и найдите свой сертификат в папке Personal.

    2. Щелкните имя сертификата правой кнопкой мыши и выберите команду Открыть.

    3. Просмотрите вкладку «Путь сертификации». Обратите внимание на самый верхний элемент.

    4. Перейдите в папку Trusted Root Certification Authorities, а затем найдите центр сертификации, указанный на шаге c ..

    5. Щелкните правой кнопкой мыши CA, выберите "Все задачи" и нажмите "Экспорт".

    6. Выберите все значения по умолчанию, а затем сохраните экспортированный файл на свой диск, где клиентский компьютер может получить доступ к файлу.

  2. Выполните следующие действия, чтобы импортировать сертификат на клиентский компьютер:

    1. Перейдите на клиентский компьютер с помощью оснастки MMC, а затем перейдите к папке Trusted Root Certification Authorities.

    2. Щелкните правой кнопкой мыши папку "Доверенные корневые центры сертификации", выберите "Все задачи" и нажмите "Импорт".

    3. Найдите и выберите сертификат (файл .cer), созданный на шаге 1. Выберите значения по умолчанию, чтобы завершить оставшуюся часть мастера.

    4. Используйте клиентскую сетевую программу SQL Server.

    5. Щелкните, чтобы выбрать параметр «Принудительное шифрование протокола». Теперь ваш клиент готов использовать шифрование SSL.

Как проверить клиентское соединение

Чтобы проверить клиентское соединение, вы можете:

SQL Server Management Studio

Для тестирования с помощью SQL Server Management Studio выполните следующие действия:

  1. Перейдите на страницу конфигурации клиента SQL Server <версия> в диспетчере конфигурации SQL Server.

  2. В окнах свойств установите для параметра Принудительное шифрование протокола значение «Да».

  3. Подключитесь к серверу, на котором работает SQL Server, с помощью SQL Server Management Studio.

  4. Контролируйте обмен данными с помощью Microsoft Network Monitor или сетевого анализатора.


Примеры строк подключения приложения ODBC или OLEDB

Если вы используете строки подключения ODBC или OLEDB от поставщика, например SQL Native Client, добавьте ключевое слово Encrypt и установите для него значение true в строке подключения, а затем отслеживайте обмен данными с помощью такого инструмента, как Microsoft Network Монитор или сниффер сети

Устранение неисправностей

После успешной установки сертификата он не отображается в списке Сертификат на вкладке Сертификат .

Примечание. Вкладка Сертификат находится в диалоговом окне «Протоколы для <имя_экземпляра» Свойства , которое открывается из диспетчера конфигурации SQL Server.

Эта проблема возникает из-за того, что вы могли установить недействительный сертификат. Если сертификат недействителен, он не будет отображаться на вкладке Сертификат . Чтобы определить, действителен ли установленный вами сертификат, выполните следующие действия:

  1. Откройте оснастку «Сертификаты».Для этого см. Шаг 1 в разделе «Как настроить оснастку MMC».

  2. В оснастке «Сертификаты» разверните Личные , а затем разверните Сертификаты .

  3. На правой панели найдите установленный сертификат.

  4. Определите, соответствует ли сертификат следующим требованиям:

    • На правой панели значение в столбце Назначение для этого сертификата должно быть Проверка подлинности сервера .

    • На правой панели значение в столбце Кому выдано должно быть именем сервера.

  5. Дважды щелкните сертификат и определите, соответствует ли сертификат следующим требованиям:

    • На вкладке Общие вы получите следующее сообщение:

      У вас есть закрытый ключ, соответствующий этому сертификату.

    • На вкладке Подробности значение для поля Тема должно быть именем сервера.

    • Значение поля расширенного использования ключа должно быть Аутентификация сервера ( <число> ) .

    • На вкладке Certification Path имя сервера должно появиться в Certification path .

Если какое-либо из этих требований не выполняется, сертификат недействителен.

.

Установка тестового сертификата на тестовый компьютер - драйверы Windows

  • 2 минуты на чтение

В этой статье

Тестовые сертификаты, которые используются для встраивания подписей в файлы драйверов и для подписи файла каталога пакета драйверов, должны быть добавлены в хранилище сертификатов доверенных корневых центров сертификации и хранилище сертификатов доверенных издателей.Вы можете вручную добавить тестовый сертификат в эти хранилища сертификатов с помощью инструмента CertMgr , как описано в разделе Использование CertMgr для установки тестовых сертификатов на тестовый компьютер.

Вы также можете настроить политику домена по умолчанию для автоматического развертывания тестового сертификата на компьютерах в домене, как описано в разделе «Развертывание тестового сертификата с использованием политики домена по умолчанию».

.

Смотрите также