Сертификаты как найти на компьютере


Как открыть "Хранилище сертификатов" в Windows 7


Сертификаты являются одним из вариантов безопасности для Виндовс 7. Это цифровая подпись, которая проверяет достоверность и подлинность различных веб-узлов, служб и всевозможных устройств. Выдача сертификатов осуществляется сертификационным центром. Они хранятся в специализированном месте системы. В данной статье мы рассмотрим, где находится «Хранилище сертификатов» в ОС Windows 7.

Открываем «Хранилище сертификатов»

Чтобы просмотреть сертификаты в Виндовс 7, заходим в ОС с правами администратора.

Подробнее: Как получить права администратора в Windows 7

Необходимость в доступе к сертификатам особенно важна для пользователей, которые часто совершают платежи в интернете. Все сертификаты хранятся в одном месте, так называемом Хранилище, которое разбито на две части.

Способ 1: Окно «Выполнить»

  1. При помощи нажатия комбинации клавиш «Win+R» попадаем в окошко «Выполнить». Вводим в командную строку certmgr.msc.
  2. Цифровые подписи хранятся в папке, которая находятся в директории «Сертификаты – текущий пользователь». Здесь сертификаты находятся в логических хранилищах, которые разделены по свойствам.

    В папках «Доверенные корневые центры сертификации» и «Промежуточные центры сертификации» находится основной массив сертификатов Виндовс 7.

  3. Чтобы посмотреть информацию о каждом цифровом документе, наводим на него и кликаем ПКМ. В открывшемся меню выбираем «Открыть».

    Переходим во вкладку «Общие». В разделе «Сведения о сертификате» будет отображено предназначение каждой цифровой подписи. Также представлена информация «Кому выдан», «Кем выдан» и сроки действия.

Способ 2: Панель управления

Также есть возможность посмотреть сертификаты в Windows 7 через «Панель управления».

  1. Открываем «Пуск» и переходим в «Панель управления».
  2. Открываем элемент «Свойства обозревателя».
  3. В открывшемся окне переходим во вкладку «Содержание» и щелкаем по надписи «Сертификаты».
  4. В открывшемся окошке предоставлен перечень различных сертификатов. Чтобы посмотреть подробную информацию об определённой цифровой подписи, жмём по кнопке «Просмотр».

После прочтения данной статьи вам не составит никакого труда открыть «Хранилище сертификатов» Windows 7 и узнать подробную информацию о свойствах каждой цифровой подписи в вашей системе.

Мы рады, что смогли помочь Вам в решении проблемы.
Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.
Помогла ли вам эта статья?
ДА НЕТ
Поделиться статьей в социальных сетях:

Как найти на компьютере сертификат ключа электронной подписи (ЭЦП)

Если электронную подпись нужно использовать на нескольких компьютерах или скопировать сертификат на запасной носитель, то необходимо знать, где ее искать. Обычно сертификаты хранятся в одном месте, но в зависимости от типа используемой операционной системы путь к хранилищу может быть разным.

Где хранится ЭЦП на компьютере

Найти сертификат ключа электронной подписи на ОС Windows Vista и выше можно по адресу: C:Users/ПОЛЬЗОВАТЕЛЬ/App/Data/Roaming/MicrosoftSystem/Certificates. Где «‎Пользователь» — это название учетной записи ПК. В целях безопасности система сохраняет в данной папке только открытый, т.е. доступный всем, ключ ЭЦП. Закрытый ключ не копируется на жесткий диск и хранится на токене. Используется он для генерации открытых ключей.

Для программного пользования открытый ключ хранится в папке Windows в зашифрованном виде. Скопировать этот файл не получится, т.к. система не дает права доступа к нему. Просмотр установленных сертификатов возможен только администратор ПК.

Сертификат ЭЦП имеет формат .cer или .csr, и занимает несколько КВ памяти. В операционных системах MacOS и Linux формат файла не меняется, поскольку является единым для использования на территории РФ.

Как посмотреть сертификат ЭЦП

Посмотреть установленные сертификаты можно при помощи Internet Explorer, Certmgr, консоль управления или КриптоПро. Пользоваться другими компьютерными программами не рекомендуется: они могут иметь встроенную команду отправки ключа ЭЦП на сторонний сервер, что приведет к компрометации подписи и невозможности ее использования.

Через КриптоПро

Как найти сертификат ЭЦП на компьютере при помощи КриптоПро:

  1. открыть «‎Пуск»;
  2. через вкладку «‎Все программы» перейти в «‎КриптоПро»;
  3. выбрать вкладку «‎Сертификаты».

Этим способом могут воспользоваться пользователи или администраторы ПК (если пользователю будет отказано в доступе, необходимо дополнительно запросить права администратора). В открывшемся окне будет список всех сертификатов, установленных на данном ПК. В содержащем сертификаты хранилище, можно посмотреть информацию по каждому, скопировать контейнер закрытых ключей КриптоПро на другой компьютер, внешний носитель или удалить недействительный ключ ЭЦП.

Через Certmgr

Найти файл сертификата можно и при помощи встроенного менеджера, который присутствует во всех ОС Windows. Через него можно не только посмотреть все личные сертификаты, но и сертификаты УЦ и партнеров Microsoft.

Метод может использоваться только администратором ПК. Для просмотра нужно:

  1. открыть «‎Пуск»;
  2. ввести команду certmgr.msc в строку поиска и нажать Enter;
  3. в левой колонке открывшегося окна будет список личных и корневых сертификатов.

С шифрованными сертификатами приложение работает ограниченно и не всегда корректно отражает все электронные подписи, установленные пользователем.

Через Internet Explorer

Интернет-браузер IE входит в комплектацию всех ОС семейства Windows XP и выше и позволяет также найти сертификаты ЭЦП на компьютере. Для просмотра нужно:

  1. запустить браузер;
  2. через «‎Меню» перейти в «‎Свойства браузера»;
  3. в новом окне выбрать вкладку «‎Содержание»;
  4. выбрать «‎Сертификаты».

Далее откроется окно с перечнем всех сертификатов, установленных пользователем и сторонними поставщиками ПО. В данном меню возможен перенос ключей и сертификатов на внешний носитель, удаление открытых ключей. Удаление корневых сертификатов УЦ через меню IE невозможно.

Через консоль управления

Просмотр сертификатов в ОС Windows через консоль управления запускается в несколько этапов:

  1. пользователь открывает командную строку;
  2. вводит команду mmc и нажимает Enter;
  3. нажимает на «‎Файл» и «‎Добавить/удалить оснастку cryptopro»;
  4. выбирает последовательно «‎Добавить» и «Добавить изолированную оснастку»;
  5. выбирает «Сертификаты».

Дополнительно можно просмотреть ключи ЭЦП по конкретной учетной записи. Способ также доступен только пользователям с правами администратора ПК. Через консоль можно не только просматривать информация, но и удалять, копировать, добавлять контейнеры с ключами ЭЦП. Неудобство метода в том, что все команды необходимо вводить вручную. Обычны работа через консоль осуществляется на windows server для настройки прав доступа всех пользователей.

Где в реестре хранится ЭЦП

Иногда реестр используется как ключевой носитель, т.е. он подходит для импорта и экспорта сертификатов. Где находится сертификат ЭЦП зависит от битности системы:

  • для 32-битной ОС путь выглядит так: HKEY_LOCAL_MACHINE\SOFTWARE\CryptoPro\Settings\ Users\(идентификатор пользователя)\Keys\(Название контейнера)
  • для 64-битной ОС путь к ключам такой: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings \USERS\(идентификатор пользователя)\Keys\(Название хранилища)
  • реже ключи электронной подписи можно найти тут: HKEY_USERS\S-1-5-21-{SID}_Classes\VirtualStore\MACHINE\SOFTWARE \[Wow6432Node]\Crypto Pro\Settings\USERS\S-1-5-21-{SID}\Keys\

SID — это идентификатор пользователя, который идентифицирует данную учетную запись. Узнать его можно через командную строку и команду WHOAMI/USER.

Где хранится сертификат ЭЦП в ОС Windows XP

К базовым компонентам ОС Windows XP относятся службы сертификации, а XP Professional уже поддерживает многоуровневые иерархии центра сертификации (ЦС) как с изолированными и интерактивными ЦС, так и сети ЦС с доверительными перекрестными отношениями.

Открытые ключи ЭЦП Windows XP хранит в личном хранилище, а т.к. они представляют собой общедоступную информацию, то хранятся в виде открытого текста. Сертификаты пользователя находятся по адресу:

Documents and Settings\<имя_пользователя>\ApplicationData\Microsoft\ SystemCertificates\My\Certificates. Они автоматически вносятся в локальный реестр при каждом входе в систему. Если профиль перемещаемый, то открытые ключи хранятся обычно не на ПК, а следуют за пользователем при каждом входе в систему с внешнего носителя.

Такие поставщики услуг криптографии, как Enchanced CSP и Base CSP хранят закрытые ключи электронной подписи в папке %SystemRoot%\Documents and Settings\<имя_пользователя>\ Application Data\Microsoft\Crypto\RSA. Если профиль перемещаемый, то они расположены в папке RSA на контроллере домена. В этом случае на ПК они загружаются только на время работы профиля. Все файлы в данной папке шифруются случайным симметричным ключом автоматически. Основной ключ пользователя имеет длину в 64 символа и создается проверенным генератором случайных чисел.

Где хранится ЭЦП в системах Linux

В Linux системах список контейнеров с закрытыми ключами можно найти при помощи утилиты csptest. Находится она в директории:  /opt/cprocsp/bin/<архитектура>.

Список контейнеров компьютера: csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys. Список контейнеров пользователя: csptest -keyset -enum_cont -verifycontext -fqcn. В списках имена контейнеров даются в виде, понятном для бинарных утилит, входящих в состав дистрибутива CSP.

Закрытые ключи хранятся в хранилище HDImageStore на жестком диске, и доступны они и для CSP, и для JCP.

Просмотреть список ключей электронной подписи на ОС Windows может только пользователь с правами администратора. Обычно ключи хранятся в системных папках и имеют расширение .cer или .csr. Чтобы посмотреть список, удалить ненужные элементы или скопировать их на внешний носитель можно воспользоваться программой КриптоПро, браузером Internet Explorer, консолью управления или специальной утилитой certmgr. В Windows XP открытые и закрытые ключи хранятся в разных папках, а закрытые дополнительно шифруются паролем, состоящим из комбинации случайных чисел. Системы Linux хранят все сертификаты в отдельной директории, а пусть к ним задается вручную при помощи команд.

где находятся и как открыть, 4 способа просмотра

Система цифровых сертификатов используется аналогично паролям, для подтверждения личности пользователя или ПК, обмена электронной информацией в виртуальной сети. Легковесные файлы содержат личные данные, которые применяются при идентификации личности. Хранилище сертификатов в ОС Windows 10 находится в секретном месте. Иногда фирмам приходится настраивать личные сертификаты, поэтому им важно знать местоположение файлов.

СОДЕРЖАНИЕ СТАТЬИ:

Для чего знать, где хранятся сертификаты?

Каждый файл в хранилище предусмотрен для защиты операционки цифрового устройства. Они препятствуют проникновению вредоносных программ в систему. Отдельная цифровая подпись отвечает за определенный скачанный софт.

Знание о том, где хранятся такие файлы, требуется в случае просмотра или установки корневых, личных сертификатов. В «десятке» инструменты находятся в контейнере двух типов:

  • Certificate store локального ПК – включают список файлов для проверки оригинальности сервера.
  • Certificate store для пользователя – хранят сертификаты утилит, которые запускает юзер.

Сертификаты представляют собой корневые и личные файлы. Первые являются составным элементом секретного ключа. Вторые предназначены для идентификации юзеров при обмене электронных данных. Поменять настройки в «десятке» можно через mmc оснастки, в том числе через хранилище.

Просмотр установленных сертификатов Windows 10

Список важных объектов: сертификаты для оборудования, персональные файлы – находят несколькими способами с помощью встроенных инструментов, сторонних утилит.

Через «КриптоПро»

Криптопровайдер предназначен для организации защиты программных обеспечений методом шифрования. Менеджер защищает конфиденциальную информацию при обмене данными через сеть интернет, обеспечивает юридическую достоверность электронных документов.

Для включения программы ее требуется скачать с официального сайта разработчика, инсталлировать на компьютер. Все действия выполняются с правами Администратора. Во время установки ПО можно выполнять настройки через панель свойств. После инсталляции потребуется перезагрузить устройство.

Просмотр проверочных ключей ЭЦП происходит по следующему алгоритму:

  • Зайти в меню Пуск.

  • Открыть «Все программы».
  • Выбрать «КриптоПро».

  • Щелкнуть по пункту «Сертификаты».

В открывшемся окне пользователь увидит все актуальные корневые, личные файлы. Обладая администраторскими правами, можно управлять файлами в «десятке»: выполнять копирование, редактирование, деинсталлировать файлы.

Через Certmgr

Диспетчер разрешает проводить различные действия с цифровыми документами. Консоль является частью операционной системы, включает инструменты для функций управления.

Для просмотра данных нужно следовать инструкции:

  • Открыть Командную строку, набрать: c Нажать «Enter».

  • В меню появившегося окна выбрать «Личное» и «Корневые сертификаты…». Зайдя в разделы, можно развернуть реестры с полным списком ключей.

Без прав Администратора утилита не заработает. Софт имеет ограничение в шифровании данных, где происходит специальное кодирование файлов.

Через Internet Explorer

Браузер интегрирован в ОС Виндовс 10, включает набор инструментов, позволяющих искать и просматривать информацию в виртуальной сети. Если веб-проводник отсутствует в «десятке», его легко можно скачать с официального источника.

С помощью браузера можно найти ЭЦП, следуя инструкции:

  • Запустить Интернет Эксплорер.

  • Выбрать «Свойства браузера».

  • Тапнуть по разделу «Содержание».
  • Нажать на подраздел «Сертификаты».

В результате откроется содержимое с полным списком искомых файлов. В веб-сервисе существует возможность их добавления. Юзеру стоит помнить, что корневые ЭЦП удостоверяющих центров деактивировать запрещено.

Аналогичный способ поиска документов выполняется через Центр управления сетями или общим доступом:

  • Открыть Панель управления.

  • Войти в «Свойства браузера».

  • Зайти в меню «Содержание» и «Сертификаты».

Преимущество метода заключается в том, что посмотреть список ЭЦП можно без администраторских прав. Для обычных людей доступен только просмотр, вносить изменения запрещено.

Через контроль управления

Представляет собой один из важнейших компонентов ОС Виндовс 10. С помощью встроенного средства осуществляется управление, запуск, настройка большинства системных функций. Также можно найти, где лежат сертифицированные файлы ЭЦП для их редактирования.

Пошаговая инструкция:

  • Нажать: «Win + R».
  • Ввести в строку запроса: cmd. Нажать «Enter».

  • после этого перейти по команде mmc в терминал;

  • Щелкнуть по вкладке «Файл».

  • В открывшемся списке тапнуть «Добавить изолированную оснастку».

  • Нажать на раздел «Сертификаты».

Все действия пользователь может выполнять только с правами Администратора. Такой вариант подходит не каждому человеку, так как некоторые запросы вводятся через Командную строку. Сервисом обычно пользуются системные администраторы или люди, хорошо разбирающиеся в теме.

Существует целый список сторонних ресурсов, позволяющих управлять сертификатами, инсталлированными в ОС Виндовс 10. Но пользоваться такими утилитами не рекомендуется, так как нет гарантии, что в них присутствует команда отправки сертификата на внешний сервер. Надежное сертифицированное приложение – это «КриптоПро», которое дает гарантию защиты от несанкционированного доступа посторонних лиц к ЭЦП.

Также в последних версиях Винды зашифрованные файлы просматривают, перейдя по пути: C:Users\ПОЛЬЗОВАТЕЛЬ\AppData\Roaming\Microsoft\System\Certificates. Словосочетание «Пользователь» меняется на название учетной записи. В результате откроется полный список засекреченных данных.

Сертификаты созданы для безопасной работы цифровой техники. Их достоверность гарантирована сертификационным центром. Управление ЭЦП требует определенных знаний, поэтому работу должен выполнять специалист или продвинутый пользователь.

Где хранятся сертификаты в Windows 7 и 10: как посмотреть установленные, менеджер

Для основной массы пользователей знания о хранилищах сертификатов не пригодятся. На практике с этой функцией Виндовс сталкиваются системные администраторы и хорошо подготовленные пользователи. Именно им время от времени приходится удалять ненужные, но важные зашифрованные документы, цифровые подписи и другую секретную информацию. Также на их ответственности и установка новых секретных документов.

Что такое хранилище сертификатов в Windows системах

Термин «хранилище сертификатов» можно расшифровать как часть оперативной памяти ПК, где помещена на хранение самая секретная зашифрованная информация.  К таковой относятся:

  • учетные данные;
  • доступ к определенным программным продуктам.

Хранилище сертификатов

Сертификаты служат для идентификации человека посредством сети интернет, после чего он сможет подтвердить допуск к определенным утилитам.

Доступ к секретным документам имеют единицы. Хранилище, как объект ОС, можно обозначить как отдельный файл, но для его открытия используются совсем другие средства, нежели доступные многим программы.

Хранилище имеет два отдельных раздела. В одном хранятся личные данные пользователя, в другом – средства идентификации самого компьютера. Сохранение происходит локально для каждого ПК и для каждого пользователя, который работает на нем.

У файла сертификата расширение .cer или .csr. Он занимает совсем немного места. Объем занятой памяти не превышает нескольких килобайт. Кстати, подобные файлы эксплуатируются в ОС Linux, MacOS. Файлы с подобным расширением можно назвать стандартным форматом ЭЦП. Во многих странах используются сертификаты стандарта .x509. В РФ они распространения не получили.

Для чего оно нужно

Каждый документ в хранилище призван сохранить безопасность работы операционной системы ПК. Это предотвращает проникновение в систему опасных или нежелательных и сомнительных программ. Каждая цифровая подпись отвечает за благонадежность отдельно взятого софта. Иногда такую же проверку проходит и сам пользователь. То есть для него тоже имеется свой идентификатор.

Корневой центр сертификации

У Виндовс есть свои корневые сертификаты. Благодаря им поддерживается стандартная работа ОС. Например, можно совершенно спокойно пользоваться функцией «Центр обновления Windows».

Очень широкое применение сертификация получила в Google Chrome. Особенно она востребована для взаимодействия с государственными сайтами. Чтобы иметь доступ к базам данных, обязательно нужно соответствующее разрешение. Вот его и выдает государственный сайт.

Немало утилит создают свои шифры. Например, если требуется изменить характеристики оборудования. Таким образом они обеспечивают программному продукту законность.

Как посмотреть установленные цифровые сертификаты в Windows 7 или 10

Прежде всего можно посмотреть доступные важные документы, такие как:

  • Сертификаты для оборудования. Они предустановлены разработчиком для обеспечения оптимальной работы аппарата. Их могут увидеть все желающие. Для открытия этого каталога нужно синхронно нажать на кнопки Win + R. Появится пустая строка. Туда следует вбить символы certlm.msc. Откроется весь перечень секретных документов.
  • Персональные сертификаты. К ним доступ имеет пользователь с текущей учетной записью. Доступ можно получить, используя все те же клавиши Win + R. Только в строчке нужно прописать команду certmgr.msc. Появится список всех доступных пользователю зашифрованных данных. Личная информация будет в файле «Личное».

Есть и другие способы, как просмотреть хранилище сертификатов Windows 7, 8, 10, ХР.

Просмотр установленных сертификатов

Просмотр через консоль управления

Предустановленной функцией просмотра секретной информации является консоль управления. Используя ее, тоже можно найти требуемые ключи. Для этого следует:

  1. Запустить ОС.
  2. Активировать «Командную строку» («cmd»).
  3. Нажать на «Enter».
  4. Вбить команду «mmc».
  5. Тапнуть «Enter».
  6. Открыть раздел «Файл».
  7. Активировать вкладку «Добавить или удалить оснастку».
  8. Кликнуть на «Добавить» и на «Добавить изолированную оснастку».
  9. Выбрать вкладку «Сертификаты».

Таким же способом можно в формате чтения просматривать сертифицированные учетки, зарегистрированные в Виндовс. Также можно вносить, убирать, исправлять и копировать документы.

Важно! Иметь права администратора обязательно.

Доступ через проводник

В современных ОС Виндовс, все зашифрованные данные находятся по веб-адресу C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates. Если вместо слова «Пользователь» вписать рабочую учетку, то полный перечень открытых зашифрованных документов будет доступен для ознакомления.

Что касается закрытых ЭЦП, то они лежат на USB-рутокене. Для их просмотра потребуется другой секретный пароль. Его выдает администратору удостоверяющий центр.

В папке Виндовс хранится еще копия сертификата ЭЦП. Она предназначена для программной поддержки. Доступа пользователям к этой папке нет.

Просмотр через Internet Explorer

Найти ЭЦП можно и при помощи браузера Internet Explorer. Он установлен в современных аппаратах с ОС Windows 10, ХР. При отсутствии его легко можно скачать.

Просмотр сертификатов через Internet Explorer

Чтобы найти хранилище с секретными документами через этот браузер, следует его запустить. Далее нужно активировать вкладки:

  • «Меню»;
  • «Свойства браузера»;
  • «Содержание»;
  • «Сертификаты».

В новом окошке будут представлены все сертификаты.

Важно! Корневые сертификаты удостоверяющих центров удалять нельзя.

Востребованность этого варианта просмотра зашифрованной информации в том, что видеть их можно, не имея права администратора. Просматривать могут все пользователи, но вносить изменения – прерогатива системных администраторов.

В Internet Explorer перечень особо важных документов можно просмотреть, используя меню «Центр управления сетями и общим доступом». Для этого нужно будет открыть «Панель управления» и войти в раздел «Свойства обозревателя». Далее следует активировать вкладки «Содержание» и «Сертификаты».

Просмотр сертификатов через Крипто ПРО

Просматривать ЭЦП можно с помощью программы-дистрибутива (Крипто ПРО).

Путь к просмотру:

  1. Запустить ОС.
  2. Войти в «Пуск».
  3. Открыть раздел «Все программы».
  4. Выбрать «Крипто ПРО».
  5. Нажать на вкладку «Сертификаты».

Электронный сертификат в Крипто ПРО

В появившемся окне появится перечень всех актуальных сертификатов. Имея права администратора, возможно управление сертификатами Windows 10 и других версий ОС. С ними можно проводить различные действия. То есть, можно удалять, редактировать, копировать. Последнее возможно при наличии ключа и допуска центра. С ними можно будет использовать скопированный ЭЦП на другом аппарате.

Просмотр сертификатов через Certmgr

В ОС Виндовс предусмотрен встроенный менеджер, который работает с имеющимися зашифрованными данными. С его помощью можно ознакомиться со всеми сертификатами (личные ЭЦП, сертификаты партнеров Майкрософт и т. д.).

Просмотреть секретные данные, используя данный менеджер можно так:

  1. Запустить ОС кнопкой «Пуск».
  2. Вбить команду «certmgr.msc».
  3. Подтвердить намерение кнопкой «Enter».

Во всплывающем окне появятся разделы «Личное» и «Корневые сертификаты удостоверяющего центра». Активируя их можно раскрыть полные реестры и найти требуемые ключи.

Нужно знать! Все эти действия может проводить только доверенный администратор. В ином случае менеджер не запустится.

У приложения есть ограничения в части шифрованных данных, где имеется специальное кодирование информации.

Как удалить сертификат в Windows 10

Через какое-то время некоторая важная информация теряет актуальность или становится известной третьим лицам. Иногда файлы, содержащие ее, повреждаются или нуждаются в замене на более новую версию. Тогда ненужные данные требуется удалить. При этом корневые в любой ситуации нужно сохранить!

Внимание! До удаления настоятельно рекомендуется удостовериться в окончательной неактуальности секретного файла. Обратного хода у процесса нет, даже при том, что закрытый ключ остается.

Процедуру выполняет системный администратор или хотя бы один из теоретически подготовленных пользователей.

К хранилищу доступ можно получить двумя способами:

  • через Internet Explorer;
  • через управление Виндовс.

Удаление сертификата

К примеру, требуется удалить ЭЦП пользователя.

Алгоритм действий:

  1. Открыть «Панель управления».
  2. Выбрать «Сеть» и «Интернет».
  3. Активировать раздел «Управление настройками браузера». Всплывет окошко «Свойства».
  4. Открыть пункт «Содержание».
  5. Тапнуть кнопку «Сертификаты».

На экране всплывет перечень секретных документов. Ненужные можно выбрать, удалить. Важно не забыть сохраняться.

С использованием панели управления можно получить более полное разрешение к зашифрованной информации. Порядок действий в этом случае будет таким:

  • «Пуск»;
  • «Командная строка»;
  • Команда «certmgr.msc».

В появившемся окне будут перечислены все сертификаты хранилища, как пользовательские, так и корневые.

Сертификаты – важная составляющая безопасной работы компьютерной техники. Их достоверность гарантирует сертификационный центр. Работа с секретной информацией требует определенных знаний, поэтому выполнение работ в этой области нужно доверить специалисту. Для обычного пользователя достаточно иметь теоретические знания о том, что такое хранилище сертификатов Windows 10 и других версий ОС Виндовс. Применять их на практике рекомендуется только в исключительных случаях.

Где в Windows хранятся корневые сертификаты Центров Сертификации (CA)

Общесистемные корневые CA сертификаты

Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.

В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.

Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:


 certmgr.msc

Перейдите в раздел «Доверенные корневые центры сертификации» → «Сертификаты»:

Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.

Просмотр сертификатов в PowerShell

Чтобы просмотреть список сертификатов с помощью PowerShell:


 Get-ChildItem cert:\LocalMachine\root | format-list

Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):


 Get-ChildItem cert:\LocalMachine\root | Where {$_.Subject -Match "HackWare"} | format-list

Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:

Сертификаты уровня пользователей:

  • HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates — содержит настройки сертификатов для текущего пользователя
  • HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates — как и предыдущее расположение, но это соответствует сертификатам пользователей, развёрнутым объектом групповой политики (GPO (Group Policy))
  • HKEY_USERS\SID-User\Software\Microsoft\SystemCertificates — соответствует настройке определённых пользовательских сертификатов. У каждого пользователя есть своя ветка в реестре с SID (идентификатор безопасности).

Сертификаты уровня компьютера:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates — содержит настройки для всех пользователей компьютера
  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates — как и предыдущее расположение, но это соответствует сертификатам компьютера, развёрнутым объектом групповой политики (GPO (Group Policy))

Сертификаты уровня служб:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Services\ServiceName\SystemCertificates — содержит настройки сертификатов для всех служб компьютера

Сертификаты уровня Active Directory:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates — сертификаты, выданные на уровне Active Directory.

И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.

Пользовательские сертификаты (файлы):

  • %APPDATA%\Microsoft\SystemCertificates\My\Certificates
  • %USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\SID
  • %USERPROFILE%\AppData\Roaming\Microsoft\Credentials
  • %USERPROFILE%\AppData\Roaming\Microsoft\Protect\SID

Компьютерные сертификаты (файлы):

  • C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys

Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.

Google Chrome

Использует общесистемные доверенные корневые центры сертификации.

Чтобы перейти к списку сертификатов из веб браузера:

Настройки → Приватность и Защита → Безопасность → Управление сертификатами → Просмотр сертификатов → Центры сертификации → Доверенные корневые центры сертификации:


Opera

Чтобы перейти к списку сертификатов из веб браузера: Настройки → Перейти к настройкам браузера → Дополнительно → Безопасность → Ещё → Настроить сертификаты → Доверенные корневые центры сертификации:

Firefox

Использует NSS.

Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:

Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».

Связанные статьи:

Пошаговое руководство. Просмотр сертификатов с помощью оснастки MMC - WCF

  • Чтение занимает 2 мин

В этой статье

При создании защищенного клиента или службы можно использовать сертификат в качестве учетных данных.When you create a secure client or service, you can use a certificate as the credential. Например, общий тип учетных данных — это сертификат X. 509, который создается с помощью X509CertificateInitiatorClientCredential.SetCertificate метода.For example, a common type of credential is the X.509 certificate, which you create with the X509CertificateInitiatorClientCredential.SetCertificate method.

Существует три разных типа хранилищ сертификатов, которые можно проверить с помощью консоли управления (MMC) в системах Windows:There are three different types of certificate stores that you can examine with the Microsoft Management Console (MMC) on Windows systems:

  • Локальный компьютер. хранилище является локальным для устройства и является глобальным для всех пользователей на устройстве.Local computer: The store is local to the device and global to all users on the device.

  • Текущий пользователь: хранилище является локальным по отношению к текущей учетной записи пользователя на устройстве.Current user: The store is local to the current user account on the device.

  • Учетная запись службы. хранилище является локальным для определенной службы на устройстве.Service account: The store is local to a particular service on the device.

Просмотр сертификатов в оснастке MMCView certificates in the MMC snap-in

В следующей процедуре показано, как проверить магазины на локальном устройстве, чтобы найти соответствующий сертификат:The following procedure demonstrates how to examine the stores on your local device to find an appropriate certificate:

  1. В меню Пуск выберите пункт выполнить и введите MMC.Select Run from the Start menu, and then enter mmc.

    Откроется консоль MMC.The MMC appears.

  2. В меню файл выберите команду Добавить или удалить оснастку.From the File menu, select Add/Remove Snap In.

    Откроется окно Добавление или удаление оснасток .The Add or Remove Snap-ins window appears.

  3. В списке Доступные оснастки выберите Сертификаты, а затем щелкните добавить.From the Available snap-ins list, choose Certificates, then select Add.

  4. В окне оснастки "сертификаты " выберите учетная запись компьютера, а затем нажмите кнопку Далее.In the Certificates snap-in window, select Computer account, and then select Next.

    При необходимости можно выбрать учетную запись пользователя для текущего пользователя или учетной записи службы для конкретной службы.Optionally, you can select My user account for the current user or Service account for a particular service.

    Примечание

    Если вы не являетесь администратором устройства, вы можете управлять сертификатами только для учетной записи пользователя.If you're not an administrator for your device, you can manage certificates only for your user account.

  5. В окне Выбор компьютера оставьте выбранным параметр локальный компьютер и нажмите кнопку Готово.In the Select Computer window, leave Local computer selected, and then select Finish.

  6. В окне Добавление или удаление оснастки нажмите кнопку ОК.In the Add or Remove Snap-in window, select OK.

  7. Необязательно. в меню файл выберите сохранить или Сохранить как , чтобы сохранить файл консоли MMC для последующего использования.Optional: From the File menu, select Save or Save As to save the MMC console file for later use.

  8. Чтобы просмотреть сертификаты в оснастке MMC, выберите корень консоли в левой области, а затем разверните узел Сертификаты (локальный компьютер).To view your certificates in the MMC snap-in, select Console Root in the left pane, then expand Certificates (Local Computer).

    Появится список каталогов для каждого типа сертификатов.A list of directories for each type of certificate appears. Из каждого каталога сертификатов можно просматривать, экспортировать, импортировать и удалять свои сертификаты.From each certificate directory, you can view, export, import, and delete its certificates.

Вы также можете просматривать, экспортировать, импортировать и удалять сертификаты с помощью средства диспетчера сертификатов.You can also view, export, import, and delete certificates by using the Certificate Manager tool.

Просмотр сертификатов для локального устройстваTo view certificates for the local device

  1. В меню Пуск выберите пункт выполнить , а затем введите certlm. msc.Select Run from the Start menu, and then enter certlm.msc.

    Откроется средство диспетчера сертификатов для локального устройства.The Certificate Manager tool for the local device appears.

  2. Для просмотра сертификатов в разделе Сертификаты — локальный компьютер в левой области разверните каталог для типа сертификата, который нужно просмотреть.To view your certificates, under Certificates - Local Computer in the left pane, expand the directory for the type of certificate you want to view.

Просмотр сертификатов для текущего пользователяTo view certificates for the current user

  1. В меню Пуск выберите пункт выполнить , а затем введите CertMgr. msc.Select Run from the Start menu, and then enter certmgr.msc.

    Появится средство диспетчера сертификатов для текущего пользователя.The Certificate Manager tool for the current user appears.

  2. Чтобы просмотреть сертификаты, в разделе Сертификаты — текущий пользователь в левой области разверните каталог для типа сертификата, который нужно просмотреть.To view your certificates, under Certificates - Current User in the left pane, expand the directory for the type of certificate you want to view.

См. такжеSee also

Практическое руководство. Просмотр сертификатов с помощью оснастки MMC - WCF

  • 2 минуты на чтение

В этой статье

При создании безопасного клиента или службы вы можете использовать сертификат в качестве учетных данных. Например, распространенным типом учетных данных является сертификат X.509, который вы создаете с помощью X509CertificateInitiatorClientCredential.SetCertificate метод.

Существует три различных типа хранилищ сертификатов, которые вы можете исследовать с помощью консоли управления Microsoft (MMC) в системах Windows:

  • Локальный компьютер: хранилище является локальным для устройства и глобальным для всех пользователей на устройстве.

  • Текущий пользователь: хранилище является локальным для текущей учетной записи пользователя на устройстве.

  • Учетная запись службы: хранилище является локальным для определенной службы на устройстве.

Просмотр сертификатов в оснастке MMC

Следующая процедура демонстрирует, как проверить магазины на вашем локальном устройстве, чтобы найти соответствующий сертификат:

  1. Выберите Run из меню Start , а затем введите mmc .

    Появляется MMC.

  2. В меню Файл выберите Добавить / удалить привязку .

    Появится окно «Добавить или удалить оснастки ».

  3. Из списка Доступные оснастки выберите Сертификаты , затем выберите Добавить .

  4. В окне оснастки «Сертификаты » выберите Учетная запись компьютера , а затем выберите Далее .

    При желании вы можете выбрать Моя учетная запись пользователя для текущего пользователя или Учетная запись службы для конкретной службы.

    Примечание

    Если вы не являетесь администратором своего устройства, вы можете управлять сертификатами только для своей учетной записи.

  5. В окне Выбор компьютера оставьте Локальный компьютер выбранным, а затем выберите Завершить .

  6. В окне Добавить или удалить оснастку выберите OK .

  7. Необязательно: в меню Файл выберите Сохранить или Сохранить как , чтобы сохранить файл консоли MMC для дальнейшего использования.

  8. Для просмотра сертификатов в оснастке MMC выберите Корень консоли на левой панели, затем разверните Сертификаты (локальный компьютер) .

    Появится список каталогов для каждого типа сертификата. Из каждого каталога сертификатов вы можете просматривать, экспортировать, импортировать и удалять его сертификаты.

Вы также можете просматривать, экспортировать, импортировать и удалять сертификаты с помощью инструмента «Диспетчер сертификатов».

Для просмотра сертификатов для локального устройства

  1. Выберите Run из меню Start , а затем введите certlm.msc .

    Появится инструмент диспетчера сертификатов для локального устройства.

  2. Чтобы просмотреть свои сертификаты, в разделе Сертификаты - Локальный компьютер на левой панели разверните каталог для типа сертификата, который вы хотите просмотреть.

Для просмотра сертификатов текущего пользователя

  1. Выберите Run из меню Start , а затем введите certmgr.msc .

    Появится инструмент диспетчера сертификатов для текущего пользователя.

  2. Для просмотра сертификатов в разделе «Сертификаты - текущий пользователь » на левой панели разверните каталог для типа сертификата, который вы хотите просмотреть.

См. Также

.

Использование PowerShell для поиска сертификатов, срок действия которых скоро истекает

Dr Scripto

Сводка : Разработчик сценариев Microsoft, Эд Уилсон, рассказывает об использовании Windows PowerShell для поиска сертификатов, срок действия которых скоро истечет.

Привет, сценарист! Недавно мы внедрили внутренний центр сертификации, который мы используем для различных сценариев, таких как выдача сертификатов для подписи кода для наших разработчиков и определенных администраторов, а также для сценариев аутентификации пользователей.Теперь, конечно, возникла проблема. Мой остроумный начальник обеспокоен тем, что люди с сертификатами не обновят их должным образом, поэтому он хочет, чтобы я написал сценарий, который может узнать, когда срок действия сценариев истекает. Я могу это легко сделать?

—AR

Здравствуйте, AR,

Разработчик сценариев Microsoft, Эд Уилсон, здесь. Сегодня вторник, и мы с женой-сценаристом ненадолго в пути. К счастью, телефон с Windows 8 легко настраивается как модем, и я могу подключиться к Интернету со своего ноутбука и проверить свою электронную почту на сайте scripter @ microsoft.com. Это круто. Плохая черта автомобильной поездки заключается в том, что почти невозможно получить приличную чашку чая. Перед отъездом я заварил чайник, так что у меня есть приличный чай - по крайней мере, на некоторое время.

AR, чувак, это так просто…

Причина, по которой в Windows PowerShell 3.0 так легко найти сертификаты, срок действия которых истекает, заключается в том, что мы добавляем динамический параметр в командлет Get-ChildItem , когда командлет нацелен на Сертификат: PSDrive. Динамический параметр называется –ExpiringInDays , и он делает именно то, что вы могли подумать - он сообщает о сертификатах, срок действия которых истекает в течение определенного периода времени.Чтобы найти сертификаты, срок действия которых истекает в течение 75 дней, используйте команду, показанную здесь.

Get-ChildItem -Path cert: -Recurse -ExpiringInDays 75

Здесь показаны команда и выходные данные, связанные с командой для поиска сертификатов, срок действия которых истекает через 75 дней.

Мне не нужно указывать мое рабочее местоположение на Cert: PSDrive, потому что я могу указать его как путь к командлету Get-ChildItem . Если мне нужно выполнить более одной или двух операций, я изменю свое рабочее место на Cert: PSDrive, чтобы упростить некоторые требования к вводу текста.Чтобы перейти на Cert: PSDrive, я использую командлет Set-Location ( SL - это псевдоним, как CS ). Этот метод показан здесь.

PS C: \> sl cert:

После того, как я изменил свое рабочее местоположение на Cert: PSDrive, приглашение Windows PowerShell (по умолчанию) изменится и включает расположение диска Cert:, как показано здесь.

PS Cert: \>

Обнаружение истечения срока действия сертификатов путь PowerShell 2.0

Если вы используете Windows PowerShell 2.0 (или если вам просто нравится печатать), вы все равно можете найти сертификаты, срок действия которых скоро истечет, используя командлет Get-ChildItem на вашем Cert: PSDrive, а затем отправив результаты в Where-Object . Вам необходимо отфильтровать свойство NotAfter возвращаемого объекта сертификата. Замечательно то, что Windows PowerShell упрощает работу с датами. Я использую метод AddDays из объекта DateTime , который возвращается командлетом Get-Date .

Чтобы получить доступ к методу AddDays , я сначала группирую командлет Get-Date . Каждый объект сертификата передается по конвейеру к командлету Where-Object . Внутри блока сценария для Where-Object я смотрю на свойство NotAfter и проверяю, не меньше ли оно даты, которая находится в 75 днях в будущем. Обнаружив сертификаты, срок действия которых составляет менее 75 дней в будущем, я отправляю результаты в командлет Select-Object , где выбираю отпечаток и тему.Следующая команда возвращает сертификаты, срок действия которых истекает через 75 дней в будущем.

Get-ChildItem -Recurse | где {$ _. notafter -le (get-date) .AddDays (75)} | select thumbprint, subject

Когда я запускаю команду, результаты не очень хорошо сравниваются с результатами предыдущей команды. Здесь показаны команда и ее результат.

Причина, по которой вывод отличается, заключается в том, что новый параметр ExpiringInDays для Windows PowerShell 3.0 не включает сертификаты с истекшим сроком действия. Windows поставляется с сертификатами с истекшим сроком действия, поскольку некоторым исполняемым файлам, которые были подписаны сертификатом, но которые не были отправлены с новым сертификатом, нужен старый сертификат, чтобы гарантировать действительность сертификата.

Изменив команду таким образом, чтобы она также отфильтровывала просроченные сертификаты, результаты на моем компьютере становятся такими же. Вот измененная команда.

Get-ChildItem -Recurse | где {$ _. notafter -le (дата получения).AddDays (75) -AND $ _. Notafter -gt (get-date)} | выберите отпечаток, тема

Здесь показаны команда и выходные данные, связанные с командой.

AR, вот и все, что нужно для использования поставщика сертификатов в Windows PowerShell для поиска сертификатов, срок действия которых истекает через определенный период времени. Присоединяйтесь ко мне завтра, когда я расскажу о более интересных вещах.

Я приглашаю вас подписаться на меня в Twitter и Facebook. Если у вас есть какие-либо вопросы, отправьте мне письмо по адресу scripter @ microsoft.com, или разместите свои вопросы на официальном форуме Scripting Guys. До завтра. А пока мир.

Эд Уилсон, Microsoft Scripting Guy

Dr Scripto

Scripter, PowerShell, vbScript, BAT, CMD

.

Использование PowerShell и .NET для поиска сертификатов с истекшим сроком действия

Резюме : Узнайте, как использовать классы Windows PowerShell и Microsoft .NET для поиска сертификатов с истекшим сроком действия на локальных и удаленных компьютерах.

Привет, сценарист! Как я могу использовать классы Windows PowerShell и .NET Framework для работы с сертификатами?

- PB

Hello PB,

Microsoft Scripting Guy Ed Wilson здесь. Сегодня мы продолжаем Неделю гостевых блоггеров с Бо Проксом, в настоящее время старшим системным администратором BAE Systems.Он работает в ИТ-индустрии с 2003 года, последние три года провел, работая с VBScript и Windows PowerShell, и теперь старается писать все, что может, и в любое время. Он также является модератором Hey, Scripting Guy! Форум. Вы можете проверить его блог на http://boeprox.wordpress.com, а также увидеть его текущий проект, модуль администратора WSUS, недавно опубликованный на CodePlex.

PKI-сертификаты - одна из тех вещей, о которых знает большинство системных администраторов, но, вероятно, никогда не тратит на это много времени, пока что-то не пойдет не так.Обычно срок действия сертификата истекает и вызывает какое-то прерывание работы службы, в которой пользователи или начальник спрашивают, что происходит.

Сначала я покажу вам, как подключиться к локальному или удаленному компьютеру и просмотреть их сертификаты с помощью класса .NET System.Security.Cryptography.X509Certificates.X509Store .

Есть два места, к которым вы можете подключиться:

  • LocalMachine : глобальные сертификаты, которые влияют на компьютер и учетные записи пользователей, такие как сертификаты компьютеров для доступа к сети или сертификаты SSL для доступа к веб-сайтам.
  • CurrentUser : сертификаты, специфичные для пользователя, например сертификаты смарт-карт и сертификаты, используемые для шифрования.

Из этих двух мест хранения сертификатов только LocalMachine может быть доступен удаленно через класс .NET. Попытка получить доступ к CurrentUser приведет к сообщению «Доступ запрещен» по соображениям безопасности.

Подключение к локальному компьютеру LocalMachine хранилище сертификатов требует несколько строк кода для получения доступа к сертификатам:

$ store = New-Object System.Security.Cryptography.X509Certificates.X509Store («Мой», «LocalMachine»)

$ store.Open («ReadOnly»)

$ store.Certificates

Первое, что мы видим здесь, - это то, что мы создаем объект, используя класс X509 и вызывает два значения, которые представляют имя магазина и местоположение магазина, к которому мы будем подключаться. Есть несколько названий магазинов, которые доступны для просмотра, как показано на следующем изображении.

В этой статье мы сосредоточимся на имени хранилища LocalMachine , поскольку именно там мы будем искать веб-сертификаты SSL, сертификаты контроллеров домена и сертификаты компьютеров.

В следующей строке кода мы устанавливаем флаг, который мы будем использовать при открытии магазина. Поскольку мы просматриваем только сертификаты в магазине и ничего больше, мы предпочитаем использовать флаг ReadOnly . При открытии магазина доступны другие флаги, как показано на следующем изображении.

. Наконец, мы можем просмотреть сертификаты компьютеров в store в третьей строке, как показано на следующем изображении.

Если кто-либо раньше использовал поставщик Certificate в Windows PowerShell, это будет выглядеть очень знакомо.Фактически, посмотрите на вывод каждой команды , которую я выполняю как для класса .NET, так и с помощью поставщика сертификата :

PS C: \ Users \ boe> $ store = New-Object System.Security. Cryptography.X509Certificates.X509Store («Мой», «LocalMachine»)

PS C: \ Users \ boe> $ store.Open («ReadOnly»)

PS C: \ Users \ boe> ($ store.certificates | Выбрать -First 1) .gettype () | Формат-Таблица Имя, BaseType -auto

Имя BaseType

—- ——–

X509Certificate2 System.Security.Cryptography.X509Certificates.X509Certificate

PS C: \ Users \ boe> (GCI cert: / localmachine / my | Select -First 1) .gettype () | Format-Table Name, BaseType -auto

Name BaseType

—- ——–

X509Certificate2 System.Security.Cryptography.X509Certificates.X509Certificate

BaseTypeurity.Cryptography. . X509Certificate , , который может заставить вас задуматься: «Бо, почему мы используем расширение.NET-классы, когда мы можем так легко сделать это с провайдером? »

Помните, когда я упоминал, что вы можете использовать класс .NET для подключения к хранилищу сертификатов на удаленном компьютере? Что ж, здесь кроется ограничение поставщика, по крайней мере, если в вашей среде не включено удаленное взаимодействие Windows PowerShell. С провайдером, хотя вы можете более легко просматривать все сертификаты в местоположениях хранилищ LocalMachine и CurrentUser с помощью не более чем строки кода, вы не можете использовать его для запроса к удаленному компьютеру без сначала инициировать удаленный сеанс Windows PowerShell с этим сервером.

Используя тот же фрагмент кода ранее, мы вносим одно небольшое изменение в имя магазина, добавляя UNC-путь к системе:

$ store = New-Object System.Security.Cryptography.X509Certificates.X509Store («\\ dc1 \ My »,« LocalMachine »)

$ store.Open (« ReadOnly »)

$ store.Certificates

Результаты показаны на следующем изображении.

Довольно круто, да?

Вы можете сделать это с помощью поставщика сертификатов, если у вас не только Windows PowerShell 2.0 установлен как на вашем клиенте, так и в удаленной системе, но также в удаленной системе включен удаленный доступ. Однако, если в вашем офисе по-прежнему используется Windows PowerShell 1.0 или по той или иной причине не удалось сделать шаг вперед, чтобы разрешить удаленное взаимодействие с Windows PowerShell, лучше всего использовать классы .NET для удаленного подключения.

Поиск истекающих сертификатов

Теперь, когда мы установили соединение с удаленным хранилищем LocalMachine на сервере, давайте продолжим и выясним, истечет ли срок действия каких-либо сертификатов в течение следующих 14 дней.

Используя мое существующее соединение, мы посмотрим на свойство NotAfter - свойство, которое сообщает нам дату истечения срока действия сертификата, - чтобы выяснить, истек ли он или истечет в течение 14 дней. Свойство NotAfter сертификата представляет местное время истечения срока действия данного сертификата. С помощью 10 строк кода я могу выполнить запрос к удаленному серверу, чтобы найти сертификаты, срок действия которых истекает в ближайшие 14 дней.

# Количество дней для поиска истекающих сертификатов

$ threshold = 14

# Установить крайний срок

$ deadline = (Get-Date).AddDays ($ threshold)

$ store = новый объект System.Security.Cryptography.X509Certificates.X509Store («\\ dc1 \ my», «LocalMachine»)

$ store.open («ReadOnly»)

$ store . сертификаты | % {

If ($ _. NotAfter -lt $ крайний срок) {

$ _ | Выберите эмитента, тему, NotAfter, @ {Label = ”ExpiresIn”; Выражение = {($ _. NotAfter - (Get-Date)). Days}}

}

}

Тема эмитента, срок действия которой не истекает в

—— ——- ——– ———

CN = Root CA , DC = r… 25.01.2011 10: 32:… 5

Судя по всему, есть один сертификат, срок действия которого истекает через пять дней.Как вы понимаете, я добавил настраиваемое свойство ExpiresIn , в котором указывается, сколько дней до истечения срока действия сертификата, в выходные данные с помощью хеш-таблицы @ {Label = ””; Expression = {}} . Представьте, что вы запускаете это в своем домене и выясняете, истек ли срок действия ваших сертификатов, прежде чем это стало проблемой! Это так же просто, как добавить еще несколько строк кода, чтобы использовать цикл ForEach для итерации по всем компьютерам. А еще лучше настроить код для отправки электронного письма с этой информацией, сохранить как сценарий, а затем настроить сценарий как запланированное задание.После этого вы полностью автоматизируете этот процесс.

Найти просроченные сертификаты

Основываясь на том, что я описал при поиске истекающих сертификатов, я немного изменю существующий код, чтобы найти сертификаты, срок действия которых истек.

$ store = new-object System.Security.Cryptography.X509Certificates.X509Store («\\ dc1 \ my», «LocalMachine»)

$ store.open («ReadOnly»)

$ store.certificates | % {

If ($ _. NotAfter -lt (Get-Date)) {

$ _ | Выберите эмитента, тему, @ {Label = ”ExpiredOn”; Expression = {$ _.NotAfter}}

}

}

Срок действия темы эмитента истек на

————- ——–

CN = корневой CA, DC = r… 24.01.2011 04: 13:…

Как и Таким образом, мы обнаружили сертификат, срок действия которого истек, и нам остается решить, нужно ли его продлить или удалить из магазина. Конечно, самое приятное то, что это можно легко автоматизировать, чтобы отправить вам электронное письмо, если будут обнаружены просроченные сертификаты.

Функция Get-PKICertificates

Чтобы облегчить выполнение запросов к локальным и удаленным системам и найти сертификаты с истекшим или истекшим сроком действия, я написал расширенную функцию, которую вы можете использовать для выполнения этой задачи.Эта расширенная функция позволяет вам предоставить локальную или удаленную систему, определить, использовать ли хранилище LocalMachine или CurrentUser , а также искать имена хранилищ, отличные от имени «My». Кроме того, вы можете установить OpenFlag , который вы хотите использовать при запросе магазина. Скрипт доступен для загрузки в Репозитории скриптов.

Вот несколько примеров использования расширенной функции для поиска сертификатов.

Листинговые сертификаты, срок действия которых истекает через 14 дней

PS C: \ Users \ boe> Get-PKICertificates -comp dc1 -StoreLocation LocalMachine -StoreName My -ExpiresIn 14 | Format-Table Su

bject, FriendlyName, Issuer, @ {Label = ”ExpiresIn”; Expression = {($ _.NotAfter - (get-Date)). Days}} -auto

Subject FriendlyName Issuer ExpiresIn

——- —————————

DC1 CN = корневой CA, DC = rivendell, DC = com 4

Список всех сертификатов на удаленном компьютере

PS C: \ Users \ boe> Get-PKICertificates -comp dc1 -StoreLocation LocalMachine -StoreName My

Тема отпечатка

———- 9000—2 ———- 9000—- A1CECD6C1B0A61F3D784EC29C60BD0D8F2FA46BD

7A42B8E32FABF3B85B1BAEF5D6FF6F29EB03C58E CN = Корневой CA, DC = rivendell, DC = com

3B270C08C08C03D08C08C08rivendell.com

10E740A73045250E9AF0778C7DAABB2E1F22C6D9 CN = dc1, OU = Scripting, O = Prox, L = Bellevue, S = NE, C = US

Список сертификатов пользователей

PS5 на нескольких компьютерах Get-PKICertificates -comp DC1, б.н.э-ноутбук -StoreLocation LocalMachine -StoreName Мои

Отпечаток Тема

---- ---

A1CECD6C1B0A61F3D784EC29C60BD0D8F2FA46BD 7A42B8E32FABF3B85B1BAEF5D6FF6F29EB03C58E CN = Root CA, DC = Ривенделл, DC = COM

3B0D348B90D663293067F8C481075927016F56CE CN = dc1.rivendell.com

10E740A73045250E9AF0778C7DAABB2E1F22C6D9 CN = dc1, OU = Scripting, O = Prox, L = Bellevue, S = NE, C = US

211E73160 ThatB9E67F8C0EBAB

211E73160 ThatB9E67F8C0EBAB 9000 =

211E73160 Сегодня для ноутбука 9000 CNB9E67F8C0EB9EB9E67F8C0EB9 Надеюсь, вам понравился мой гостевой блог о запросах сертификатов с использованием классов .NET, и я также хотел бы поблагодарить Эда за предоставленную мне прекрасную возможность сегодня стать приглашенным блоггером.

Бо, я хочу поблагодарить вас за то, что поделились с нами и за то, что вы были нашим приглашенным блоггером.Неделя приглашенного блоггера продолжится завтра, когда к нам присоединится Дуг Финке.

Я приглашаю вас подписаться на меня в Twitter и Facebook. Если у вас есть какие-либо вопросы, отправьте мне письмо по адресу [email protected] или разместите свои вопросы на официальном форуме Scripting Guys. До завтра. А пока мир.

Эд Уилсон, специалист по сценариям Microsoft

.

Windows 8 и Windows Server 2012: как открыть консоль сертификатов - статьи TechNet - США (английский)



Windows 8, Windows Server 2012


Чтобы открыть консоль сертификатов для пользователя, службы или компьютера:

  1. На рабочем столе щелкните значок Проводник Windows на Панель задач .
  2. В адресной строке введите mmc и нажмите ENTER. когда Контроль учетных записей пользователей (UAC) Появится , убедитесь, что он выполняет нужное действие, а затем щелкните Есть .
  3. В консоли щелкните Файл и затем щелкните Добавить / удалить оснастку .
  4. В Добавить или удалить оснастки , до Доступные оснастки , дважды щелкните Сертификаты .
  5. В оснастке «Сертификаты» выберите, хотите ли вы видеть сертификаты Моя учетная запись пользователя (локальная учетная запись пользователя), Сервисная учетная запись или Учетная запись компьютера .
    • Если вы выбрали Моя учетная запись пользователя , нажмите Готово .
    • Если вы выбрали Сервисный аккаунт , нажмите Далее .
      • Определите, хотите ли вы подключиться к локальному компьютеру или Другой компьютер . Если вы выбрали Другой компьютер , используйте Обзор , чтобы выбрать этот компьютер, или введите имя компьютера в текстовое поле.
      • Выберите учетную запись службы и нажмите Готово .
    • Если вы выбрали Учетная запись компьютера , щелкните Далее .
      • Определите, хотите ли вы подключиться к локальному компьютеру или Другой компьютер . Если вы выбрали Другой компьютер , используйте Обзор , чтобы выбрать этот компьютер, или введите имя компьютера в текстовое поле.
      • После того, как вы выбрали нужный компьютер, нажмите Готово .
  6. После добавления оснастки для консоли сертификатов можно снова дважды щелкнуть «Сертификаты», чтобы добавить другую консоль.Например, один для служб, другой для моей учетной записи пользователя, третий для учетной записи компьютера. Вы даже можете сделать это для других компьютеров для учетных записей служб и компьютеров.
  7. После добавления всех необходимых оснасток щелкните ОК .




.

Как использовать консоль сертификатов - статьи TechNet - США (английский)

Применимо к Windows 2000, Windows XP, Windows Server 2003, Windows Server 2003 R2, Windows Vista, Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows 8 и Windows Server 2012.

Консоль сертификатов - это оснастка консоли управления Microsoft (MMC), которую можно использовать для управления хранилищами сертификатов для пользователей, компьютеров и служб.

Вы можете использовать консоль сертификатов для выполнения следующих задач:

  • Просмотр информации о сертификатах, например содержимого сертификата и пути сертификации.

  • Импортировать сертификаты в хранилище сертификатов.

  • Перемещение сертификатов между хранилищами сертификатов.

  • Экспорт сертификатов и, при необходимости, экспорт закрытых ключей (если экспорт ключей включен).

  • Удалить сертификаты из хранилищ сертификатов.

  • Запросите сертификаты от центра сертификации предприятия для личного хранилища сертификатов.

  1. Откройте MMC.Если у вас еще нет настроенной консоли MMC, вы можете ее создать. Для этого откройте командную строку, Windows PowerShell или диалоговое окно «Выполнить», введите MMC , а затем нажмите ENTER . Если вы видите Запрос управления учетными записями пользователей , убедитесь, что отображается действие, которое вы хотите предпринять, а затем щелкните Есть .

  2. Щелкните Консоль , а затем щелкните Добавить / удалить Snap-in .
    - Или -
    Нажмите CTRL + M.
    Появится диалоговое окно Добавить / удалить Snap-in .

  3. Щелкните Добавить .
    Откроется диалоговое окно Добавить отдельную оснастку Snap-in .

  4. Выберите Certificates из списка оснасток, а затем щелкните Добавьте .
    Появится диалоговое окно Certificates Snap-in .

  5. Выберите один из следующих аккаунтов:

    • Моя учетная запись

    • Сервисный счет

    • Учетная запись компьютера

    Консоль сертификатов управляет хранилищами сертификатов для этой учетной записи.

  6. Щелкните Далее .
    Если вы выбрали Моя учетная запись , Добавить автономный Появится диалоговое окно Snap-in .Вы можете нажать Добавить , чтобы добавить еще одну оснастку.
    Если вы выбрали Учетная запись службы или Учетная запись компьютера , Выберите компьютер появится диалоговое окно. Для управления локальным компьютером щелкните Далее . Чтобы управлять другим компьютером, введите доменное имя компьютера в Другой компьютер или щелкните Обзор , чтобы выбрать компьютер из списка. Затем нажмите Далее .
    Если вы выбрали Учетная запись компьютера , Добавить автономный Появится диалоговое окно Snap-in .Вы можете нажать Добавить , чтобы добавить еще одну оснастку.
    Если вы выбрали Сервисный аккаунт , сертификаты Появится диалоговое окно Snap-in . Выберите услугу из Услуги account list и нажмите Finish . Когда Появится диалоговое окно Add Standalone Snap-in , вы можете нажать Добавьте , чтобы добавить еще одну оснастку.

  7. Когда вы закончите добавлять оснастки, в Добавить автономный В диалоговом окне Snap-in нажмите Close .
    Появится диалоговое окно «Добавить / удалить Snap-in » и отобразить оснастки, которые вы устанавливаете в MMC.

  8. В диалоговом окне Добавить / удалить Snap-in щелкните Закройте .

<вернуться к началу>

Пример

На следующем рисунке показан пример трех узлов консоли сертификатов, добавленных в MMC. Первый узел консоли «Сертификаты» управляет сертификатами вошедшего в систему пользователя.Второй узел консоли Certificates управляет сертификатами для мира Служба публикации в Интернете для локального компьютера. Третий узел консоли Certificates управляет сертификатами для самого локального компьютера.

Консоль сертификатов (показана в операционной системе Windows 2000)

Узлы консоли сертификатов на рисунке выше были расширены, чтобы показать логические хранилища сертификатов. Это называется Режим логического отображения . У вас также есть возможность просматривать сертификаты по их физическим хранилищам или по их назначению.

Чтобы изменить режим отображения, выберите консоль сертификатов (например, Сертификаты - Консоль текущего пользователя ). Щелкните View , а затем щелкните Опции . Когда появляется диалоговое окно View Options (как показано на следующем рисунке в операционной системе Windows 7), которое позволяет вам выбрать определенные параметры режима отображения.

Параметры просмотра Параметры описаны в следующей таблице.

Диалоговое окно параметров просмотра

Опция

Описание

Назначение сертификата

Выберите этот параметр для просмотра сертификатов в режиме отображения целей, в котором сертификаты сгруппированы по назначению сертификатов, например, шифрование файловой системы, восстановление файлов и подпись кода.

Логические хранилища сертификатов

Выберите этот параметр, чтобы просматривать сертификаты в режиме логического отображения, в котором сертификаты группируются по логическому хранилищу, в котором они расположены. Это режим отображения по умолчанию.

Физические хранилища сертификатов

Выберите этот параметр, чтобы просмотреть физические хранилища в дополнение к логическим хранилищам.Эта опция доступна только в режиме логического дисплея.

Архивные свидетельства

Выберите этот параметр, чтобы просмотреть заархивированные сертификаты. Когда срок действия сертификатов истекает или они обновляются, сохраняется заархивированная версия сертификата и его закрытых ключей. Рекомендуется сохранять заархивированные сертификаты, так как вам может потребоваться использовать сертификат. и его закрытый ключ позже. Например, вам может потребоваться проверить цифровые подписи для старых документов, которые были подписаны ключом для сертификата с истекшим сроком действия или обновленного сертификата.

<вернуться к началу>
  1. На панели консоли Certificates выберите хранилище сертификатов, в котором находятся сертификаты, о которых вы хотели бы узнать больше. Например, вы можете выбрать Персональный магазин.
  2. В области сведений дважды щелкните сертификат, о котором вы хотите узнать больше.
  3. Сертификат отобразит три вкладки: Общие , Подробности и Путь сертификации .Вы можете щелкнуть каждую из этих вкладок, чтобы узнать больше о выдаче сертификатов, целях выдачи, отпечатке сертификата, пути доверия и т. Д.

<вернуться к началу>
  1. На панели консоли Certificates щелкните правой кнопкой мыши хранилище сертификатов или контейнер сертификатов под этим хранилищем, в которое вы хотите импортировать сертификат, а затем щелкните Импорт . Например, вы можете щелкнуть правой кнопкой мыши Personal store или Certificates контейнера под этим магазином, а затем щелкните Импорт .Контейнер Certificates под хранилищем появляется только тогда, когда в этом контейнере есть существующие сертификаты. В противном случае у вас будет просто хранилище сертификатов.
  2. На экране Добро пожаловать в мастер импорта сертификатов щелкните Далее .
  3. На экране File to Import введите путь к файлу и имя файла сертификата, который вы хотите импортировать, а затем щелкните Далее . Если файл защищен паролем, вам может быть предложено ввести пароль на этом этапе.Если да, введите пароль и нажмите ОК .
  4. На экране «Хранилище сертификатов» можно выбрать . Автоматически выбирать хранилище сертификатов на основе типа сертификата или Поместите все сертификаты в следующий магазин option. Вы можете использовать Обзор , чтобы найти другое хранилище сертификатов. После правильной настройки этих параметров щелкните Далее .
  5. На экране Завершение мастера импорта сертификатов проверьте информацию об импорте и нажмите Отделка .Нажмите ОК , чтобы подтвердить импорт.

<вернуться к началу>

Вы можете перемещать сертификат между магазинами в одной учетной записи. Например, вы можете переместить сертификат из личного хранилища в хранилище доверенных корневых центров сертификации на локальном компьютере. Однако вы не можете переместить сертификат из личного кабинета. хранилище Локального компьютера в Персональное хранилище Пользователя. Если вы хотите переместить сертификаты между учетными записями, сначала экспортируйте сертификат из одной учетной записи, а затем импортируйте сертификат в другую учетную запись.

  1. На панели консоли Сертификаты выберите Сертификаты , который появляется под хранилищем сертификатов, из которого вы хотите переместить сертификат. Например, если вы хотите переместить сертификат из личного хранилища, разверните Personal store и выберите контейнер Certificates под ним.
  2. На панели сведений консоли Certificates щелкните правой кнопкой мыши сертификат, который вы хотите переместить, и выберите Огранка .
  3. На панели консоли Certificates выберите контейнер Certificates, который отображается под хранилищем сертификатов, в которое вы хотите переместить сертификат. Если нет Certificates контейнер под хранилищем, в которое вы хотите переместить сертификат, затем выберите само хранилище сертификатов назначения.
  4. На панели сведений консоли Certificates щелкните правой кнопкой мыши и выберите Вставить . Это переместит сертификат из исходного хранилища в целевое хранилище.

Примечание. Вы также можете перетаскивать сертификаты из одного магазина в другой. Для этого вы можете выбрать сертификат в области сведений исходного хранилища сертификатов. Удерживая основную кнопку мыши, отпустите сертификат, отпустив кнопку мыши. при указании на целевой контейнер.
<вернуться к началу>
  1. На панели консоли Сертификаты выберите Сертификаты Контейнер , который отображается под хранилищем сертификатов, из которого вы хотите экспортировать сертификат.Например, если вы хотите экспортировать сертификат из личного хранилища, разверните Personal store и выберите контейнер Certificates под ним.
  2. В панели сведений консоли сертификатов щелкните правой кнопкой мыши сертификат, который нужно экспортировать, щелкните Все задачи , а затем щелкните Экспорт .
  3. На экране Экспорт закрытого ключа выберите, хотите ли вы экспортировать закрытый ключ, а затем щелкните Далее .
    • Если закрытый ключ не хранится вместе с сертификатом, экран «Экспорт закрытого ключа» не появится.
    • Параметр экспорта закрытого ключа появится только в том случае, если закрытый ключ отмечен как экспортируемый. В противном случае возможность экспорта закрытого ключа будет недоступна.
  4. На экране Export File Format выберите тип формата, который вы хотите использовать для сертификата. Нажмите Далее .
  5. Если вы выбрали этот вариант и выбрали Да, экспортировать закрытый ключ , вам будет предложено ввести пароль для сертификата.Если у вас Windows 8 или Windows Server 2012, вы можете выбрать Group или имена пользователей и указать Active Учетные записи пользователей или групп доменных служб каталога (AD DS). Этот вариант работает только в том случае, если у вас есть доступный контроллер домена Windows Server 2012 - в противном случае вы получите сообщение об ошибке при попытке его применения. Защитите файл (при необходимости), а затем нажмите Далее .
  6. На экране File to Export введите полный путь к файлу и имя файла сертификата, который вы хотите экспортировать.Вы также можете использовать Обзор , чтобы выбрать местоположение и задать имя файла. Нажмите Далее .
  7. На экране завершения мастера экспорта сертификата подтвердите параметры экспорта и нажмите Отделка . Нажмите ОК , чтобы подтвердить экспорт.
<вернуться к началу>

Удаляйте только сертификат, который, как вы знаете, больше не нужен. Если вы удалите сертификат с закрытым ключом, вы больше не сможете читать зашифрованные данные, которые используют этот сертификат.Убедитесь, что сертификат вам больше не нужен (особенно если у него также есть закрытый ключ), который вы удаляете.

  1. На панели консоли Сертификаты выберите Сертификаты , который отображается под хранилищем сертификатов, из которого вы хотите удалить сертификат. Например, если вы хотите удалить сертификат из личного хранилища, разверните Personal store и выберите контейнер Certificates под ним.
  2. На панели сведений консоли Certificates щелкните правой кнопкой мыши сертификат, который вы хотите удалить, а затем щелкните Исключить .
  3. Чтобы подтвердить удаление сертификата, щелкните Да .
<вернуться к началу>
  1. На панели консоли Сертификаты выберите Сертификаты контейнер, который отображается под хранилищем сертификатов, для которого вы хотите запросить сертификат.Например, если вы хотите запросить сертификат для личного хранилища, разверните Personal store и выберите контейнер Certificates под ним. Если нет Сертификаты контейнер ниже магазина, вы можете просто выбрать магазин.
  2. Щелкните правой кнопкой мыши контейнер Certificates (или магазин), а затем щелкните Запросить новый сертификат .
  3. На экране Перед началом работы просмотрите информацию и нажмите Далее .
  4. На экране Select Certificate Enrollment Policy выберите конкретную политику регистрации, которую вы хотите использовать, или щелкните Добавить новый .
    • Если вы выберете Добавить новый , вам нужно будет заполнить сервер политики регистрации, с которого вы хотите получить сертификат. Это то, что администратор сертификатов должен был бы заранее настроить и предоставить. Если это в случае
      • Введите соответствующий URI в поле Введите URI сервера политики регистрации
      • Установите соответствующий Тип аутентификации : Интегрированный в Windows , Имя пользователя / пароль или X.509 Сертификат
      • Воспользуйтесь опцией Проверить сервер , чтобы убедиться, что сервер доступен, а затем нажмите Добавьте .
    • Если под сертификатом отображается символ предупреждения, возможно, вам потребуется предоставить дополнительную информацию, прежде чем запрашивать этот тип сертификата. Щелкните значок «Для подачи заявки на этот сертификат требуется дополнительная информация. Нажмите здесь, чтобы настроить параметры». сообщение и укажите запрошенную информацию, такую ​​как имя темы или расположение действующего сертификата подписи.
    • Щелкните Далее .
  5. На экране Запросить сертификаты выберите политику регистрации, которую вы хотите использовать, и нажмите Записаться .
  6. На экране Результаты установки сертификата вы увидите сообщение о статусе регистрации. Если статус запроса сертификата Ожидает , затем администратор сертификата должен утвердить запрос. Запрос сертификата также может быть отклонен по разным причинам.Вы можете узнать больше о статусе запроса на сертификат, нажав Детали . Если вы видите дополнительную информацию, вы также можете нажать Просмотрите запрос , чтобы увидеть сделанный запрос сертификата.
  7. После подтверждения статуса регистрации нажмите Готово .
<вернуться к началу>
Чтобы следующие шаги работали, в домене должна быть включена автоматическая регистрация сертификатов. Это то, что администратор домена должен настроить с помощью групповой политики.Автоматическая регистрация доступна для Конфигурация компьютера и Конфигурация пользователя отдельно.

Если сертификат перешел в состояние ожидания и в домене включен параметр Certificate Services Client - Auto-Enrollment Group Policy, то вы можете получить ожидающий сертификат с помощью консоли Certificates, используя следующие шаги:

  1. Щелкните правой кнопкой мыши контейнер консоли Certificates для учетной записи, для которой требуется получить сертификат, а затем щелкните Автоматическая регистрация и получение сертификатов .Например, если вы получали сертификат, ожидающий подтверждения для учетной записи локального компьютера, щелкните правой кнопкой мыши Сертификаты (локальный компьютер) контейнер. Если вы получали сертификат для своей учетной записи, щелкните правой кнопкой мыши значок Сертификаты - Контейнер текущего пользователя.
  2. На экране Перед началом работы просмотрите информацию и нажмите Далее .
  3. На экране Запросить сертификаты выберите политику регистрации, которую вы использовали для подачи заявки на сертификат.
  4. После выбора соответствующей политики щелкните Enroll . Отображается статус регистрации.
  5. На экране результатов установки сертификата отображается статус регистрации. Вы можете увидеть дополнительную информацию, нажав Детали . Если регистрация сертификата не удалась, вы должны увидеть дополнительную информацию о том, почему это не удалось. Если регистрация сертификата прошла успешно, вы также можете нажать Посмотреть сертификат .После подтверждения статуса регистрации сертификата щелкните Отделка .

<вернуться к началу>
.Требования и перечисление сертификатов

(Windows 10) - Microsoft 365 Security

  • Читать 19 минут

В этой статье

Применимо к: Windows 10, Windows Server 2016

В этом разделе для ИТ-специалистов и разработчиков смарт-карт описывается управление сертификатами и их использование для входа с помощью смарт-карт.

Когда вставлена ​​смарт-карта, выполняются следующие шаги.

Примечание Если не указано иное, все операции выполняются без вывода сообщений (CRYPT_SILENT передается в CryptAcquireContext).

  1. База данных диспетчера ресурсов смарт-карты выполняет поиск поставщика криптографических услуг смарт-карты (CSP).

  2. Полное имя контейнера создается с использованием имени устройства чтения смарт-карт и передается в CSP.Формат: \\. \ <Имя читателя> \

  3. CryptAcquireContext вызывается для извлечения контекста в контейнер по умолчанию. В случае сбоя смарт-карту нельзя будет использовать для входа с помощью смарт-карты.

  4. Имя контейнера извлекается с помощью параметра PP_CONTAINER с CryptGetProvParam.

  5. Используя контекст, полученный на шаге 3, CSP запрашивает параметр PP_USER_CERTSTORE (добавлен в Windows Vista).Для получения дополнительной информации см. Архитектура смарт-карты. Если операция прошла успешно, возвращается имя хранилища сертификатов, и выполнение программы переходит к шагу 8.

  6. Если операция на шаге 5 завершилась неудачно, контекст контейнера по умолчанию из шага 3 запрашивается для ключа AT_KEYEXCHANGE.

  7. Сертификат затем запрашивается из контекста ключа с помощью KP_CERTIFICATE. Сертификат добавлен в хранилище сертификатов в памяти.

  8. Для каждого сертификата в хранилище сертификатов с Шага 5 или Шага 7 выполняются следующие проверки:

    1. Сертификат должен быть действительным на основе системных часов компьютера (не истек или действителен с датой в будущем).

    2. Сертификат не должен находиться в части AT_SIGNATURE контейнера.

    3. Сертификат должен иметь действительное имя участника-пользователя (UPN).

    4. Сертификат должен иметь ключ цифровой подписи.

    5. Сертификат должен содержать EKU для входа со смарт-картой.

    Любой сертификат, отвечающий этим требованиям, отображается пользователю с UPN сертификата (или адресом электронной почты или темой, в зависимости от наличия расширений сертификата).

    Примечание Эти требования такие же, как и в Windows Server 2003, но выполняются до того, как пользователь введет PIN-код. Вы можете переопределить многие из них с помощью параметров групповой политики.

  9. Затем процесс выбирает сертификат, и вводится PIN-код.

  10. LogonUI.exe упаковывает информацию и отправляет ее Lsass.exe для обработки попытки входа.

  11. В случае успеха LogonUI.exe закрывается. Это приводит к освобождению контекста, полученного на шаге 3.

О поддержке сертификатов для совместимости

Хотя более ранние версии Windows, чем Windows Vista, включают поддержку смарт-карт, типы сертификатов, которые могут содержать смарт-карты, ограничены. Ограничения:

  • Каждый сертификат должен иметь основное имя пользователя (UPN) и идентификатор объекта входа с помощью смарт-карты (также известный как OID) в поле атрибута расширенного использования ключа (EKU).Существует параметр групповой политики Разрешить использование сертификатов ECC для входа в систему и проверки подлинности, чтобы сделать EKU необязательным.

  • Каждый сертификат должен храниться в части AT_KEYEXCHANGE контейнера CryptoAPI по умолчанию, а контейнеры CryptoAPI по умолчанию не поддерживаются.

В следующей таблице перечислены поддерживаемые сертификаты в более старых версиях операционной системы Windows.

Операционная система Сертификат поддержки
Windows Server 2008 R2 и Windows 7 Поддержка входа с помощью смарт-карты с сертификатами на основе ECC.Вход с помощью смарт-карты ECC включен с помощью групповой политики.

ECDH_P256
ECDH
Кривая P-256 из FIPS 186-2

ECDSA_P256
ECDSA
Кривая P-256 из FIPS 186-2

ECDH_P384
ECDH
Кривая P-384 из FIPS 186-2


H ECDSA_P Кривая P-521 из FIPS 186-2

ECDSA_P256
ECDH
Кривая P-256 из FIPS 186-2

ECDSA_P384
ECDSA
Кривая P-384 из FIPS 186-2

ECDSA_P521
ECDSA
Кривая FIPS 186-2

Windows Server 2008 и Windows Vista Действительные сертификаты перечисляются и отображаются со всех смарт-карт и представляются пользователю.
Ключи больше не ограничиваются контейнером по умолчанию, и можно выбирать сертификаты в разных контейнерах.
Сертификаты на основе криптографии на основе эллиптических кривых (ECC) не поддерживаются для входа с помощью смарт-карт

Процесс входа со смарт-картой в Windows

Большинство проблем во время аутентификации возникает из-за изменения поведения сеанса. Когда происходят изменения, Local Security Authority (LSA) не запрашивает повторно контекст сеанса; вместо этого он полагается на поставщика службы криптографии для обработки изменения сеанса.

В поддерживаемых версиях Windows, указанных в списке Применимо к в начале этого раздела, клиентские сертификаты, не содержащие UPN в поле subjectAltName (SAN) сертификата, могут быть включены для входа, который поддерживает более широкий спектр сертификатов и поддерживает несколько сертификатов для входа на одну карту.

По умолчанию поддержка нескольких сертификатов на одной карте включена. Новые типы сертификатов должны быть включены через групповую политику.

Если вы включите Разрешить ключи подписи, действительные для политики поставщика учетных данных для входа в систему, все сертификаты, доступные на смарт-карте с ключом только для подписи, будут перечислены на экране входа. Это позволяет пользователям выбирать способ входа в систему. Если политика отключена или не настроена, сертификаты на основе ключей подписи смарт-карт не отображаются на экране входа.

На следующей схеме показано, как вход с помощью смарт-карты работает в поддерживаемых версиях Windows.

Процесс входа со смарт-картой

Ниже приведены шаги, которые выполняются во время входа с помощью смарт-карты:

  1. Winlogon запрашивает учетные данные пользовательского интерфейса для входа.

  2. Асинхронно запускается диспетчер ресурсов смарт-карты, а поставщик учетных данных смарт-карты выполняет следующие действия:

    1. Получает учетные данные (список известных учетных данных или, если учетные данные отсутствуют, информацию о устройстве чтения смарт-карт, обнаруженном Windows).

    2. Получает список устройств чтения смарт-карт (с помощью WinSCard API) и список смарт-карт, вставленных в каждое из них.

    3. Перечисляет каждую карту для проверки наличия сертификата входа, который контролируется групповой политикой. Если сертификат присутствует, поставщик учетных данных смарт-карты копирует его во временный безопасный кэш на компьютере или терминале.

    Примечание Записи в кэше смарт-карты создаются для сертификатов с именем субъекта или с идентификатором ключа субъекта.Если у сертификата есть имя субъекта, он сохраняется с индексом, основанным на имени субъекта и издателе сертификата. Если используется другой сертификат с тем же именем субъекта и издателем сертификата, он заменит существующую кэшированную запись. Изменение в этом поведении после Windows Vista допускает условие, когда сертификат не имеет имени субъекта, кэш создается с индексом, основанным на идентификаторе ключа субъекта и издателе сертификата. Если другой сертификат имеет такой же идентификатор ключа субъекта и издателя сертификата, запись кэша заменяется.Когда сертификаты не имеют ни имени субъекта, ни идентификатора ключа субъекта, кэшированная запись не создается.

    1. Уведомляет пользовательский интерфейс входа о новых учетных данных.
  3. Пользовательский интерфейс входа запрашивает новые учетные данные у поставщика учетных данных смарт-карты. В ответ провайдер учетных данных смарт-карты предоставляет каждый сертификат для входа в пользовательский интерфейс для входа, и отображаются соответствующие плитки для входа. Пользователь выбирает плитку сертификата входа на основе смарт-карты, и Windows отображает диалоговое окно PIN.

  4. Пользователь вводит PIN-код, а затем нажимает ENTER. Поставщик учетных данных смарт-карты шифрует ПИН-код.

  5. Поставщик учетных данных, который находится в системе LogonUI, собирает ПИН. Как часть упаковки учетных данных в поставщике учетных данных смарт-карты, данные упаковываются в структуру KERB_CERTIFICATE_LOGON. Основное содержимое структуры KERB_CERTIFICATE_LOGON - это PIN-код смарт-карты, данные CSP (такие как имя устройства чтения и имя контейнера), имя пользователя и имя домена.Имя пользователя требуется, если домен входа не находится в одном лесу, поскольку оно позволяет сопоставить сертификат нескольким учетным записям пользователей.

  6. Поставщик учетных данных упаковывает данные (такие как зашифрованный ПИН-код, имя контейнера, имя устройства чтения и спецификацию ключа карты) и отправляет их обратно в LogonUI.

  7. Winlogon передает данные из LogonUI в LSA с информацией о пользователе в LSALogonUser.

  8. LSA вызывает пакет проверки подлинности Kerberos (Kerberos SSP) для создания запроса службы проверки подлинности Kerberos (KRB_AS_REQ), который содержит средство предварительной проверки подлинности (как указано в RFC 4556: Криптография с открытым ключом для начальной проверки подлинности в Kerberos (PKINIT)).

    Если аутентификация выполняется с использованием сертификата, использующего цифровую подпись, данные предварительной аутентификации состоят из открытого сертификата пользователя и сертификата, подписанного цифровой подписью с соответствующим закрытым ключом.
    Если аутентификация выполняется с использованием сертификата, использующего шифрование ключа, данные предварительной аутентификации состоят из открытого сертификата пользователя и сертификата, зашифрованного с помощью соответствующего закрытого ключа.

  9. Чтобы подписать запрос цифровой подписью (в соответствии с RFC 4556), выполняется вызов соответствующего CSP для операции с закрытым ключом.Поскольку закрытый ключ в этом случае хранится на смарт-карте, вызывается подсистема смарт-карты, и необходимая операция завершается. Результат отправляется обратно поставщику поддержки безопасности Kerberos (SSP).

  10. Kerberos SSP отправляет запрос проверки подлинности для билета-выдачи билета (TGT) (согласно RFC 4556) в службу центра распространения ключей (KDC), которая работает на контроллере домена.

  11. KDC находит объект учетной записи пользователя в доменных службах Active Directory (AD DS), как подробно описано в разделе «Требования и сопоставления сертификатов клиента», и использует сертификат пользователя для проверки подписи.

  12. KDC проверяет сертификат пользователя (время, путь и статус отзыва), чтобы гарантировать, что сертификат получен из надежного источника. KDC использует CryptoAPI для построения пути сертификации от сертификата пользователя к сертификату корневого центра сертификации (ЦС), который находится в корневом хранилище на контроллере домена. Затем KDC использует CryptoAPI для проверки цифровой подписи на подписанном аутентификаторе, который был включен в поля данных предварительной аутентификации. Контроллер домена проверяет подпись и использует открытый ключ из сертификата пользователя, чтобы доказать, что запрос исходит от владельца закрытого ключа, соответствующего открытому ключу.KDC также проверяет, является ли издатель доверенным, и отображается в хранилище сертификатов NTAUTH.

  13. Служба KDC получает информацию об учетной записи пользователя из AD DS. KDC создает TGT, основанный на информации учетной записи пользователя, которую он получает из AD DS. Поля данных авторизации TGT включают идентификатор безопасности пользователя (SID), SID для универсальных и глобальных групп домена, к которым принадлежит пользователь, и (в многодоменной среде) SID для любых универсальных групп, членом которых является пользователь.

  14. Контроллер домена возвращает TGT клиенту как часть ответа KRB_AS_REP.

    Примечание Пакет KRB_AS_REP состоит из:

    • Сертификат атрибута привилегий (PAC)
    • SID пользователя
    • SID любых групп, членом которых является пользователь
    • Заявка на услугу выдачи билетов (TGS)
    • Данные предварительной аутентификации

    TGT зашифрован с помощью главного ключа KDC, а сеансовый ключ зашифрован с помощью временного ключа.Этот временный ключ получен на основе RFC 4556. Используя CryptoAPI, временный ключ расшифровывается. В рамках процесса дешифрования, если закрытый ключ находится на смарт-карте, выполняется вызов подсистемы смарт-карт с использованием указанного CSP для извлечения сертификата, соответствующего общедоступному ключу пользователя. (Программные вызовы для сертификата включают CryptAcquireContext, CryptSetProvParam с PIN-кодом, CryptgetUserKey и CryptGetKeyParam.) После получения временного ключа SSP Kerberos расшифровывает ключ сеанса.

  15. Клиент проверяет ответ от KDC (время, путь и статус отзыва). Сначала он проверяет подпись KDC путем построения пути сертификации от сертификата KDC до доверенного корневого CA, а затем использует открытый ключ KDC для проверки подписи ответа.

  16. Теперь, когда получен TGT, клиент получает билет службы, который используется для входа на локальный компьютер.

  17. При успешном выполнении LSA сохраняет билеты и возвращает сообщение об успешном завершении LSALogonUser.После выдачи этого сообщения об успешном выполнении выбирается и устанавливается профиль пользователя для устройства, создается экземпляр обновления групповой политики и выполняются другие действия.

  18. После загрузки профиля пользователя служба распространения сертификатов (CertPropSvc) обнаруживает это событие, считывает сертификаты со смарт-карты (включая корневые сертификаты), а затем помещает их в хранилище сертификатов пользователя (MYSTORE).

  19. Обмен данными между CSP и менеджером ресурсов смарт-карты происходит по каналу LRPC.

  20. При успешной аутентификации сертификаты распространяются в хранилище пользователя асинхронно службой распространения сертификатов (CertPropSvc).

  21. При извлечении карты сертификаты из временного безопасного хранилища кэша удаляются. Сертификаты больше не доступны для входа, но остаются в хранилище сертификатов пользователя.

Примечание SID создается для каждого пользователя или группы в момент создания учетной записи пользователя или группы в локальной базе данных учетных записей безопасности или в AD DS.SID никогда не меняется, даже если учетная запись пользователя или группы переименована.

Для получения дополнительных сведений о протоколе Kerberos см. Microsoft Kerberos.

По умолчанию KDC проверяет, что сертификат клиента содержит EKU аутентификации клиента смарт-карты szOID_KP_SMARTCARD_LOGON. Однако, если он включен, Разрешить сертификаты без атрибута сертификата расширенного использования ключа. Параметр групповой политики позволяет KDC не требовать SC-LOGON EKU. SC-LOGON EKU не требуется для сопоставлений учетных записей, основанных на открытом ключе.

Сертификат KDC

Службы сертификации Active Directory предоставляют три типа шаблонов сертификатов:

В зависимости от конфигурации контроллера домена один из этих типов сертификатов отправляется как часть пакета AS_REP.

Требования к сертификату клиента и сопоставления

Требования к сертификату перечислены по версиям операционной системы Windows. Сопоставление сертификатов описывает, как информация из сертификата сопоставляется с учетной записью пользователя.

Требования к сертификату

Сертификат смарт-карты предъявляет особые требования к формату при использовании с Windows XP и более ранними операционными системами. Вы можете включить отображение любого сертификата для поставщика учетных данных смарт-карты.

Компонент Требования для Windows 8.1, Windows 8, Windows 7, Windows Vista и Windows 10 Требования для Windows XP
Расположение точки распределения CRL Не требуется Местоположение должно быть указано, в сети и доступно, например:
[1] Точка распространения CRL
Имя точки распространения:
Полное имя:
URL = http: // server1.contoso.com/CertEnroll/caname.crl
Использование ключа Цифровая подпись Цифровая подпись
Основные ограничения Не требуется [Тип темы = Конечная сущность, Ограничение длины пути = Нет] (необязательно)
Расширенное использование ключа (EKU) Идентификатор объекта входа со смарт-картой не требуется.

Примечание Если EKU присутствует, он должен содержать EKU для входа со смарт-картой.Сертификаты без EKU можно использовать для входа.

- Аутентификация клиента (1.3.6.1.5.5.7.3.2)
Идентификатор объекта аутентификации клиента требуется только в том случае, если для аутентификации SSL используется сертификат.

- Вход со смарт-картой (1.3.6.1.4.1.311.20.2.2)

Альтернативное имя субъекта Идентификатор электронной почты не требуется для входа с помощью смарт-карты. Другое имя: Имя участника = (UPN), например:
[email protected]
Идентификатор объекта UPN OtherName - 1.3.6.1.4.1.311.20.2.3.
Значение UPN OtherName должно быть строкой UTF8 в кодировке ASN1.
Тема Не требуется Отличительное имя пользователя. Это поле является обязательным расширением, но заполнение этого поля необязательно.
Обмен ключами (поле AT_KEYEXCHANGE) Не требуется для сертификатов входа с помощью смарт-карт, если включен параметр групповой политики. (По умолчанию параметры групповой политики не включены.) Не требуется
CRL Не требуется Не требуется
UPN Не требуется Не требуется
Банкноты Вы можете включить отображение любого сертификата для поставщика учетных данных смарт-карты. Есть два предопределенных типа закрытых ключей. Это ключи только для подписи (AT_SIGNATURE) и обмена ключами (AT_KEYEXCHANGE). Сертификаты входа со смарт-картой должны иметь тип закрытого ключа обмена ключами (AT_KEYEXCHANGE).

Сопоставление сертификатов клиента

Сопоставление сертификата основано на UPN, содержащемся в поле subjectAltName (SAN) сертификата. Также поддерживаются клиентские сертификаты, не содержащие информации в поле SAN.

SSL / TLS может сопоставлять сертификаты без SAN, и сопоставление выполняется с помощью атрибутов AltSecID в учетных записях клиентов. X509 AltSecID, который используется при аутентификации клиента SSL / TLS, имеет форму «X509: » <имя эмитента> «» <имя субъекта> . <Имя эмитента> и <Имя субъекта> берутся из сертификата клиента, с заменой '\ r' и '\ n' на ','.

Точки распространения списков отзыва сертификатов

UPN в поле альтернативного имени субъекта

Поля «Тема» и «Эмитент»

Это сопоставление учетных записей поддерживается KDC в дополнение к шести другим методам сопоставления.На следующем рисунке показана логика сопоставления учетных записей пользователей, используемая KDC.

Высокоуровневый поток обработки сертификатов для входа в систему

Объект сертификата анализируется для поиска содержимого для сопоставления учетных записей пользователей.

  • Когда имя пользователя предоставляется вместе с сертификатом, имя пользователя используется для поиска объекта учетной записи. Эта операция является самой быстрой, поскольку происходит сопоставление строк.

  • Когда предоставляется только объект сертификата, выполняется ряд операций для определения местоположения имени пользователя для сопоставления имени пользователя с объектом учетной записи.

  • Если информация о домене недоступна для аутентификации, по умолчанию используется локальный домен. Если для поиска должен использоваться какой-либо другой домен, необходимо предоставить подсказку имени домена для выполнения сопоставления и привязки.

Отображение на основе общих атрибутов невозможно, поскольку нет универсального API для извлечения атрибутов из сертификата. В настоящее время первый метод, который обнаруживает учетную запись, успешно останавливает поиск. Но ошибка конфигурации возникает, если два метода сопоставляют один и тот же сертификат разным учетным записям пользователей, когда клиент не предоставляет имя клиента через подсказки сопоставления.

На следующем рисунке показан процесс сопоставления учетных записей пользователей для входа в каталог путем просмотра различных записей в сертификате.

Логика обработки сертификата

Политика NT_AUTH лучше всего описывается в разделе параметра CERT_CHAIN_POLICY_NT_AUTH функции CertVerifyCertificateChainPolicy. Дополнительные сведения см. В разделе CertVerifyCertificateChainPolicy.

Вход со смарт-картой для одного пользователя с одним сертификатом в несколько учетных записей

Один сертификат пользователя может быть сопоставлен с несколькими учетными записями.Например, пользователь может войти в учетную запись пользователя, а также войти в систему как администратор домена. Сопоставление выполняется с использованием созданного AltSecID на основе атрибутов клиентских учетных записей. Дополнительные сведения о том, как оценивается это сопоставление, см. В разделе Требования и сопоставления сертификатов клиента.

Примечание Поскольку каждая учетная запись имеет свое имя пользователя, мы рекомендуем включить параметр Разрешить подсказку имени пользователя групповой политики ( X509HintsNeeded раздел реестра), чтобы предоставить дополнительные поля, которые позволяют пользователям вводить свои имена пользователей и домен. информация для входа.

Исходя из информации, содержащейся в сертификате, условия входа в систему следующие:

  1. Если UPN не указан в сертификате:

    1. Вход может происходить в локальном лесу или в другом лесу, если одному пользователю с одним сертификатом необходимо войти в разные учетные записи.

    2. Подсказка должна быть предоставлена, если сопоставление не является уникальным (например, если несколько пользователей сопоставлены с одним и тем же сертификатом).

  2. Если UPN присутствует в сертификате:

    1. Сертификат не может быть сопоставлен нескольким пользователям в одном лесу.

    2. Сертификат может быть сопоставлен нескольким пользователям в разных лесах. Чтобы пользователь мог войти в другие леса, ему должна быть предоставлена ​​подсказка X509.

Вход со смарт-картой для нескольких пользователей в одну учетную запись

Группа пользователей может войти в одну учетную запись (например, учетную запись администратора). Для этой учетной записи сертификаты пользователей сопоставлены таким образом, чтобы они были включены для входа.

Несколько различных сертификатов могут быть сопоставлены с одной учетной записью.Чтобы это работало правильно, сертификат не может иметь UPN.

Например, если Certificate1 имеет CN = CNName1, Certificate2 имеет CN = User1, а Certificate3 имеет CN = User2, AltSecID этих сертификатов может быть сопоставлен с одной учетной записью с помощью сопоставления имен пользователей и компьютеров Active Directory.

Вход со смарт-картой в лесу

Для сопоставления учетных записей для работы в лесах, особенно в случаях, когда в сертификате недостаточно информации, пользователь может ввести подсказку в форме имени пользователя, например домен \ пользователь , или полное имя участника-пользователя. например user @ contoso.com .

Примечание Чтобы поле подсказки отображалось при входе с помощью смарт-карты, на клиенте должен быть включен параметр Разрешить подсказку имени пользователя (раздел реестра X509HintsNeeded ).

Поддержка OCSP для PKINIT

Протокол статуса онлайн-сертификата

(OCSP), определенный в RFC 2560, позволяет приложениям получать своевременную информацию о статусе отзыва сертификата. Поскольку ответы OCSP малы и хорошо связаны, ограниченные клиенты могут захотеть использовать OCSP для проверки действительности сертификатов Kerberos на KDC, чтобы избежать передачи больших CRL и сэкономить полосу пропускания в ограниченных сетях.Дополнительные сведения о разделах реестра CRL см. В разделе «Групповая политика смарт-карт и параметры реестра».

KDC в Windows пытаются получить ответы OCSP и использовать их, когда они доступны. Это поведение нельзя отключить. CryptoAPI для OCSP кэширует ответы OCSP и состояние ответов. KDC поддерживает только ответы OCSP для сертификата подписавшего.

Клиентские компьютеры Windows пытаются запросить ответы OCSP и использовать их в ответах, когда они доступны. Это поведение нельзя отключить.

Требования к корневому сертификату смарт-карты для использования при входе в домен

Для работы входа в домене на основе смарт-карты сертификат смарт-карты должен соответствовать следующим условиям:

  • Корневой сертификат KDC на смарт-карте должен иметь точку распространения HTTP CRL, указанную в его сертификате.

  • Сертификат входа со смарт-картой должен иметь точку распространения HTTP CRL, указанную в сертификате.

  • В точке распространения CRL должен быть опубликован действительный CRL и дельта CRL, если применимо, даже если точка распространения CRL пуста.

  • Сертификат смарт-карты должен содержать одно из следующего:

    • Поле темы, которое содержит доменное имя DNS в отличительном имени. В противном случае разрешение на соответствующий домен не будет выполнено, поэтому службы удаленных рабочих столов и вход в домен с помощью смарт-карты завершатся ошибкой.

    • UPN, в котором доменное имя преобразуется в фактический домен. Например, если имя домена - Engineering.Corp.Contoso, UPN - имя пользователя @ engineering.corp.contoso.com. Если какая-либо часть имени домена не указана, клиент Kerberos не может найти соответствующий домен.

Хотя точки распространения HTTP CRL включены по умолчанию в Windows Server 2008, последующие версии операционной системы Windows Server не включают точки распространения HTTP CRL. Чтобы разрешить вход с помощью смарт-карты в домен в этих версиях, выполните следующие действия:

  1. Включите точки распространения списков отзыва сертификатов HTTP в центре сертификации.

  2. Перезапустите ЦС.

  3. Перевыпустите сертификат KDC.

  4. Выпустите или повторно выпустите сертификат входа со смарт-картой.

  5. Распространите обновленный корневой сертификат на смарт-карту, которую вы хотите использовать для входа в домен.

Обходной путь - включить Разрешить подсказку имени пользователя. Параметр групповой политики ( X509HintsNeeded раздел реестра), который позволяет пользователю предоставлять подсказку в пользовательском интерфейсе учетных данных для входа в домен.

Если клиентский компьютер не присоединен к домену или если он присоединен к другому домену, клиентский компьютер может разрешить домен сервера, только посмотрев на различающееся имя в сертификате, а не на UPN. Чтобы этот сценарий работал, для сертификата требуется полная тема, включая DC = , для разрешения имени домена.

Чтобы развернуть корневые сертификаты на смарт-карте для текущего присоединенного домена, вы можете использовать следующую команду:

certutil -scroots update

Для получения дополнительных сведений об этой опции для инструмента командной строки см. -SCRoots.

См. Также

Как работает вход со смарт-картой в Windows

.

Смотрите также