Возможно, сертификаты центра, выдавшего ваш сертификат, не установлены на компьютере

Обновлено: 21.11.2024

Чтобы успешно установить пакет драйверов с тестовой подписью на тестовом компьютере, компьютер должен иметь возможность проверить подпись. Для этого на тестовом компьютере должен быть установлен сертификат центра сертификации (ЦС), выдавшего тестовый сертификат пакета, в хранилище сертификатов доверенных корневых центров сертификации компьютера

Сертификат центра сертификации должен быть добавлен в хранилище сертификатов доверенных корневых центров сертификации только один раз. После добавления его можно использовать для проверки подписи всех драйверов или пакетов драйверов, которые были подписаны цифровой подписью с помощью сертификата, перед установкой пакета драйверов на компьютер.

Параметр /add указывает, что сертификат в файле ContosoTest.cer должен быть добавлен в указанное хранилище сертификатов.

Параметр /s указывает, что сертификат должен быть добавлен в системное хранилище.

Параметр /r указывает местоположение системного хранилища: currentUser или localMachine.

Root указывает имя целевого хранилища для локального компьютера, которым может быть либо root, чтобы указать хранилище сертификатов доверенных корневых центров сертификации, либо trustedpublisher, чтобы указать хранилище сертификатов доверенных издателей.

Успешный запуск приводит к следующему выводу:

После того как сертификат скопирован в хранилище сертификатов доверенных корневых центров сертификации (корневое хранилище локального компьютера, не хранилище пользователя), вы можете просмотреть его с помощью оснастки сертификатов консоли управления (MMC). -in, как описано в разделе Просмотр сертификатов тестирования.

Вы также можете просмотреть сертификат в командной строке:

Или из PowerShell:

Инструмент Certmgr.exe является частью Windows SDK и обычно устанавливается в папку C:\Program Files (x86)\Windows Kits\10\bin\ \x86\certmgr.exe .

Дополнительную информацию о CertMgr и его аргументах командной строки см. в разделе CertMgr.

Дополнительную информацию об установке тестовых сертификатов см. в разделе Установка тестового сертификата на тестовом компьютере.

Веб-браузеры выводят следующие предупреждения при доступе к сайту, на котором установлен сертификат безопасности (для шифрования данных SSL/TLS), который не может быть проверен браузером.

Internet Explorer: "Сертификат безопасности, представленный этим веб-сайтом, не был выдан доверенным центром сертификации".

Firefox 3: "www.example.com использует недействительный сертификат безопасности. Сертификат не является доверенным, поскольку сертификат эмитента неизвестен". или "www.example.com использует недействительный сертификат безопасности. Сертификат не является доверенным, поскольку он самозаверяющий".

В браузеры встроен список доверенных поставщиков сертификатов (например, DigiCert). Для некоторых сайтов поставщик сертификатов отсутствует в этом списке. В этом случае браузер предупредит вас о том, что центр сертификации (ЦС), выдавший сертификат, не является доверенным. Эта проблема также может возникнуть, если на сайте есть самозаверяющий сертификат. Хотя это предупреждение является довольно общим для Internet Explorer, Firefox 3 различает сертификат, выданный самим сервером (самозаверяющий сертификат), и другой тип ненадежного сертификата.

Если у вас есть сертификат DigiCert и вы получаете эту ошибку, устраните проблему, используя разделы ниже. Вам не нужно ничего устанавливать на клиентских устройствах/приложениях, чтобы SSL-сертификат DigiCert работал правильно. Первый шаг — использовать наш тестер SSL-сертификатов, чтобы найти причину ошибки.

Получите сертификаты SSL Plus всего за 188 долларов США в год

Самоподписанные сертификаты

Одной из возможных причин этой ошибки является то, что на сервере установлен самозаверяющий сертификат. Браузеры не доверяют самозаверяющим сертификатам, поскольку они генерируются вашим сервером, а не ЦС. Вы можете определить, является ли сертификат самозаверяющим, если ЦС не указан в поле эмитента в нашем тестере SSL-сертификатов.

Если вы обнаружили на своем сервере самозаверяющий сертификат после установки сертификата DigiCert, мы рекомендуем вам ознакомиться с инструкциями по установке и убедиться, что вы выполнили все шаги.

Если вы выполнили все шаги установки, но проблема не устранена, вам следует сгенерировать новый CSR на своем сервере (см. инструкции по созданию CSR), а затем повторно выпустить сертификат в своей учетной записи DigiCert, войдя в систему и щелкнув заказ. номер, а затем нажмите на ссылку повторного выпуска.

Проблемы промежуточного сертификата

Самая распространенная причина ошибки "сертификат не доверенный" заключается в том, что установка сертификата не была правильно завершена на сервере (или серверах), на котором размещен сайт. Используйте наш тестер SSL-сертификатов, чтобы проверить наличие этой проблемы. В тестере при незавершенной установке отображается один файл сертификата и красная цепочка с разрывом.

Чтобы решить эту проблему, установите файл промежуточного сертификата (или цепного сертификата) на сервер, на котором размещен ваш веб-сайт. Для этого войдите в консоль управления DigiCert, щелкните номер заказа, а затем выберите ссылку для загрузки сертификата. Этот файл должен называться DigiCertCA.crt. Затем следуйте инструкциям по установке для вашего сервера, чтобы установить файл промежуточного сертификата.

После импорта промежуточного сертификата снова проверьте установку с помощью тестера сертификатов SSL. В тестере незавершенная установка показывает несколько файлов сертификатов, соединенных непрерывной синей цепочкой.

Проблемы промежуточного сертификата (дополнительно)

Если вы получаете сообщение об ошибке при использовании нашего тестера SSL-сертификатов, вы используете сервер Windows, а эмитент вашего сертификата указан как "DigiCert High Assurance EV CA-3", инструкции по устранению неполадок при установке SSL см. в этой статье. .

Ниже приведены еще несколько предупреждающих сообщений для разных браузеров.

Internet Explorer 6: «Информация, которой вы обмениваетесь с этим сайтом, не может быть просмотрена или изменена другими лицами. Однако существует проблема с сертификатом безопасности сайта. Сертификат безопасности был выпущен компанией, которой вы не доверяете. Посмотреть сертификат, чтобы определить, хотите ли вы доверять центру сертификации. Продолжить?"

Internet Explorer 7: "Сертификат безопасности, представленный этим веб-сайтом, не был выпущен доверенным центром сертификации. Проблемы с сертификатом безопасности могут указывать на попытку обмануть вас или перехватить любые данные, которые вы отправляете на сервер".

Версия для печати

Как узнать, прикреплен ли к моему сертификату закрытый ключ в Windows?

Проблема

Как узнать, прикреплен ли к моему сертификату закрытый ключ в Windows?

Решение

Чтобы проверить, правильно ли установлен ваш сертификат в Windows, вам потребуется просмотреть сертификат в оснастке "Сертификат" в консоли управления Microsoft (MMC).

Часть I. Открытие MMC

  1. На веб-сервере нажмите Пуск > Выполнить
  2. В текстовом поле введите mmc и нажмите OK.
  3. В строке меню MMC выберите «Консоль» (в IIS 5.0) или «Файл» (в IIS 6.0, 7.0) и «Добавить/удалить оснастку», затем нажмите «Добавить».
  4. В списке оснасток выберите «Сертификаты» и нажмите «Добавить».
  5. Выберите учетную запись компьютера и нажмите "Далее".
  6. Выберите «Локальный компьютер» (компьютер, на котором запущена эта консоль) и нажмите «Готово».
  7. В окне списка оснастки нажмите "Закрыть"
  8. В окне "Добавить/удалить оснастку" нажмите "ОК".

Часть II. Просмотр сертификата

  1. На левой панели под корневой консолью разверните Сертификаты (локальный компьютер).
  2. Разверните личную папку.
  3. Нажмите папку «Сертификаты» под личной папкой.
  4. В средней панели вы должны увидеть список сертификатов. Если вы не видите никаких сертификатов, это может означать, что вы неправильно установили сертификат или не завершили процесс установки сертификата.
  5. Дважды щелкните сертификат, который хотите просмотреть.
  6. В появившихся окнах сертификата вы должны увидеть примечание с символом ключа под полем Действителен с, которое говорит: "У вас есть закрытый ключ, соответствующий этому сертификату". Если вы этого не видите, ваш закрытый ключ не привязан к этому сертификату, что указывает на проблему с установкой сертификата.

Юридическая информация


DigiCert — ведущий в мире поставщик высоконадежных цифровых сертификатов, предоставляющий надежные SSL, частные и управляемые развертывания PKI, а также сертификаты устройств для развивающегося рынка Интернета вещей. С момента основания почти пятнадцать лет назад нами двигала идея найти лучший способ. Лучший способ обеспечить аутентификацию в Интернете. Лучший способ адаптировать решения к потребностям наших клиентов.

© DigiCert, Inc., 2022. Все права защищены. DigiCert и CertCentral являются зарегистрированными товарными знаками DigiCert, Inc. в США и других странах. Другие названия могут быть товарными знаками соответствующих владельцев.

Примечание редактора. Первоначально этот блог был опубликован в сентябре 2016 года. Он был проверен на предмет ясности и точности менеджером по продукции GlobalSign Себастьяном Шульцем и соответствующим образом обновлен.

Иногда даже ветераны PKI сталкиваются с трудностями при заказе или установке сертификатов SSL/TLS. Это не говорит об отсутствии знаний — скорее, эти процессы могут привести к ранее невиданным ошибкам. Заказ нужного сертификата, создание CSR, его загрузка, установка и проверка на предмет отсутствия проблем — все это области, в которых можно столкнуться с ошибками.

Мы хотим максимально упростить процесс от начала до конца. По этой причине мы собрали наши основные запросы и проблемы, с которыми клиенты могут столкнуться во время заказа или установки. Мы надеемся, что этот блог поможет вам избежать этих ловушек и сократить время до завершения, но если у вас есть проблема, которую вы не можете решить с помощью этого блога, вы все равно можете просмотреть базу знаний службы поддержки GlobalSign или отправить заявку.

Выбор правильного метода утверждения

Примечание. При заказе SSL-сертификата в нашей системе нельзя изменить выбранные методы подтверждения.

Электронная почта утверждающего


При размещении заказа вы можете выбрать один из следующих адресов электронной почты, чтобы мы могли подтвердить ваш домен:

На выбранный адрес будет отправлено электронное письмо, и после его получения вы сможете щелкнуть ссылку, чтобы подтвердить, что домен принадлежит вам.

Примечание. Убедитесь, что вы выбрали правильный вариант, иначе вам придется отменить заказ и создать новый.

ПРИМЕЧАНИЕ. Специальную статью о поддержке, которая поможет вам пройти проверку домена по электронной почте утверждающего, можно найти здесь.

Наша система проверки сможет обнаружить метатег на странице и подтвердить право собственности на домен. Однако наша система не может проверить домен, если он перенаправляет на другую страницу, поэтому обязательно отключите все перенаправления.

Запись TXT DNS

Примечание. Специальную статью о поддержке, которая поможет вам пройти проверку домена с помощью записи DNS TXT, можно найти здесь.

Отсутствует закрытый ключ

Для заказа сертификата SSL/TLS требуется отправить CSR, а для создания CSR необходимо создать закрытый ключ. Ваш закрытый ключ, соответствующий вашему сертификату, обычно находится в том же каталоге, в котором был создан CSR. Если закрытый ключ больше не хранится на вашем компьютере (утерян), сертификат необходимо будет повторно выпустить с новым CSR и, следовательно, с вновь созданным закрытым ключом.

Примеры сообщений об ошибках/ситуаций, указывающих на отсутствие закрытого ключа:

Каким бы удобным это ни казалось, мы не рекомендуем использовать онлайн-инструменты для создания CSR. У них также будет ваш закрытый ключ, а это означает, что безопасность вашего сервера может быть скомпрометирована в будущем.

Примечание. Мы предлагаем множество руководств, которые помогут вам создать закрытые ключи и CSR.

Совместимость с сетью хранения данных

При наличии альтернативного имени субъекта или сертификата SAN перед оформлением заказа следует учесть несколько моментов:

Информацию о совместимости различных типов SAN с различными продуктами см. в таблице ниже:

Недействительный CSR

Если вы создаете CSR продления, вам необходимо убедиться, что общее имя совпадает с именем исходного CSR. Новый CSR не будет таким же, поскольку закрытый ключ должен быть другим. Вы не можете снова использовать тот же CSR, даже если это кажется удобным.

Вы можете протестировать CSR с помощью декодера на вкладке Managed SSL ваших учетных записей GlobalSign. Если у вас его нет, вы можете безопасно использовать онлайн-ресурсы для проверки своего CSR, если вы не делитесь своим закрытым ключом, вам не нужно беспокоиться об их безопасности. Если в начале/конце запроса сертификата есть лишние пробелы или слишком много или слишком мало дефисов, CSR станет недействительным.
-----НАЧАТЬ ЗАПРОС СЕРТИФИКАТА-----
-----КОНЕЦ ЗАПРОСА СЕРТИФИКАТА-----

Введенное вами обычное имя не соответствует базовому варианту

Ошибка дублирования ключа

Эта ошибка появляется, когда вы используете закрытый ключ, который уже использовался. Закрытый ключ и CSR должны использоваться только ОДИН РАЗ.

Вы должны сгенерировать новый закрытый ключ и CSR на своем сервере и повторно отправить новый CSR. Причина, по которой SSL/TLS-сертификаты имеют максимальную действительность (и этот сертификат неоднократно обрывается), заключается в стремлении обеспечить частый обмен ключами, что снижает риск необнаруженной компрометации.

Состояние заказа уже изменено

Это сообщение об ошибке обычно появляется, когда срок действия вашего заказа истек.Вы должны начать процесс заказа с нуля и сообщить нам, если проблема не устранена. Если это так, нам нужно провести дополнительные проверки вашего аккаунта.

ПРИМЕЧАНИЕ. Это сообщение об ошибке также может быть вызвано неправильно указанными SAN. Например, если CN — «www.domain.com», а поддомен указан как «domain.domain2.com», что указывает на отдельное полное доменное имя. Ознакомьтесь с приведенной выше информацией о SAN для получения разъяснений.

Введенные параметры SAN не соответствуют параметрам SAN исходного сертификата

Эта проблема может возникнуть по нескольким причинам:

  • Вы добавили пробел до или после SAN.
  • В предоставленной вами информации есть опечатка.
  • Вы вводите общее имя (CN) сертификата как SAN. В соответствии с правилами мы всегда будем добавлять ваше обычное имя в качестве SAN, его указывать не нужно.
  • Вы неправильно вводите SAN как поддомен, мультидоменное имя, внутреннюю SAN или IP-адрес. Вам необходимо выбрать правильный тип SAN, который применяется к SAN. Также проверьте приведенную выше информацию о различных SAN.

Сертификат не является доверенным в веб-браузере

После установки сертификата вы все еще можете получать сообщения о ненадежных ошибках в некоторых браузерах. Это происходит, когда не установлен промежуточный сертификат или по какой-то причине корневой сертификат GlobalSign отсутствует у клиента, подключающегося к вашему серверу. Этого не должно произойти, если только клиент не подвергся серьезной подделке — наши корневые сертификаты встроены практически во все современные операционные системы и приложения.

Выполнение проверки работоспособности домена выявит отсутствующие промежуточные сертификаты. Если промежуточный сертификат отсутствует, используйте следующую ссылку, чтобы определить, какой промежуточный сертификат необходим в зависимости от типа продукта (DomainSSL, OrganizationSSL, ExtendedSSL, AlphaSSL и т. д.).

Сообщение об ошибке «Переключиться с конкурента»

При выборе варианта «перейти от конкурента» в нашей системе заказа сертификатов вы можете увидеть следующее сообщение об ошибке:

Не удается получить доступ к серверу, на котором размещен ваш существующий сертификат, для подтверждения его действительности. Получите копию существующего сертификата и вставьте ее в поле ниже. Все конкурентные переключатели подлежат проверке группой проверки GlobalSign на соответствие доверенным эмитентам в хранилищах доверия браузеров. Если ваш сертификат не выдан действительным корневым сертификатом ЦС, он подлежит аннулированию и/или отзыву.

Это сообщение об ошибке появляется, когда ваш текущий сертификат больше не действителен. Этот вариант следует выбирать только в том случае, если вы переключаетесь до истечения срока действия сертификата другой компании.
Это сообщение об ошибке также может появиться, если ваш текущий сертификат не установлен в домене. В этом случае наша система не сможет определить действительность, поэтому вам следует снять этот флажок и выполнить обычный процесс оформления заказа.

Если у вас есть действительный сертификат конкурента, который не установлен на сервере, вы можете вставить свой CSR в текстовое поле с помощью параметра «Переключиться с конкурента». См. изображение ниже.

Наконец, это сообщение об ошибке может появиться, если вы установили сертификат на свой сервер, но CN не совпадает с именем домена. Например, это может произойти с сертификатом SAN. В этом случае просто снимите флажок «Перейти от конкурента» и выполните обычный процесс оформления заказа.

Если вы переходите на GlobalSign, это прекрасно! Если вы считаете, что имеете право на 30 дней бесплатного действия, но не можете пройти этот процесс, просто свяжитесь с нами, и член команды свяжется с вами.

Для получения дополнительной помощи по общим запросам на сертификаты SSL посетите страницу Общие SSL на нашем сайте поддержки.

Читайте также: