Добавить сертификат в браузер

Обновлено: 01.07.2024

Сертификат аутентифицирует устройство через SSL. Сертификат содержит открытый ключ, а устройство поддерживает соответствующий закрытый ключ, однозначно привязанный к открытому ключу.

ПРИМЕЧАНИЕ. В этом разделе обсуждается управление сертификатами с точки зрения браузера. Для получения информации о том, как клиент без браузера (например, cURL) использует сертификат, см. документацию для этого клиента.

Сертификат также содержит имя устройства, которое клиент SSL использует для идентификации устройства.

Сертификат имеет следующие поля:

Общее имя (CN)

Это имя обязательно. По умолчанию оно содержит полное имя хоста устройства.

Альтернативное имя

Имя является необязательным, но компания HP рекомендует указать его, так как оно поддерживает несколько имен (включая IP-адреса), чтобы свести к минимуму предупреждения браузера о несоответствии имен.

По умолчанию это имя содержит полное имя хоста (если используется DNS), короткое имя хоста и IP-адрес устройства.

ПРИМЕЧАНИЕ. Если вы вводите альтернативные имена, одно из них должно быть вашим вводом для общего имени .

Самоподписанный сертификат

Сертификат по умолчанию, созданный устройством, является самозаверяющим; он не выдан доверенным центром сертификации.

По умолчанию браузеры не доверяют самозаверяющим сертификатам, поскольку не знают о них заранее. Браузер отображает диалоговое окно с предупреждением; вы можете использовать его для проверки содержимого самозаверяющего сертификата перед его принятием.

Скачивание и импорт самоподписанного сертификата

Преимущество загрузки и импорта самоподписанного сертификата заключается в том, что вы можете обойти предупреждение браузера.

В безопасной среде никогда не следует загружать и импортировать самозаверяющий сертификат, если только вы не проверили сертификат и не знаете конкретное устройство и не доверяете ему.

В среде с более низким уровнем безопасности может быть допустимо загрузить и импортировать сертификат устройства, если вы знаете и доверяете создателю сертификата. Однако HP не рекомендует такую практику.

Microsoft Internet Explorer и Google Chrome используют общее хранилище сертификатов. Сертификат, загруженный с помощью Internet Explorer, можно импортировать с помощью Google Chrome и Internet Explorer. Точно так же сертификат, загруженный с помощью Google Chrome, также может быть импортирован обоими браузерами. Mozilla Firefox имеет собственное хранилище сертификатов, и его необходимо загружать и импортировать только с помощью этого браузера.

Процедуры загрузки и импорта самоподписанного сертификата различаются в зависимости от браузера.

Загрузка самоподписанного сертификата с помощью Microsoft Internet Explorer 9

Нажмите в области ошибки сертификата.

Нажмите Просмотреть сертификат .

Перейдите на вкладку "Подробности".

Проверьте сертификат.

Выберите Копировать в файл.

Используйте мастер экспорта сертификатов, чтобы сохранить сертификат в виде файла X.509 в кодировке Base-64.

Импорт самоподписанного сертификата с помощью Microsoft Internet Explorer 9

Выберите Инструменты → Свойства обозревателя.

Перейдите на вкладку "Контент".

Нажмите Сертификаты .

Нажмите «Импорт» .

Используйте мастер импорта сертификатов.

Когда вам будет предложено указать хранилище сертификатов, выберите «Поместить…».

Выберите хранилище доверенных корневых центров сертификации.

Проверка сертификата

Вы можете проверить подлинность сертификата, просмотрев его в браузере.

После входа в устройство выберите «Настройки» → «Безопасность», чтобы просмотреть сертификат. Запишите эти атрибуты для сравнения:

Сравните эту информацию с сертификатом, отображаемым браузером, то есть при просмотре вне устройства.

В этом подробном пошаговом руководстве объясняются различные подходы к добавлению доверенного центра сертификации в браузеры Chrome и Firefox.

Веб-браузеры используют Secure Sockets Layer (SSL) для шифрования трафика между клиентскими системами и серверными компьютерами для защиты конфиденциальных данных, таких как информация социального обеспечения и данные кредитной карты. Чтобы SSL-сертификат работал правильно, объект, выдавший сертификат (также известный как центр сертификации), также должен доверять веб-браузеру, что включает установку сертификата издателя, чтобы браузер знал, что издатель действителен и надежен.

Часто используемые центры сертификации, такие как Verisign, DigiCert и Entrust, автоматически становятся доверенными в большинстве браузеров. Однако, если вы используете ненадежный внутренний центр сертификации для создания SSL-сертификатов для внутренних ресурсов, ваш браузер будет раздражать вас при попытке подключения.

В веб-браузере Chrome отобразится нечто похожее на рис. A.

Рисунок А

Для этого необходимо нажать кнопку "Дополнительно" (рис. Б). Затем вы должны нажать «Перейти к [имя хоста], чтобы продолжить.

Рисунок Б

В браузере Firefox отобразится содержимое, похожее на рисунок C. Нажмите «Дополнительно», затем «Добавить исключение» (рис. D). Нажатие «Подтвердить исключение безопасности» разрешит доступ.

Рисунок C

Рисунок D

Однако, несмотря на то, что эти советы для обоих браузеров позволят вам попасть на сайт, вам придется делать это для КАЖДОГО сайта, для которого ваш внутренний ЦС выдал SSL-сертификат.

К счастью, есть лучший способ. Вы можете настроить свои системы так, чтобы они доверяли всем сертификатам центра сертификации, установив сертификат SSL этой системы в качестве доверенного корневого центра сертификации. Таким образом, Chrome и Firefox больше никогда не будут запрашивать доступ к какому-либо сайту с сертификатом этого ЦС.

Примечание. В этой статье основное внимание уделяется этим двум сторонним браузерам. следующая статья будет посвящена Internet Explorer/Microsoft Edge. Перечисленные здесь действия верны на момент написания этой статьи, но в будущих версиях этих браузеров могут использоваться другие параметры меню.

SEE: Набор для найма: директор по ИТ-аудиту (Tech Pro Research)

Получите сертификат ЦС

Во-первых, вам необходимо получить копию этого SSL-сертификата из центра сертификации в формате DER. Если ваш ЦС работает под управлением Windows, выполните следующие действия. (Если нет, вам нужно изучить детали для вашей конкретной операционной системы.)

Перейдите в Панель управления и откройте папку "Инструменты администрирования".

Дважды щелкните Центр сертификации (рис. E).

Рисунок E

Щелкните правой кнопкой мыши сервер и выберите "Свойства" (рис. F).

Рисунок F

Нажмите «Просмотреть сертификат» (рис. G).

Рисунок G

Перейдите на вкладку "Подробности" (рис. H).

Рисунок Н

Нажмите «Копировать в файл», затем нажмите «Далее» (рис. I).

Рисунок 1

Оставьте флажок "Двоичный кодированный DER X.509 (.CER)" и нажмите "Далее".

Укажите имя файла (например, c:\CA_certificate.cer) и нажмите "Далее", затем нажмите "Готово".

Сертификат будет сохранен в указанном вами месте.

Добавление сертификатов ЦС в качестве доверенного корневого центра в Chrome

Если вы используете Active Directory, лучше всего использовать групповую политику, чтобы все системы в вашей организации доверяли сертификатам ЦС. Chrome будет доверять сертификату, если он развернут таким образом.

Использование групповой политики для настройки систем Windows так, чтобы они доверяли вашему ЦС

Скопируйте сертификат на контроллер домена.

Перейдите в панель управления и откройте инструменты администрирования.

Откройте Управление групповыми политиками (рис. J).

Рисунок J

Щелкните правой кнопкой мыши свой домен и выберите "Создать объект групповой политики в этом домене и связать его здесь".

Укажите имя для объекта групповой политики, например Сертификат ЦС, и нажмите OK (рис. K).

Рисунок К

Щелкните правой кнопкой мыши новый объект групповой политики и выберите "Изменить".

Развернуть настройки Windows.

Развернуть настройки безопасности.

Развернуть Политики открытого ключа (рис. L).

Рисунок L

Нажмите правой кнопкой мыши "Доверенные корневые центры сертификации" и выберите "Импорт".

Нажмите «Обзор», затем найдите и выберите сертификат ЦС, который вы скопировали на этот компьютер.

Нажмите «Далее», нажмите «Готово», затем нажмите «ОК».

Теперь вы должны увидеть сертификат, показанный в правом поле (рисунок M).

Рисунок М

Если в вашей организации не используется Active Directory, вы не можете использовать групповую политику, но можете вручную добавить сертификат ЦС на хосте, чтобы доверять соответствующим SSL-сертификатам.

Обратите внимание, что вы можете добавить сертификат в Chrome, но рекомендуется добавить его в самой Windows, так как это повлияет на другие приложения, которые могут подключаться к веб-сайту.

ПОСМОТРЕТЬ: Руководство для ИТ-специалистов по эффективному управлению исправлениями (бесплатный PDF-файл TechRepublic)

Вручную настроить систему Windows так, чтобы она доверяла вашему ЦС

Сначала скопируйте сертификат ЦС на хост-компьютер, на котором вы хотите работать.

Откройте командную строку и запустите диспетчер сертификатов с помощью следующей команды (рис. N):

Рисунок N

В левом фрейме разверните узел "Доверенные корневые сертификаты", затем щелкните правой кнопкой мыши "Сертификаты" и выберите "Все задачи" > "Импорт" (рис. O).

Рисунок О

В мастере импорта сертификатов нажмите «Далее» (рис. P).

Рисунок P

Нажмите «Далее», затем нажмите «Обзор», затем найдите и выберите сертификат ЦС, который вы скопировали на этот компьютер (рис. Q).

Рисунок Q

Для параметра "Поместить все сертификаты в следующее хранилище" выберите "Доверенные корневые центры сертификации".

Нажмите «Далее», затем нажмите «Готово».

Нажмите "Да" в любом последнем запросе.

Добавление сертификатов ЦС в качестве доверенного корневого центра в Firefox

К сожалению, Firefox не доверяет сертификатам ЦС, которые Windows делает по умолчанию, поэтому инструкции в разделе выше будут работать, только если вы выполните это изменение настроек в Firefox:

В Firefox введите about:config в адресной строке.

Если будет предложено, примите все предупреждения.

Прокрутите вниз до записи security.enterprise_roots.enabled, для которой должно быть установлено значение False.

Дважды щелкните значение, чтобы изменить его на True.

Firefox должен немедленно активировать настройку.

Если вы не используете Active Directory/групповую политику, вы все равно можете настроить Firefox так, чтобы он доверял вашему центру сертификации.

Ручная настройка Firefox для доверия вашему ЦС

Скопируйте сертификат ЦС на хост-компьютер, на котором вы хотите работать.

Нажмите "Инструменты" (рис. R).

Рисунок R

Выберите «Параметры» и нажмите «Дополнительно», затем выберите вкладку «Сертификаты» (рис. S).

Рисунок S

Нажмите «Просмотреть сертификаты», затем выберите «Центры сертификации» (рис. T).

Рисунок Т

Нажмите «Импорт», затем перейдите к файлу CA и выберите его (рис. U).

Рисунок U

Отметьте все параметры Trust This CA, как показано выше, затем нажмите OK.

Теперь Firefox должен доверять центрам сертификации и перестать выдавать предупреждения безопасности.

Также читайте….

Ваши мысли

Применяли ли вы какие-либо из этих методов для добавления доверенного ЦС в Chrome и Firefox? Поделитесь своими советами и опытом с другими участниками TechRepublic.

К сожалению, процесс установки сертификата ЦС Burp для использования с Chrome немного отличается в зависимости от вашей операционной системы.

Установка сертификата ЦС Burp в Chrome — Windows и MacOS

В отличие от других браузеров, в Chrome нет собственного хранилища доверенных сертификатов. Это означает, что вы не устанавливаете сертификат ЦС Burp непосредственно в Chrome. Вместо этого вы устанавливаете сертификат ЦС Burp во встроенный браузер вашего компьютера (Internet Explorer в Windows, Safari в MacOS), и Chrome также автоматически использует этот сертификат.

Если вы хотите использовать Chrome с Burp, выполните процедуру установки сертификата ЦС в соответствующем браузере для вашей операционной системы:

Установка сертификата ЦС Burp в Chrome — Linux

В Windows и MacOS браузер Chrome выбирает хранилище доверенных сертификатов с вашего хост-компьютера. Однако в Linux вам потребуется установить сертификат через настройки браузера.

Запустив Burp, посетите http://burpsuite в Chrome. Вы должны перейти на относительно простую веб-страницу с надписью «Добро пожаловать в Burp Suite Professional». Если нет, обратитесь к странице устранения неполадок прокси-сервера. В зависимости от того, что пошло не так, вы можете оказаться там автоматически.

В правом верхнем углу страницы нажмите Сертификат ЦС, чтобы загрузить уникальный сертификат ЦС Burp. Обратите внимание, где вы сохранили это.

Откройте настройки браузера Chrome, открыв меню в правом верхнем углу браузера и нажав "Настройки".

В настройках Chrome найдите "Сертификаты", нажмите "Безопасность" и выберите параметр "Управление сертификатами".

В диалоговом окне "Управление сертификатами" перейдите на вкладку "Центры сертификации" и нажмите кнопку "Импорт".

Нажмите «Обзор» и выберите загруженный ранее файл cacert.der. Затем нажмите Открыть.

Выберите параметр Доверять этому сертификату для идентификации веб-сайтов.

Нажмите "ОК".

org-PortSwigger теперь должен появиться в списке центров сертификации.

В этом документе объясняется, как использовать Chrome в Mac OS X для импорта или экспорта существующего сертификата CPAC/электронной почты.

Экспорт сертификата из Chrome:

Откройте Google Chrome, затем нажмите значок "Меню", а затем "Настройки".

Прокрутите страницу настроек вниз и нажмите Показать дополнительные настройки.

Отобразится экран доступа к связке ключей. Chrome использует утилиту Keychain Access, встроенную в MAC OS, для управления цифровым сертификатом

В разделе "Связки ключей" слева выберите "Войти" и нажмите "Мои сертификаты" в столбце "Категория".

Выберите сертификат, который вы хотите экспортировать, и откройте «Файл» > «Экспортировать элементы».

В качестве формата файла выберите «Обмен личной информацией (.p12)». Создайте имя для файла, выберите папку для экспорта/сохранения и нажмите "Сохранить".

Далее создайте пароль для защиты экспортируемого файла. Это будет запрошено, если вы позже импортируете сертификат в другой браузер/почтовый клиент или устройство.

Нажмите "ОК" для завершения, и все! Вы успешно экспортировали свой сертификат личной аутентификации Comodo.

Импорт сертификата в Chrome:

Откройте Google Chrome, затем нажмите "Значок меню", а затем "Настройки".

Прокрутите вниз и нажмите ссылку Показать дополнительные настройки.

Откроется утилита Keychain Access. Chrome использует утилиту Keychain Access, встроенную в MAC OS, для управления цифровыми сертификатами.

В разделе "Связки ключей" слева выберите "Войти", затем "Файл" > "Импортировать элементы". '

Перейдите к местоположению сохраненного файла сертификата и нажмите "Открыть".

Введите пароль пары ключей и нажмите "ОК". Примечание. Если будет предложено доверять сертификатам, выданным вашим ЦС, автоматически, выберите параметр Всегда доверять, чтобы доверять и установить сертификат.

Сертификат будет установлен, и его можно будет просмотреть, нажав «Категория» > «Мои сертификаты» в утилите «Связка ключей».

Читайте также: