Как извлечь сертификаты из нерабочих окон

Обновлено: 04.07.2024

Автоматическая защита вашего веб-сайта, репутации и посетителей от киберугроз.

Решения для управления PKI:

  • SSL для веб-серверов и балансировщиков нагрузки
  • Подпись и шифрование электронной почты S/MIME
  • Защита сетевых и мобильных устройств
  • Управление цифровой идентификацией
  • Защита контейнеров и кода DevOps
  • Подписание кода для разработки приложений
  • Управление ключами в общедоступном облаке

30-дневная бесплатная пробная версия Sectigo Certificate Manager

Управление сертификатами для автоматической установки на все устройства и приложения

  • Платформа веб-безопасности Sectigo
    • Ежедневный мониторинг безопасности
    • Исправление ядра и плагинов CMS
    • Устранение вредоносных программ
    • Anycast DNS
    • Ежедневное резервное копирование веб-сайта
    • Повышение скорости веб-сайта
    • Брандмауэр веб-приложения
    • Соответствие PCI

    Подключить партнерский портал

    Разработано, чтобы предоставить вам все необходимое для успеха и развития вашего бизнеса в Sectigo. Создайте учетную запись, чтобы получить доступ к Партнерскому ресурсному центру, Университету Sectigo и другим ресурсам!

    Локальная и облачная инфографика

    Облачные вычисления стали неотъемлемой частью любой корпоративной среды. Запуск PKI в облачной/мультиоблачной среде теперь является новой нормой. Но как устаревший локальный подход сочетается с новой современной облачной и мультиоблачной моделью?

    Sectigo — ведущий поставщик решений для цифровой идентификации в области кибербезопасности, включая сертификаты TLS/SSL, DevOps, IoT и управление PKI корпоративного уровня, а также многоуровневую веб-безопасность. Являясь крупнейшим в мире коммерческим центром сертификации с более чем 700 000 клиентов и более чем 20-летним опытом онлайн-доверия, Sectigo сотрудничает с организациями любого размера, чтобы предоставлять автоматизированные общедоступные и частные решения PKI для защиты веб-серверов, доступа пользователей, подключенных устройств и приложений. Компания Sectigo, получившая признание за отмеченные наградами инновации и лучшую в своем классе глобальную поддержку клиентов, обладает проверенной производительностью, необходимой для защиты цифрового ландшафта сегодня и завтра.

    Быстрые ссылки

    Ресурсы

    Компания

    Юридическая информация

    • Условия использования
    • Политика конфиденциальности
    • Примечание о конфиденциальности CCPA
    • Политика в отношении файлов cookie
    • Портал конфиденциальности
    • Юридическая информация

    © 2022 Sectigo Limited. Все права защищены.

    Sectigo® и связанный с ним логотип являются товарными знаками Sectigo, зарегистрированными на федеральном уровне, а другие товарные знаки, используемые здесь, принадлежат их соответствующим владельцам и могут быть зарегистрированы.

    Восстановление сертификатов из старой установки Windows/критический процесс завершился синим экраном

    У меня были некоторые обновления, ожидающие перезагрузки или что-то в этом роде, а затем у меня отключилось питание. Когда я снова запустил компьютер, у меня появился синий экран, связанный с «ошибкой управления памятью» (я думаю, что либо моя оперативная память, либо мой Windows ssd умирают, потому что всякий раз, когда я запускаю свой компьютер из спящего режима или из выключения, у меня есть 50/50 шанс получить этот синий экран управления памятью.
    После этого всякий раз, когда я пытаюсь загрузиться, он выдает мне синий экран «Critical Process Died», после чего он запускает автоматическое восстановление, которое, очевидно, терпит неудачу.

    Я зашел в консоль cmd в режиме восстановления, но мне не удалось исправить все, что я читал в Интернете (dism, sfc и т. д.), а файл srttrail.txt не показывает ничего ценного. , за исключением того, что он отключается (очень неформатирован) в «Проверить наличие ожидающих установки пакетов».

    Я не могу перечислить установленные пакеты с помощью dism, а команда "revertpendingactions" по какой-то причине не работает.

    Итак, я установил свежую установку win10 на другой диск, и у меня все еще есть все мои сломанные файлы Windows.
    Теперь по какой-то причине все мои файлы зашифрованы. Я предусмотрительно сделал резервную копию своих сертификатов (у меня их было 2), но по какой-то причине к ним также «отказано в доступе».

    Теперь я должен повторить: у меня все еще есть все мои старые файлы Windows, просто они не загружаются должным образом. Как я могу восстановить сертификат, который использовался для шифрования всех моих файлов? Я не могу загрузиться в него, все, к чему у меня есть доступ, это среда восстановления.

    Заранее спасибо!

    EDIT: мне удалось найти копию одного из файлов .pfx (который не был зашифрован), и мне удалось восстановить около 90% моих файлов, но мне все еще нужно восстановить другой сертификат.

    Будем признательны за помощь в этом начинании!

    EDIT2: я также обнаружил, что вы можете получить сертификаты из "E:\Users\ИМЯ_ПОЛЬЗОВАТЕЛЯ\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates", и я перенес их в папку с текущими сертификатами, но это не удается чтобы использовать их с ошибкой «KEYSETS NOT FOUND». Я также обнаружил, что в "E:\Users\ИМЯ_ПОЛЬЗОВАТЕЛЯ\AppData\Roaming\Microsoft" есть еще 2 папки: Protect и Crypto, я также пытался скопировать содержимое внутри, но безуспешно.
    Очевидно, они зашифрованы с помощью имени пользователя + идентификатора машины и некоторой соли. Я не знаю, как их расшифровать в таком случае, кто-нибудь знает?

    Как восстановить сертификат из сломанного (автономного) окна Windows

    Если у вас есть Windows Box, который вы не можете запустить, возможно, диск сломан, но у вас есть сертификаты, которые вы хотите восстановить, вы можете сделать это, следуя этому руководству. Я буду использовать сочетание инструментов Linux и Windows, вам нужно уметь работать с компьютерами, это не простой процесс, так как сертификат (PFX), который использует Windows, имеет общедоступную часть сертификата и частную часть, зашифрованную с помощью DPAPI.

    Необходимые условия

    • Предполагается, что вы извлекаете файлы из Windows 10. Если вы используете другую версию Windows, некоторые пути и расположение файлов могут отличаться.
    • Вы должны уметь читать файловую структуру сломанного/старого диска Windows.
    • Я буду использовать некоторые инструменты для Linux, а другие для Windows. Я думаю, вы можете делать все это из Windows, но мне удобнее делать это так.
    • Вам необходимо знать пароль учетной записи Windows, для которой был установлен сертификат. (не PIN-код HELLO, а пароль)

    Восстановить сертификат

    Извлеките сертификаты

    Для каждого сертификата требуется два файла: общедоступная и частная часть. В этом примере предполагается, что у вас на компьютере только один сертификат. Если у вас их несколько, вам нужно найти способ сопоставить их, каждую общедоступную часть. с соответствующим частным.

    Вы должны скопировать эти файлы со сломанного компьютера с Windows, например, учетные данные (пользователь:пароль) пользователя, у которого мы хотим получить сертификат, это kabutor:supergreen

    Часть открытого сертификата

    Это находится в:

    Этот файл имеет общедоступную часть сертификата, но у него есть заголовок, мы удалим его с помощью binwalk, чтобы узнать, где начинается заголовок, и dd, чтобы скопировать его в файл, позже мы можем использовать openssl, чтобы узнать, кому принадлежит сертификат .

    276 — это размер заголовка, который мы хотим удалить

    Частный сертификат

    Нам нужно найти учетные данные, хранящиеся на компьютере, и мастер-ключ, которым они были зашифрованы, скопировать все из (важно, почти все эти файлы и каталоги скрыты!):

    Чтобы узнать нужный нам мастер-ключ и для расшифровки сертификата мы будем использовать mimkatz, мы спрашиваем файл учетных данных, какой мастер-ключ нам нужен для его расшифровки

    Как только мы узнаем, мы расшифруем мастер-ключ с помощью пароля и SID пользователя, если SID находится на пути (длинное число, например S-1-5-21-XXXX ), mimikatz выберет автоматически, если нет вам нужно указать его с помощью /SID:

    Теперь расшифруйте закрытый ключ в файл

    Это создаст файл в папке mimikatz с нашим закрытым ключом dpapi_signature_capi_0_PvkTmp~b8fc158b-cea4-451d-b917-79822d349ddd.sign.rsa.pvk

    Создать сертификат PFX

    Теперь с помощью openssl мы пересобираем и конвертируем сертификаты в один PFX, только команды, никаких объяснений не требуется

    Если у вас есть несколько серверов Windows, которым необходимо использовать один и тот же сертификат SSL, например, в среде балансировщика нагрузки или при использовании сертификатов SSL с подстановочными знаками или UC, вы можете экспортировать сертификат в файл .pfx и импортировать его на новый Windows сервер. Это также может понадобиться при смене хостинговой компании. Мы рассмотрим точный процесс с пошаговыми инструкциями в этой статье. При необходимости вы можете скопировать SSL-сертификат на сервер Apache или другой тип сервера.

    Мы предполагаем, что вы уже успешно установили SSL-сертификат на один веб-сервер Windows. Выполните следующие действия, чтобы переместить или скопировать этот рабочий сертификат на новый сервер:

    1. Экспортируйте сертификат SSL с сервера вместе с закрытым ключом и любыми промежуточными сертификатами в файл .pfx.
    2. Импортируйте сертификат SSL и закрытый ключ на новый сервер.
    3. Настройте свои веб-сайты для использования их в IIS.

    На сервере Windows вам потребуется экспортировать сертификат из консоли MMC в файл .pfx с вашим закрытым ключом. Затем вы можете скопировать этот файл .pfx на новый сервер Windows и импортировать его. Следующие снимки экрана сделаны на компьютере с Windows Server 2008, но инструкции также подходят для более старых (Windows Server 2003) и более новых версий (Windows Server 2016).

    Экспорт сертификата из консоли MMC Windows

    Примечание. Эти инструкции помогут вам экспортировать сертификат с помощью консоли MMC. Если у вас Windows Server 2008 или более поздней версии (IIS7 или более поздней версии), вы также можете импортировать и экспортировать сертификаты непосредственно в разделе «Сертификаты сервера» в IIS. Нажмите здесь, чтобы скрыть или показать изображения

    < бр />


    < бр />

    < бр />

    < бр />

    < бр />

    < бр />

    < бр />

    < бр />

    < бр />

    < бр />

    < бр />

    < бр />

    < бр />

    Импортируйте сертификат в консоль MMC Windows

    После экспорта сертификата с исходного сервера вам потребуется скопировать созданный файл .pfx на новый сервер и следовать этим инструкциям по импорту.

    < бр />

    < бр />

    < бр />

    < бр />

    < бр />

    < бр />

    < бр />

    < бр />

    < бр />

    < бр />

    < бр />

    < бр />

    < бр />

    Назначение сертификата SSL

    После импорта файла .pfx вам нужно либо назначить сертификат в IIS, включить сертификат для необходимых вам служб в Exchange, либо выбрать сертификат в любом другом используемом вами программном обеспечении. Поскольку IIS является наиболее распространенным местом для использования сертификатов SSL, мы включили инструкции по назначению веб-сайта для использования нового сертификата в IIS 6 (Windows Server 2003). Если у вас Windows Server 2008, просто следуйте обязательной части инструкций по установке SSL-сертификата IIS 7.

    1. В IIS щелкните правой кнопкой мыши веб-сайт, которому требуется сертификат, и выберите "Свойства".
    2. Перейдите на вкладку "Безопасность каталога" и нажмите кнопку "Сертификат сервера", чтобы запустить мастер сертификатов сервера.
    3. Если у вас уже есть сертификат на этом веб-сайте, вам потребуется удалить его, а затем снова запустить мастер.
    4. Нажмите "Назначить существующий сертификат" и нажмите "Далее".
    5. Выберите только что импортированный новый сертификат и нажмите "Далее".
    6. Нажмите «Готово». Вам может потребоваться перезапустить IIS, чтобы сертификат начал работать с назначенным веб-сайтом.

    Обзор

    Несмотря на то, что процесс состоит из нескольких этапов, перенос SSL-сертификата с одного сервера Windows на другой — несложная задача. Он включает в себя экспорт рабочего SSL-сертификата из консоли MMC в файл .pfx, а затем импорт этого файла в консоль MMC нового или дополнительного сервера. Затем вам нужно будет назначить или привязать сертификат к веб-сайту в IIS, чтобы начать использовать его на веб-сайте. Если вам нужно перенести сертификат SSL на сервер другого типа или с него, выберите тип сервера на нашей главной странице импорта/экспорта сертификата SSL

    Читайте также: