Сертификат UC Министерства финансов должен быть установлен в хранилище доверенных сертификатов Windows
Обновлено: 06.07.2024
Загрузить сертификат сервера и промежуточные сертификаты. Выполните следующую процедуру для каждого из промежуточных сертификатов, а затем для сертификата сервера.
<р>1. Выберите «Пуск» > «Выполнить». <р>2. Введите «mmc», чтобы отобразить консоль управления Microsoft. <р>3. Нажмите «Файл» > «Добавить/удалить оснастку». Появится окно добавления или удаления оснастки. <р>4. Выберите Сертификаты и нажмите Добавить. <р>5. Выберите «Учетная запись компьютера» и нажмите «Далее». <р>6. Выберите «Локальный компьютер» и нажмите «Готово» > «ОК». <р>7. Разверните папку Сертификаты слева. <р>8. Щелкните правой кнопкой мыши Промежуточные центры сертификации и выберите Все задачи > Импорт. <р>9. В мастере импорта сертификатов нажмите "Далее". <р>10. Нажмите Обзор и найдите файл промежуточного сертификата. <р>12. Нажмите «Открыть», а затем нажмите «Далее». <р>13. Выберите Поместить все сертификаты в следующее хранилище. <р>14. Нажмите "Обзор", выберите "Промежуточные центры сертификации" и нажмите "Далее". <р>15. Нажмите Готово и закройте окно консоли. <р>16. Выполните одно из следующих действий в зависимости от версии Microsoft Exchange.Для Microsoft Exchange 2010:
a) Выберите Пуск > Программы > Microsoft Exchange 2010 > Консоль управления Exchange.
b) Нажмите «Управление базами данных», а затем нажмите «Конфигурация сервера».
c) Выберите свой сертификат в списке сертификатов Exchange.
d) Нажмите «Завершить ожидающий запрос» на панели «Действия».
e) Нажмите кнопку Обзор, чтобы найти файл сертификата. Расширение файла может быть .txt или .crt.
f) Нажмите «Открыть», а затем нажмите «Завершить». Примечание. Если вы получаете сообщение об ошибке «Исходные данные повреждены или неправильно закодированы в Base64», проверьте поле «Самоподписано». Если это «True», обновите консоль, нажав F5. Если он по-прежнему отображает «True», создайте новый CSR и повторно создайте свой сертификат.
h) В меню "Действия" нажмите "Назначить службы сертификату".
i) Выберите серверы и нажмите "Далее".
j) Выберите службы, которые вы хотите назначить сертификату, а затем нажмите "Далее".
k) Нажмите «Назначить», а затем нажмите «Готово».
Для Microsoft Exchange 2007:
a) Выберите Пуск > Microsoft Exchange Server 2007 > Командная консоль Exchange.
b) Введите следующую команду, чтобы импортировать сертификат: Import-ExchangeCertificate -Path C:CertificateFile.crt, где «C:CertificateFile.crt» — это полный путь и имя файла вашего сертификата.
c) Скопируйте отпечаток сертификата.
d) Введите приведенную ниже команду, чтобы активировать сертификат: Enable-ExchangeCertificate -Thumbprint paste_thumbprint_here -Services «SMTP, IMAP, IIS», где «paste_thumbprint_here» — это отпечаток, скопированный на предыдущем шаге. Укажите службы, на которые распространяется этот сертификат, в кавычках. Допустимыми идентификаторами службы являются SMTP, POP, IMAP, UM и IIS. Не включайте неиспользуемые службы.
e) Закройте окно командной консоли Exchange.
<р>1. Откройте диспетчер служб IIS или настраиваемую MMC, содержащую оснастку служб IIS. <р>2. Разверните Информационные службы Интернета и просмотрите веб-сайт, на котором у вас есть ожидающий запрос сертификата. <р>3. Щелкните правой кнопкой мыши имя сайта и выберите "Свойства". <р>4. Перейдите на вкладку "Безопасность каталога" > "Безопасная связь" и нажмите "Сертификат сервера". <р>5. В мастере сертификатов веб-сервера нажмите «Далее». <р>6. Выберите Обработать ожидающий запрос и установить сертификат и нажмите Далее. <р>7. Введите расположение файла ответов сертификата и нажмите кнопку Далее. <р>8. Прочтите итоговый экран, чтобы убедиться, что вы обрабатываете правильный сертификат, и нажмите «Далее». <р>9. Прочитайте экран подтверждения и нажмите «Далее». <р>10. С помощью диспетчера служб Интернета откройте свойства виртуального каталога Exchange. <р>11. Перейдите на вкладку "Безопасность каталога" > "Безопасная связь" и нажмите "Изменить".Чтобы установить промежуточный сертификат:
<р>1. Выберите «Пуск» > «Выполнить». <р>2. Введите «mmc», чтобы открыть окно консоли управления (MMC). <р>3. Нажмите «Файл» > «Добавить/удалить оснастку». Отобразится окно «Добавить или удалить оснастку». <р>4. В доступных оснастках выберите «Сертификаты» и нажмите «Добавить». <р>5. Выберите «Учетная запись компьютера» и нажмите «Далее». <р>6. Выберите «Локальный компьютер» и нажмите «Готово» > «ОК». <р>7. Вернитесь в MMC. <р>8. Щелкните правой кнопкой мыши Промежуточные центры сертификации и выберите Все задачи > Импорт. <р>9. Импортируйте Affirmtrust_Networking.crt, а затем повторите описанные выше шаги, чтобы импортировать Trend_Micro_CA.crt. После импорта эти сертификаты должны появиться в разделе Промежуточные центры сертификации.Чтобы установить сертификат сервера:
<р>1. Выберите Пуск > Администрирование > Диспетчер информационных служб Интернета (IIS). <р>2.Щелкните имя сервера на левой панели. <р>4. Введите имя файла сертификата и нажмите OK. Сертификат сервера появится в списке сертификатов сервера. <р>5. Выберите веб-сайт, на который вы хотите установить сертификат, и щелкните значок Настройки SSL. <р>8. В списке SSL-сертификатов выберите имя, указанное на шаге 4, и нажмите OK. <р>9. Нажмите «Закрыть», чтобы закрыть окно «Привязки сайта». <р>10. Перезапустите свой веб-сайт.Чтобы установить сертификат сервера OV:
<р>1. Загрузите сертификат сервера на защищаемый веб-сервер. <р>2. Перейдите в Панель управления > Администрирование > Диспетчер служб Интернета. <р>3. Щелкните правой кнопкой мыши веб-сайт по умолчанию или веб-сайт, на котором был создан CSR, и выберите "Свойства". <р>4. На панели "Безопасность каталога" нажмите "Сертификат сервера", после чего запустится мастер сертификатов, а затем нажмите "Далее". <р>5. Выберите Обработать ожидающий запрос и установить сертификат и нажмите Далее. <р>6. Нажмите «Обзор» и найдите свой сертификат SSL (your_domain.cer), а затем нажмите «Далее». <р>7. Следуйте инструкциям мастера. <р>8. Проверьте свой сертификат, посетив безопасный URL-адрес в браузере, отличном от Internet Explorer. Internet Explorer может проверить, является ли сайт доверенным, без промежуточных сертификатов. Если другие браузеры определят сайт как ненадежный, импортируйте промежуточные сертификаты. <р>9. Создайте резервную копию сертификата и закрытого ключа на случай сбоя сервера.1. Получите файлы корневого, промежуточного и серверного сертификатов из консоли AffirmTrust.
<р>2. Откройте Диспетчер ключей. <р>3. Щелкните ключ первичного SSL-сертификата IIS в каталоге www. <р>4. Нажмите «Установить сертификат ключа» и введите пароль. <р>5. Добавьте IP-адрес и номер порта при появлении запроса на привязку. Если на веб-сервере не установлены другие SSL-сертификаты IIS, выберите Любой назначенный.Примечание. Если на одном и том же веб-сервере установлено несколько сертификатов, для каждого из них требуется отдельный IP-адрес, поскольку SSL не поддерживает заголовки узлов.
<р>6. Нажмите «Компьютеры» > «Зафиксировать изменения» или закройте «Диспетчер ключей» и нажмите «Да», когда будет предложено зафиксировать изменения. Новый сертификат основного SSL-сервера IIS успешно установлен. <р>7. Создайте резервную копию ключа в Диспетчере ключей.а) Нажмите Ключ > Экспорт > Файл резервной копии.
б) Сохраните файл резервной копии на жестком диске и на другом сервере. <р>8. Перезапустите сервер с IIS 4. <р>9. Выполните одно из следующих действий в зависимости от вашего пакета обновления:
Для пакета обновлений 3:
a) Установите промежуточный и корневой сертификаты в Internet Explorer, открыв каждый сертификат и нажав «Установить сертификат».
b) Используйте этот пакетный файл ЦС IIS для переноса всех корневых сертификатов. из Internet Explorer в хранилище сертификатов IIS.
Для Service Pack 4 или более поздней версии:
a) Дважды щелкните корневой сертификат, чтобы открыть мастер установки.
b) Выберите «Поместить все сертификаты в следующее хранилище» и нажмите «Обзор».
c) Нажмите Показать физические хранилища > Доверенные корневые центры сертификации > Локальный компьютер.
d) Нажмите OK > Далее > Готово.
e) Повторите эти шаги для промежуточного сертификата, но поместите его в промежуточные центры сертификации.
a) В консоли SSL AffirmTrust выберите Защита > Сертификаты.
b) Нажмите на обычное имя сертификата, чтобы открыть страницу сведений.
c) Нажмите кнопку Site Seal и скопируйте HTML-код печати сайта.
d) Вставьте код в HTML-код своего веб-сайта в том месте, где должна отображаться печать сайта.
Примечание. Internet Explorer 7 также требует включения фильтра фишинга, чтобы адресная строка стала зеленой.
<р>9. Перезапустите IIS, чтобы использовать новый сертификат. Если это не работает, выключите и перезапустите сервер.Чтобы импортировать промежуточные сертификаты:
Примечание. Этот процесс не требуется для успешной установки. Однако вы можете выполнить эту процедуру, если получите предупреждение о том, что сертификат принадлежит компании, которой вы не доверяете.
<р>1.Загрузите и сохраните промежуточные сертификаты (.crt) на своем сервере. <р>2. Дважды щелкните сертификат, чтобы открыть диалоговое окно Сертификат. <р>3. На вкладке «Общие» нажмите «Установить сертификат» и нажмите «Далее». <р>4. Выберите «Поместить все сертификаты в следующее хранилище» и нажмите «Обзор». <р>5. Установите флажок Показать физические магазины. <р>6. Разверните папку Промежуточные центры сертификации и выберите Локальный компьютер. <р>7. Нажмите OK > Далее, а затем нажмите Готово. <р>8. Выполните эту процедуру для каждого промежуточного сертификата (AffirmTrust_Networking.crt и Trend_Micro_CA.crt). Возможно, вам потребуется перезагрузить сервер.Чтобы установить сертификат Unified Communications или групповой сертификат на нескольких сайтах IIS:
<р>1. Настройте заголовки хоста SSL, а не назначайте каждый сайт для использования сертификата. <р>2. Убедитесь, что имена всех сайтов IIS, на которых вы используете сертификат, защищены сертификатом Unified Communications или Wildcard. <р>1. Загрузите файл сертификата сервера на сервер Office Communications Server, где вы создали CSR. <р>2. Выберите «Пуск» > «Программы» > «Администрирование» > «Office Communications Server 2007». <р>3. Перейдите на сервер Enterprise Edition. <р>4. Щелкните правой кнопкой мыши сервер Office Communications Server, на котором был создан CSR, выберите Сертификаты и нажмите кнопку Далее. <р>5. Выберите Обработать ожидающий запрос и установить сертификат. <р>6. Перейдите к файлу сертификата сервера и нажмите «Далее», чтобы установить сертификат. <р>7. Закройте мастер сертификатов. Теперь ваш SSL-сертификат установлен и готов к использованию. <р>1. Скопируйте сертификат сервера на защищаемый сервер. <р>2. В разделе «Администрирование» откройте «Диспетчер служб Интернета». <р>3. Щелкните правой кнопкой мыши Веб-сайт по умолчанию или веб-сайт, на котором был создан CSR, и выберите Свойства. <р>4. На панели "Безопасность каталога" нажмите "Сертификат сервера", чтобы запустить мастер сертификатов, а затем нажмите "Далее". <р>5. Выберите Обработать ожидающий запрос и установите сертификат. Нажмите «Далее». <р>6. Найдите сертификат SSL и нажмите «Далее». <р>7. Следуйте инструкциям мастера. Теперь сертификат установлен.Если у вас есть какие-либо вопросы или проблемы, обратитесь в отдел поддержки AffirmTrust для получения дополнительной помощи:
Начиная с Windows Vista, диспетчер Plug and Play (PnP) выполняет проверку подписи драйвера во время установки устройства и драйвера. Однако диспетчер PnP может успешно проверить цифровую подпись, только если верны следующие утверждения:
Сертификат подписи, использованный для создания подписи, был выпущен центром сертификации (ЦС).
Соответствующий корневой сертификат ЦС установлен в хранилище сертификатов Доверенные корневые центры сертификации. Таким образом, хранилище сертификатов доверенных корневых центров сертификации содержит корневые сертификаты всех центров сертификации, которым доверяет Windows.
По умолчанию хранилище сертификатов доверенных корневых центров сертификации настроено на набор общедоступных центров сертификации, отвечающих требованиям программы корневых сертификатов Microsoft. Администраторы могут настроить набор доверенных ЦС по умолчанию и установить собственный частный ЦС для проверки программного обеспечения.
Примечание. Маловероятно, что частный ЦС будет доверенным за пределами сетевой среды.
Наличие действительной цифровой подписи гарантирует подлинность и целостность пакета драйвера. Однако это не означает, что конечный пользователь или системный администратор безоговорочно доверяет издателю программного обеспечения. Пользователь или администратор должны решать, следует ли устанавливать или запускать приложение в каждом конкретном случае, основываясь на своих знаниях об издателе программного обеспечения и приложении. По умолчанию издатель считается доверенным, только если его сертификат установлен в хранилище сертификатов доверенных издателей.
Имя хранилища сертификатов доверенных корневых центров сертификации — root. Вы можете вручную установить корневой сертификат частного ЦС в хранилище сертификатов доверенных корневых центров сертификации на компьютере с помощью инструмента CertMgr. .
Примечание. Политика проверки подписи драйверов, используемая диспетчером PnP, требует, чтобы корневой сертификат частного центра сертификации был предварительно установлен в локальной версии хранилища сертификатов корневых центров сертификации. Дополнительные сведения см. в разделе Хранилища сертификатов локального компьютера и текущего пользователя.
Хранилище сертификатов доверенных издателей содержит информацию о сертификатах Authenticode (подписи) доверенных издателей, установленных на компьютере. Чтобы протестировать и отладить пакеты драйверов в вашей организации, ваша компания должна установить сертификаты Authenticode, которые используются для подписи пакетов драйверов в хранилище сертификатов доверенных издателей.Установите сертификаты Authenticode на каждый компьютер в рабочей группе или организационном подразделении, где выполняется подписанный код. Имя хранилища сертификатов доверенных издателей — trustedpublisher
.Если сертификат Authenticode издателя находится в хранилище сертификатов доверенных издателей, Windows устанавливает пакет драйвера, подписанный сертификатом в цифровой форме, без запроса пользователя (автоматическая установка). Установив сертификаты Authenticode в хранилище сертификатов Trusted Publishers, вы можете автоматизировать установку пакета драйверов в различных системах, которые используются для внутреннего тестирования и отладки.
Эта практика автоматической установки пакетов драйверов рекомендуется только для ваших внутренних систем. Никогда не следует применять эту практику для любого пакета драйверов, который распространяется за пределами вашей организации.
Хранилище сертификатов доверенных издателей отличается от хранилища сертификатов доверенных корневых центров сертификации тем, что доверять можно только сертификатам end-entity. Например, если для тестовой подписи пакета драйверов использовался сертификат Authenticode из ЦС, добавление этого сертификата в хранилище сертификатов доверенных издателей не настраивает все сертификаты, выданные этим ЦС, как доверенные. Каждый сертификат необходимо добавить в хранилище сертификатов Trusted Publishers отдельно.
Используйте групповую политику для распространения сертификатов среди подразделений организации в сети. В этом случае администратор добавляет правило сертификата в групповую политику, чтобы установить доверие к издателю.
Вы можете вручную установить сертификаты Authenticode в хранилище сертификатов Trusted Publishers на компьютере с помощью инструмента CertMgr.
Политика проверки подписи драйверов, используемая Plug and Play, требует, чтобы сертификат Authenticode ЦС был предварительно установлен в версии хранилища сертификатов доверенных издателей на локальном компьютере. Дополнительные сведения см. в разделе Хранилища сертификатов локального компьютера и текущего пользователя.
Для импорта сертификатов сторонних ЦС в хранилище Enterprise NTAuth можно использовать два метода. Этот процесс необходим, если вы используете сторонний ЦС для выдачи сертификатов входа в систему с помощью смарт-карты или контроллера домена. Публикуя сертификат ЦС в хранилище Enterprise NTAuth, администратор указывает, что ЦС доверяет выпуск сертификатов этих типов. ЦС Windows автоматически публикуют свои сертификаты ЦС в этом хранилище.
Применимо к: Windows Server 2016, Windows Server 2012 R2
Исходный номер базы знаний: 295663
Подробнее
Хранилище NTAuth — это объект службы каталогов Active Directory, расположенный в контейнере конфигурации леса. Отличительное имя облегченного протокола доступа к каталогам (LDAP) похоже на следующий пример:
CN=NTAuthCertificates,CN=Службы открытых ключей,CN=Services,CN=Configuration,DC=MyDomain,DC=com
Сертификаты, публикуемые в хранилище NTAuth, записываются в многозначный атрибут cACertificate. Существует два поддерживаемых метода добавления сертификата к этому атрибуту.
Способ 1. Импорт сертификата с помощью инструмента PKI Health Tool
Инструмент работоспособности PKI (PKIView) — это компонент оснастки MMC. Он отображает состояние одного или нескольких ЦС Microsoft Windows, в состав которых входит PKI. Он доступен как часть инструментов Windows Server 2003 Resource Kit.
PKIView собирает информацию о сертификатах ЦС и списках отзыва сертификатов (CRL) от каждого ЦС на предприятии. Затем он проверяет сертификаты и CRL, чтобы убедиться, что они работают правильно. Если они работают неправильно или находятся на грани сбоя, PKIView предоставляет подробное предупреждение или некоторую информацию об ошибке.
PKIView отображает состояние центров сертификации Windows Server 2003, установленных в лесу Active Directory. Вы можете использовать PKIView для обнаружения всех компонентов PKI, включая подчиненные и корневые ЦС, связанные с корпоративным ЦС. Инструмент также может управлять важными контейнерами PKI, такими как доверие корневого ЦС и хранилища NTAuth, которые также содержатся в разделе конфигурации леса Active Directory. В этой статье обсуждается последняя функциональность. Дополнительные сведения о PKIView см. в документации по средствам Microsoft Windows Server 2003 Resource Kit.
Вы можете использовать PKIView для управления ЦС Windows 2000 и ЦС Windows Server 2003. Чтобы установить инструменты Windows Server 2003 Resource Kit, на вашем компьютере должна быть установлена операционная система Windows XP или более поздней версии.
Чтобы импортировать сертификат ЦС в хранилище Enterprise NTAuth, выполните следующие действия:
Экспортируйте сертификат центра сертификации в файл .cer. Поддерживаются следующие форматы файлов:
- Двоичный кодированный файл X.509 (.cer) DER
- X.509 (.cer) в кодировке Base-64
Установите инструменты Windows Server 2003 Resource Kit. Для пакета инструментов требуется Windows XP или более поздняя версия.
Запустите консоль управления Microsoft (Mmc.exe), а затем добавьте оснастку PKI Health:
- В меню "Консоль" выберите "Добавить/удалить оснастку".
- Выберите вкладку "Автономный", а затем нажмите кнопку "Добавить".
- В списке оснасток выберите Enterprise PKI.
- Нажмите "Добавить", а затем "Закрыть".
- Нажмите "ОК".
Щелкните правой кнопкой мыши Enterprise PKI и выберите "Управление контейнерами AD".
Выберите вкладку NTAuthCertificates, а затем нажмите кнопку Добавить.
В меню "Файл" выберите "Открыть".
Найдите и выберите сертификат ЦС, а затем нажмите кнопку ОК, чтобы завершить импорт.
Способ 2. Импорт сертификата с помощью Certutil.exe
Certutil.exe — это утилита командной строки для управления ЦС Windows. В Windows Server 2003 вы можете использовать Certutil.exe для публикации сертификатов в Active Directory. Certutil.exe устанавливается вместе с Windows Server 2003. Он также доступен как часть пакета средств администрирования Microsoft Windows Server 2003.
Чтобы импортировать сертификат ЦС в хранилище Enterprise NTAuth, выполните следующие действия:
Экспортируйте сертификат центра сертификации в файл .cer. Поддерживаются следующие форматы файлов:
- Двоичный кодированный файл X.509 (.cer) DER
- X.509 (.cer) в кодировке Base-64
В командной строке введите следующую команду и нажмите клавишу ВВОД:
Содержимое хранилища NTAuth кэшируется в следующей папке реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates
Этот раздел реестра должен автоматически обновляться, чтобы отражать сертификаты, опубликованные в хранилище NTAuth в контейнере конфигурации Active Directory. Это происходит при обновлении параметров групповой политики и при выполнении клиентского расширения, отвечающего за автоматическую регистрацию. В определенных сценариях, например при задержке репликации Active Directory или при включенном параметре политики «Не регистрировать сертификаты автоматически», реестр не обновляется. В таких случаях выполните следующую команду вручную, чтобы вставить сертификат в раздел реестра:
Читайте также: