Установка сертификата в хранилище «Личные»
Установка сертификата в хранилище «Личные»
Некоторым торговым площадкам и госпорталам для работы с ЭП нужно, чтобы сертификат вашей подписи был установлен в хранилище «Личные». Рекомендуем для этого запустить мастер настройки рабочего места и следовать инструкциям на экране.
Он не только установит сертификаты, но и подготовит компьютер к работе с ЭП. Поместить сертификат в хранилище «Личные» можно и вручную. Порядок действий зависит от операционной системы.
Из КриптоПро CSP
- Подключите носитель с ЭП к компьютеру.
- Откройте «Пуск/КРИПТО-ПРО/КриптоПро CSP».
- Перейдите на вкладку «Сервис» и нажмите «Просмотреть сертификаты в контейнере».
Сертификат установлен в хранилище «Личные».
Из ViPNet CSP
- Подключите носитель с ЭП к компьютеру.
- Откройте «Пуск/ViPNet/ViPNet CSP.
- В разделе «Контейнеры ключей» выберите контейнер и нажмите «Свойства».
Как убедиться, что сертификат установлен
- установленных личных сертификатов.
- Найдите свой сертификат и дважды кликните его левой кнопкой мыши.
- Убедитесь, что на вкладке «Общие» указан статус «Есть закрытый ключ для этого сертификата».
- Что делать, если у сертификата отображается статус:
- Подключите носитель с ЭП к компьютеру.
- Откройте программу Launchpad и введите в строке поиска слово «терминал» (terminal).
- Запустите Терминал (Terminal).
Если хотите посмотреть, какие сертификаты установлены в хранилище «Личные» используйте команду /opt/cprocsp/bin/certmgr -list
Разберем на примере дистрибутива семейства Debian (x64).
- Подключите носитель с ЭП к компьютеру.
- Откройте программу Терминал (Terminal).
- Введите команду /opt/cprocsp/bin/amd64/csptestf -absorb -certs
Все найденные сертификаты будут установлены в хранилище «Личные». - Убедитесь, что в строке «ErrorCode» отобразилось «0x00000000». Это значит, что сертификат установлен.
Если хотите посмотреть, какие сертификаты установлены в хранилище «Личные» используйте команду /opt/cprocsp/bin/amd64/certmgr -list -store uMy
Установка сертификатов в операционную систему
Реализация имущества в полном соответствии с законодательством
Закупки 44-ФЗ
Торговые процедуры по 44-ФЗ
Закупки 223-ФЗ
Торговые процедуры по 223-ФЗ
Электронный магазин РАД.Маркет
Специализированная секция для проведения закупок малого объема
Установка корневых сертификатов и списка отозванных сертификатов Удостоверяющего центра
Для установки данных сертификатов, необходимо в обозревателе Internet Explorer перейти в «Свойства браузера» («Свойства обозревателя»). Данный пункт находится во вкладке «Сервис» (либо изображение шестеренки в новых версиях обозревателя – ) (Рис. 1).
Также можно открыть «Свойства браузера» («Свойства обозревателя») через «Панель управления» (с отображением мелких значков) Вашей операционной системы.
Рис. 1 Расположение раздела «Сервис» — «Свойства браузера» в Internet Explorer.
Далее выберите вкладку «Содержание» и нажмите на кнопку «Сертификаты» (Рис. 2).
Рис. 2 «Содержание» — «Сертификаты»
1) В открывшемся окне следует выбрать используемый сертификат и дважды нажать на него (Рис. 3).
Рис. 3 Список сертификатов, установленных на компьютере
2) Далее в новом окне перейти на вкладку «Состав» (Рис. 4, №1). Для установки списка отозванных сертификатов найти строку «Точки распространения сп…» (Рис. 4, №2).
В информационном окне, расположенном ниже, в графе «Полное имя» скопировать при помощи клавиатуры (горячих клавиш Ctrl+C) ссылку (начиная с букв “http” до конца строки) (Рис. 4, №3).
При работе в окне «Сертификат» обычные способы копирования не работают. Для копирования применяйте горячие клавиши клавиатуры (Ctrl+C – копировать, Ctrl+V – вставить).
Рис. 4 Состав сертификата
3) В окне Internet Explorer, в адресную строку вставляется ранее скопированная ссылка (Рис. 5).
Рис. 5 Адресная строка интернет-обозревателя
4) После перехода по ссылке браузер предложит три варианта действия для данного объекта. Необходимо выбрать пункт «Сохранить» (Рис. 6).
Рис. 6 Окно загрузки
5) После загрузки нажмите на «Открыть папку». Откроется окно Windows, где загруженный файл будет подсвечен синим цветом.
6) Для установки списка отозванных сертификатов на ранее загруженном файле необходимо нажать правой кнопкой мыши и выбрать строку «Установить список отзыва (CRL)» (Рис. 7, №2).
При установке корневого сертификата выбираем строку «Установить сертификат».
Рис. 7 Установка списка отзыва
7) В появившемся окне нажмите копку «Далее».
8) Из предложенных вариантов выберите «Поместить все сертификаты в следующее хранилище», и нажмите «Обзор» (Рис. 8).
Рис. 8 Выбор места установки сертификата
9) В новом появившемся окне поставьте галочку напротив надписи «Показать физические хранилища» (Рис. 9, №1). Откройте раздел «Доверенные корневые центры сертификации» (Рис. 9, №2).
Рис. 9 Выбор хранилища сертификата
Если в составе раздела есть «Локальный компьютер» выберите его и нажмите «ОК». В противном случае выберите весь раздел.
10) Нажмите кнопку «Далее», а затем «Готово».
11) Дождитесь информационного сообщения «Импорт успешно выполнен».
Повторите аналогичную процедуру с пункта 2.4 для установки Корневого сертификата удостоверяющего центра. На данном этапе вместо «Точек распространения..» выберите «Доступ к информации о центрах…».
Установка сертификатов в операционную систему
На данный момент работа через защищённое соединение c устройств Apple не поддерживается.
На данный момент работа через защищённое соединение c Android-устройств не поддерживается.
Обновление сертификатов (для всех версий Windows)
Шаг 1. Удаление старых сертификатов из контейнера cacer.p7b
В проводнике наберите в адресной строке адрес: «mmc.exe» (без кавычек) и нажмите Enter.
Откроется окно консоли управления Microsoft.
В основном меню консоли, выберите «Файл» — «Добавить или удалить оснастку». Будет открыто окно «Добавление и удаление оснасток».
В левом списке выберите пункт «Сертификаты» и нажмите на кнопку «Добавить». Будет открыто окно «Оснастка диспетчера сертификатов».
Нажмите на кнопку «Готово». Окно «Оснастка диспетчера сертификатов» будет закрыто, Вы вернетесь в окно консоли управления Microsoft.
В левом списке раскройте дерево «Сертификаты — текущий пользователь». Раскройте пункт «Доверенные корневые центры сертификации». Выберите пункт «Сертификаты». В центральной части будут отображены сертификаты выбранного раздела.
В списке сертификатов (центральная часть) найдите сертификаты, выданные УЦ КРИПТО-ПРО (6 сертификатов). Выделите найденные сертификаты и нажмите правую кнопку мыши. В контекстном меню выберите пункт «Удалить».
Будет открыто окно предупреждения. Сертификаты КРИПТО-ПРО не являются ключевыми и могут быть удалены без последствий. Нажмите «Да».
Перед удалением каждого из сертификатов контейнера будет выводиться окно подтверждения на удаление. Во всех окнах следует нажать кнопку «Да»
Шаг 2. Удаление старого сертификата безопасности для веб-узла сroInform.ru
В левом списке раскройте дерево «Сертификаты — текущий пользователь». Раскройте пункт «Другие пользователи». Выберите пункт «Сертификаты».
Нажмите правой кнопкой мыши на сертификате ssl.croinform.cer. В контекстном меню выберите пункт «Удалить».
Появится окно предупреждения. Нажмите «Да». Сертификат ssl.croinform.cer будет удален.
Обратите внимание:
После удаления необходимо установить новые версии сертификатов. Для установки сертификатов, воспользуйтесь инструкцией для Вашей операционной системы:
Как установить сертификат подписи через КриптоПро CSP
Часто к нам обращаются с вопросом, как установить сертификат через КриптоПpo CSP. Ситуации бывают разные: сменился директор или главбух, получили новый сертификат в удостоверяющем центре и т.п. Раньше все работало, а теперь нет. Рассказываем, что нужно делать, чтобы установить личный цифровой сертификат на компьютер.
Вы можете установить личный сертификат двумя способами:
1. Через меню КриптоПро CSP «Просмотреть сертификаты в контейнере»
2. Через меню КриптоПро CSP «Установить личный сертификат»
Если на рабочем месте используется операционная система Windows 7 без SP1, то устанавливать сертификат следует по рекомендациям варианта № 2.
Вариант № 1. Устанавливаем через меню «Просмотреть сертификаты в контейнере»
Чтобы установить сертификат:
1. Выберите Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажмите кнопку “Просмотреть сертификаты в контейнере”.
2. В открывшемся окне нажмите на кнопку “Обзор”. Выберите контейнер и подтвердите свой выбор кнопкой ОК.
3. В следующем окне нажмите “Далее”.
Если появится сообщение “В контейнере закрытого ключа отсутствует открытый ключ шифрования”, перейдите к установке цифрового сертификата по варианту № 2.
4. Если на вашем компьютере установлена версия “КриптоПро CSP” 3.6 R2 (версия продукта 3.6.6497) или выше, то в открывшемся окне нажмите на кнопку “Установить”. После этого согласитесь с предложением заменить сертификат.
Если кнопка “Установить” отсутствует, в окне “Сертификат для просмотра” нажмите кнопку “Свойства”.
5. В окне “Сертификат” — > вкладка “Общие” нажмите на кнопку “Установить сертификат”.
6. В окне “Мастер импорта сертификатов” выберите “Далее”.
7. Если у вас уставлена версия “КриптоПро CSP” 3.6, то в следующем окне достаточно оставить переключатель на пункте “Автоматически выбрать хранилище на основе типа сертификата” и нажать “Далее”. Сертификат будет автоматически установлен в хранилище “Личные”.
8. В следующем окне нажмите “Далее”, затем “Готово” и дождитесь сообщения об успешной установке сертификата: “Импорт успешно выполнен”.
Вариант 2. Устанавливаем через меню «Установить личный сертификат»
Для установки вам понадобится, собственно, сам файл сертификата (с расширением .cer). Он может находиться, например, на дискете, на токене или на жестком диске компьютера.
Чтобы установить сертификат:
1. Выберите Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажмите кнопку “Установить личный сертификат”.
2. В окне “Мастер установки личного сертификата” нажмите на кнопку “Далее”. В следующем окне, чтобы выбрать файл сертификата, нажмите “Обзор”.
3. Укажите путь к сертификату и нажмите на кнопку “Открыть”, затем “Далее”.
4. В следующем окне вы можете просмотреть информацию о сертификате. Нажмите “Далее”.
5. На следующем шаге введите или укажите контейнер закрытого ключа, который соответствует выбранному сертификату. Для этого воспользуйтесь кнопкой “Обзор”.
6. Выбрав контейнер, нажмите “Далее”.
7. Дальше вам необходимо выбрать хранилище, куда будет установлен сертификат. Для этого в окне “Выбор хранилища сертификатов” нажмите на кнопку “Обзор”.
Если у вас установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, поставьте флаг “Установить сертификат в контейнер”.
8. Выберите хранилище “Личные” и нажмите ОК.
9. Хранилище вы выбрали. Теперь нажмите “Далее”, затем — “Готово”. После этого может появиться сообщение:
В этом случае нажмите “Да”.
10. Дождитесь сообщения об успешной установке личного сертификата на компьютер.
Создание и экспорт сертификатов для подключений "точка — сеть" с помощью PowerShell
Для аутентификации подключений типа "точка — сеть" используются сертификаты. Эта статья поможет создать самозаверяющий корневой сертификат, а также сертификаты клиента с помощью PowerShell в Windows 10 или Windows Server 2016. Если вы ищете инструкции для других сертификатов, ознакомьтесь со статьями о создании сертификатов с помощью средств Linux или MakeCert.
Действия, описанные в этой статье, относятся к Windows 10 или Windows Server 2016. Командлеты PowerShell, которые используются для создания сертификатов, являются частью операционной системы и не работают в других версиях Windows. Компьютер с Windows 10 или Windows Server 2016 требуется только для создания сертификатов. После создания сертификатов их можно отправить или установить в любой поддерживаемой клиентской операционной системе.
При отсутствии доступа к компьютеру с Windows 10 или Windows Server 2016 для создания сертификатов можно использовать MakeCert. Сертификаты, созданные с помощью другого метода, можно установить в любой поддерживаемой клиентской операционной системе.
Создание самозаверяющего корневого сертификата
Используйте командлет New-SelfSignedCertificate для создания самозаверяющего корневого сертификата. Дополнительные сведения о параметре см. в разделе New-SelfSignedCertificate.
На компьютере под управлением Windows 10 или Windows Server 2016 откройте консоль Windows PowerShell с повышенными привилегиями. Эти примеры не запускаются через кнопку "Попробовать" в Azure Cloud Shell. Их нужно запустить локально.
Используйте следующий пример для создания самозаверяющего корневого сертификата. Следующий пример создает самозаверяющий корневой сертификат P2SRootCert, который автоматически устанавливается в папку Certificates-Current UserPersonalCertificates. Этот сертификат можно просмотреть, открыв файл certmgr.msc или раздел Управление сертификатами пользователей.
Выполните вход с помощью командлета Connect-AzAccount . Затем выполните следующий пример, внеся необходимые изменения.
Оставьте консоль PowerShell открытой и перейдите к следующим шагам, чтобы создать сертификат клиента.
Создание сертификата клиента
На каждом клиентском компьютере, который подключается к виртуальной сети с помощью подключения типа "точка —сеть", должен быть установлен сертификат клиента. Вы можете создать сертификат клиента из самозаверяющего корневого сертификата, а затем экспортировать и установить его. Если сертификат клиента не установлен, произойдет сбой аутентификации.
Ниже описан способ создания сертификата клиента из самозаверяющего корневого сертификата. Из одного корневого сертификата можно создать несколько сертификатов клиента. При создании сертификатов клиента с помощью приведенных ниже инструкций сертификат клиента автоматически устанавливается на компьютер, который использовался для его создания. Если вы хотите установить сертификат клиента на другой клиентский компьютер, его можно экспортировать.
В примерах используется командлет New-SelfSignedCertificate для создания сертификата клиента, срок действия которого истекает через год. Дополнительные сведения о параметре, например о задании другого значения срока действия сертификата клиента, см. в разделе New-SelfSignedCertificate.
Пример 1. Сеанс консоли PowerShell по-прежнему открыт
Если вы не закрыли консоль PowerShell после создания самозаверяющего корневого сертификата, воспользуйтесь этим примером. Этот пример является продолжением предыдущего раздела и в нем используется переменная $cert. Если вы закрыли консоль PowerShell после создания самозаверяющего корневого сертификата или создаете дополнительные сертификаты клиента в новом сеансе консоли PowerShell, выполните инструкции, описанные в примере 2.
Измените и запустите пример, чтобы создать сертификат клиента. Если выполнить этот пример, не изменив его, то будет создан сертификат клиента P2SChildCert. Если требуется указать другое имя дочернего сертификата, измените значение CN. Не изменяйте TextExtension при выполнении данного примера. Сертификат клиента, который создается, автоматически устанавливается в папку Certificates — Current UserPersonalCertificates на компьютере.
Пример 2. Новый сеанс консоли PowerShell
Если вы создаете дополнительные сертификаты клиента или не используете тот же сеанс PowerShell, в котором был создан самозаверяющий корневой сертификат, выполните следующее.
Определите самозаверяющий корневой сертификат, установленный на компьютере. Этот командлет возвращает список сертификатов, установленных на компьютере.
Найдите имя субъекта в полученном списке, а затем скопируйте отпечаток, расположенный рядом с ним, в текстовый файл. В следующем примере указано два сертификата. CN-имя — это имя самозаверяющего корневого сертификата, на основе которого требуется создать дочерний сертификат. В данном случае это P2SRootCert.
Объявите переменную для корневого сертификата, используя отпечаток из предыдущего шага. Замените THUMBPRINT отпечатком корневого сертификата, на основе которого требуется создать дочерний сертификат.
Например, если использовать отпечаток для P2SRootCert из предыдущего шага, то переменная будет выглядеть следующим образом.
Измените и запустите пример, чтобы создать сертификат клиента. Если выполнить этот пример, не изменив его, то будет создан сертификат клиента P2SChildCert. Если требуется указать другое имя дочернего сертификата, измените значение CN. Не изменяйте TextExtension при выполнении данного примера. Сертификат клиента, который создается, автоматически устанавливается в папку Certificates — Current UserPersonalCertificates на компьютере.
Экспорт открытого ключа корневого сертификата (.cer)
После создания самозаверяющего корневого сертификата экспортируйте CER-файл его открытого ключа (не закрытый ключ). В дальнейшем вы загрузите этот файл в Azure. Чтобы экспортировать CER-файл для самозаверяющего корневого сертификата, сделайте следующее:
Чтобы получить из сертификата CER-файл, откройте раздел Управление сертификатами пользователей. Найдите корневой самозаверяющий сертификат (обычно он находится в папке Certificates — <текущий_пользователь>PersonalCertificates) и щелкните его правой кнопкой мыши. Щелкните Все задачи > Экспорт. Откроется мастера экспорта сертификатов. Если не удается найти сертификат в разделе <текущий_пользователь>PersonalCertificates, возможно, вы случайно открыли "Certificates — Local Computer"вместо "Certificates— <текущий_пользователь>". Если вы хотите открыть диспетчер сертификатов в области текущего пользователя с помощью PowerShell, выполните команду certmgr в окне консоли.
В окне мастера нажмите Далее.
Выберите Нет, не экспортировать закрытый ключ и снова нажмите кнопку Далее.
На странице Формат экспортируемого файла выберите Файлы X.509 (.CER) в кодировке Base-64 и нажмите кнопку Далее.
На странице Имя экспортируемого файла нажмите кнопку Обзор, чтобы перейти в расположение для экспорта сертификата. В поле Имя файла введите имя для файла сертификата. Затем щелкните Далее.
Нажмите кнопку Готово, чтобы выполнить экспорт сертификата.
Сертификат успешно экспортирован.
Экспортированный сертификат выглядит примерно так:
Если открыть экспортированный сертификат в Блокноте, результат будет приблизительно таким, как в приведенном ниже примере. Выделенный синим цветом раздел содержит сведения, которые загружены в Azure. Если при открытии сертификата в Блокноте он не выглядит, как приведенный ниже пример, как правило, это означает, что экспорт выполнен не в формате X.509 (.CER) с кодировкой Base64. Кроме того, при использовании другого текстового редактора следует учитывать, что в некоторых редакторах может выполняться непреднамеренное форматирование в фоновом режиме. Это может вызвать проблемы при передаче текста из этого сертификата в Azure.
Экспорт самозаверяющего корневого сертификата и закрытого ключа для его сохранения (необязательно)
Может возникнуть необходимость экспортировать самозаверяющий корневой сертификат и сохранить его как резервную копию в надежном месте. При необходимости позже можно будет установить его на другом компьютере и создать дополнительные сертификаты клиента. Чтобы экспортировать самозаверяющий корневой сертификат в формате PFX, выберите корневой сертификат и выполните те же действия, что описаны в разделе Экспорт сертификата клиента.
Экспорт сертификата клиента
Созданный сертификат клиента автоматически устанавливается на компьютере, который использовался для его создания. Если вы хотите установить созданный сертификат клиента на другой клиентский компьютер, то его необходимо экспортировать.
Чтобы экспортировать сертификат клиента, откройте раздел Управление сертификатами пользователей. По умолчанию создаваемые сертификаты клиента хранятся в папке Certificates — Current UserPersonalCertificates. Щелкните правой кнопкой мыши сертификат, который нужно экспортировать, выберите Все задачи, а затем — Экспорт, чтобы открыть мастер экспорта сертификатов.
В мастере экспорта сертификатов нажмите кнопку Далее, чтобы продолжить.
Выберите Да, экспортировать закрытый ключ, а затем нажмите кнопку Далее.
На странице Формат экспортируемого файла оставьте настройки по умолчанию. Не забудьте установить флажок Включить по возможности все сертификаты в путь сертификации. При этом также будут экспортированы данные корневого сертификата, необходимые для успешной аутентификации клиента. Без этих данных аутентификация клиента завершится ошибкой, так как у клиента не будет доверенного корневого сертификата. Затем щелкните Далее.
На странице Безопасность следует защитить закрытый ключ. Если вы решите использовать пароль, обязательно запишите или запомните пароль, заданный для этого сертификата. Затем щелкните Далее.
На странице Имя экспортируемого файла нажмите кнопку Обзор, чтобы перейти в расположение для экспорта сертификата. В поле Имя файла введите имя для файла сертификата. Затем щелкните Далее.
Нажмите кнопку Готово, чтобы выполнить экспорт сертификата.
Установка экспортированного сертификата клиента
Для каждого клиента, который подключается к виртуальной сети через подключение "точка — сеть", сертификат должен быть установлен локально.
Дальнейшие действия
Продолжайте настраивать параметры конфигурации типа "точка-сеть".