Samm 1. Laadige alla CryptoPro CSP sertifikaadid
— (värskendatud 27. novembril 2017) Peamine sertifikaat on vajalik veebisaidi saidi turvasertifikaadi vea lahendamiseks.
cacer.p7b — (värskendatud 30. novembril 2016) ssl.site.cer sertifikaadi tööks vajalike CryptoPro CSP sertifikaatide konteiner.
2. samm. Põhisertifikaadi ssl.site.cer installimine
Käivitage juursertifikaadi fail ssl.site.cer. Käivitamisel võib avaneda turvahoiatuse aken.
Klõpsake nuppu "Ava". Avaneb aken, mis sisaldab teavet praeguse sertifikaadi kohta. Klõpsake nuppu "Installi sertifikaat...".
Avaneb sertifikaadi importimise viisardi aken.
Järgmistes installietappides klõpsake installiparameetreid muutmata nuppu "Järgmine". Kui installimine on lõppenud, ilmub ekraanile teavitusaken.
Klõpsake nuppu "OK", aken suletakse. Praeguse sertifikaadi teabe akna sulgemiseks klõpsake uuesti nuppu "OK".
Samm 3. CryptoPro CSP sertifikaadi konteineri cacer.p7b installimine
Avage menüü Start (Windowsi ikoon vasakus alanurgas). Tippige otsinguribale "mmc.exe" (ilma jutumärkideta) ja vajutage sisestusklahvi.
Avaneb Microsofti halduskonsooli aken.
Peakonsooli menüüs valige Fail – Lisa või eemalda lisandmoodul. Avaneb lisandmoodulite lisamise või eemaldamise aken.
Valige vasakpoolses loendis Sertifikaadid ja klõpsake nuppu "Lisa". Avaneb sertifikaadihalduri lisandmooduli aken.
Klõpsake nuppu "Valmis". Sertifikaadihalduri lisandmooduli aken sulgub ja teid naasete Microsofti halduskonsooli aknasse.
Laiendage vasakpoolses loendis sertifikaatide puud – praegune kasutaja. Valige Usaldusväärsed juursertifitseerimisasutused. Paremklõpsake valikul "Usaldusväärsed juursertifitseerimisasutused". Ilmuvas menüüs valige "Kõik ülesanded" - "Import". Avaneb sertifikaadi importimise viisardi aken.
Klõpsake nuppu "Sirvi". Avaneb standardne failivaliku aken. Kuvatavate failide tüübi valimiseks valige ripploendist Kõik failid (*.*).
Valige sertifikaadi konteineri fail cacer.p7b ja klõpsake nuppu "Ava". Failivaliku aken suletakse ja naastakse sertifikaatide importimise failivaliku aknasse.
4. samm: viige installimine lõpule
Järgmistes installietappides klõpsake installiparameetreid muutmata nuppu "Järgmine" või "Lõpeta". Kui seaded on lõpetatud, suletakse sertifikaadi importimise viisardi aken. Ekraanile ilmub turvahoiatuse aken.
Klõpsake nuppu "OK", aken suletakse. Kokku on 4 hoiatusakent (iga sertifikaadi kohta)
Kui installimine on lõppenud, ilmub ekraanile teavitusaken.
Klõpsake nuppu "OK", aken suletakse. Teid suunatakse tagasi Microsofti halduskonsooli aknasse. Klõpsake konsooli paremas ülanurgas oleval ristil.
Avanevas aknas klõpsake nuppu "Ei", aken suletakse. Palju õnne! Olete installinud kõik nõutavad sertifikaadid.
Windowsi kasutajad peaksid järjest rohkem tähelepanu pöörama arvutisse installitud sertifikaatidele. Hiljutised sertifikaatide skandaalid Lenovo Superfish, Dell eDellRoot Ja Comodo PrivDog Veel kord näitavad need, et kasutaja peab olema ettevaatlik mitte ainult uute rakenduste installimisel, vaid ka selgelt mõistma, millise tarkvara ja sertifikaadid on seadme tootja poolt süsteemi eelinstallitud. Võlts- või spetsiaalselt loodud sertifikaatide installimisega saavad ründajad sooritada MiTM-i (man-in-the-middle) rünnakuid, peatada liiklust (sh HTTPS), lubada pahavara ja skriptide käivitamist jne.
Tavaliselt installitakse sellised sertifikaadid Windowsi usaldusväärsete juursertifitseerimisasutuste poodi. Mõelgem välja, kuidas saate Windowsi serdisalvest kontrollida kolmandate osapoolte sertifikaatide olemasolu.
Üldiselt sertifikaadipoes Usaldusväärsed Juursertimiskeskused Olemas peavad olema ainult Microsofti kontrollitud ja programmi osana avaldatud usaldusväärsed sertifikaadid Microsofti usaldusväärse juursertifikaadi programm. Et kontrollida sertifikaadisalvest kolmandate osapoolte sertifikaate, saate kasutada utiliiti Sigcheck(Sysinternalsi utiliidikomplektist).
- Laadige utiliit alla Sigcheck Microsofti veebisaidilt (https://technet.microsoft.com/ru-ru/sysinternals/bb897441.aspx)
- Pakkige arhiiv lahti Sigcheck.tõmblukk suvalisse kataloogi (näiteks C:\install\sigcheck\)
- Avage käsuviip ja minge utiliidiga kataloogi: cd C:\install\sigcheck\
- Käivitage käsureal käsk sigcheck.exe –tv või sigcheck64.exe –tv (Windowsi 64-bitistes versioonides)
- Selle esmakordsel käivitamisel palub utiliit sigcheck teil nõustuda kasutustingimustega.
- Pärast seda laadib utiliit Microsofti veebisaidilt alla ja asetab selle arhiivikataloogi authrootstl.Takso koos .
Nõuanne. Kui teie arvutil pole otsest Interneti-ühendust, saate faili authrootstl.cab ise alla laadida lingilt http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab ja käsitsi asetage see utiliidi SigCheck abil kataloogi
- Utiliit võrdleb arvutisse installitud sertifikaatide loendit failis authrootstl.cab oleva MSFT juursertifikaatide loendiga. Kui teie arvuti juursertifikaatide loendis on kolmanda osapoole sertifikaate, kuvab SigCheck nende loendi. Meie näites on nimega arvutis üks sertifikaat test1(see on iseallkirjastatud sertifikaat, mis on loodud minu loodud cmdleti abil)
- Iga leitud kolmanda osapoole sertifikaati tuleks analüüsida, et teha kindlaks, kas see on vajalik usaldusväärsete sertifikaatide loendis. Samuti on soovitatav mõista, milline programm installitud ja seda kasutab.
Nõuanne. Kui arvuti on osa domeenist, sisaldab "kolmandate osapoolte" loend tõenäoliselt sisemise CA sertifitseerimisasutuse juursertifikaate ja muid süsteemi kujutisesse integreeritud sertifikaate või mis MSFT seisukohast võivad olla ebausaldusväärne.
- Antud sertifikaadi eemaldamiseks usaldusväärsete loendist avage sertifikaadihalduskonsool ( msc) ja laiendada konteinerUsaldusväärneJuurSertifitseerimineVõimud(Usaldusväärsed juursertifitseerimisasutused) -> Sertifikaadid ja eemaldage utiliidi SigCheck leitud sertifikaadid.
Seega tuleks SigChecki utiliidi abil sertifikaadisalve kontrollida mis tahes süsteemis, eriti OEM-arvutites, millel on eelinstallitud OS ja mitmesugused Windowsi versioonid, mida levitatakse populaarsete torrentijälgijate kaudu.
Sertifikaaditeenused on aluseks oleva OS-i komponent, mis võimaldab tal täita sertifitseerimisasutuse (CA) või CA funktsioone, sealhulgas digitaalsete sertifikaatide väljastamist ja haldamist. Windows XP Professional toetab mitmetasandilisi CA-hierarhiaid ja CA-võrke koos ristiga usalduslikud suhted, samuti isoleeritud ja interaktiivsed CA-d.
Avaliku võtme sertifikaatide poed
Windows XP Professional salvestab avaliku võtme sertifikaadid isiklikus sertifikaadisalves. Need salvestatakse selge tekstina, kuna see on avalikult kättesaadav teave. Sertifikaadid allkirjastatakse võltsimise vältimiseks digitaalselt CA poolt.
Kasutajasertifikaadid asuvad kaustas Dokumendid ja sätted\<имя_пользователя>\ApplicationData\Microsoft\
Kasutajaprofiili SystemCertificates\My\Certificates. Need sertifikaadid kirjutatakse kohalikku registrisse iga kord, kui arvutisse sisse logite. Rändlusprofiilide puhul salvestatakse sertifikaadid tavaliselt kindlasse asukohta (mitte arvutisse) ja need "jälgivad" kasutajat domeeni mis tahes arvutisse sisselogimisel.
Privaatvõtmete salvestamine
Krüptoteenuste pakkujad (CSP-d), nii põhi-CSP kui ka täiustatud CSP, salvestavad privaatvõtmed kasutaja profiili kaustas %SystemRoot%\Documents and Settings\.<имя_пользователя>\
Rakenduse andmed\Microsoft\Crypto\RSA. Rändluskasutajate profiilides asub privaatvõti domeenikontrolleri RSA kaustas ja laaditakse arvutisse ainult arvuti töötamise ajal.
Kuna privaatvõtmed peavad olema kaitstud, krüpteeritakse kõik RSA kaustas olevad failid automaatselt juhusliku sümmeetrilise võtmega. 64-kohaline võti genereeritakse usaldusväärse juhuslike numbrite generaatoriga Krüptimiseks kasutatavad 3DES-võtmed peavõtme privaatvõtmed Peavõti genereeritakse ja uuendatakse perioodiliselt automaatselt.
Kettale salvestatuna on peavõti kaitstud kolmekordse DES-algoritmi abil, kasutades teie paroolist genereeritud võtit. Peavõtit kasutatakse kõigi RSA-kaustas olevate failide automaatseks krüptimiseks nende loomise ajal.
Automaatne kasutaja sertifikaadi päring
Windows 2000-l oli funktsioon kasutaja sertifikaadi automaatseks taotlemiseks. Arvuti- ja domeenikontrolleri sertifikaatide automaatset taotlemist toetab ka Microsoft Active Directory rühmapoliitika. Arvuti sertifikaadi automaatne taotlemine on äärmiselt kasulik IPSec või L2TP/IPSec VPN-ühenduste lihtsustamiseks Windows XP marsruutimise ja kaugjuurdepääsuga serveritega ning muude serveritega.
See funktsioon vähendab omandi kogukulusid ja lihtsustab kasutajate ja administraatorite jaoks serdi elutsükli haldamist. Automaatne kiipkaardi sertifikaadipäring ja iseallkirjastatud CA-d pakuvad ettevõtete kasutajatele täiendavat kaitset, kui on vaja täiustatud turvalisust.
Ootel taotlused ja sertifikaatide uuendamine
Automaatne kasutaja sertifikaadi päring Windows XP Professionalis pakub ka ootel olevaid taotlusi ja sertifikaatide uuendamist. Pärast sertifikaadi käsitsi või automaatset taotlemist ootab Windows .NET Server CA administraatori luba sertifikaadi väljastamiseks või kinnitusprotsessi lõpuleviimiseks. Kui sertifikaat on heaks kiidetud ja välja antud, installib automaatse päringu mehhanism sertifikaadi automaatselt.
Aegunud kasutajasertifikaatide uuendamise protsess kasutab samuti automaatset päringumehhanismi. Sertifikaadid uuendatakse automaatselt kasutaja nimel ja protseduuri määravad Active Directory sertifikaadimallide sätted.
Vaikimisi on sertifikaadid ja võtmed kaitstud. Täiendava kaitse tagamiseks võite rakendada täiendavaid turvameetmeid, sealhulgas privaatvõtmete eksportimist ja nende turvalises asukohas hoidmist.
