1. samm. Laadige alla CryptoPro CSP sertifikaadid
— (värskendatud 27. novembril 2017) Peamine sertifikaat on vajalik saidi turvasertifikaadi vea lahendamiseks.
cacer.p7b- (värskendatud 30. novembril 2016) ssl.site.cer sertifikaadi toimimiseks vajalik CryptoPro CSP sertifikaatide konteiner.
2. samm: installige põhisertifikaat ssl.site.cer
Käivitage juursertifikaadi fail ssl.site.cer. Käivitamisel võib avaneda turvahoiatuse aken.
Klõpsake nuppu "Ava". Avaneb aken, mis sisaldab teavet praeguse sertifikaadi kohta. Klõpsake nuppu "Installi sertifikaat...".
Avaneb sertifikaadi importimise viisardi aken.
Järgmistes installietappides klõpsake installiparameetreid muutmata nuppu "Järgmine". Pärast installimise lõpetamist kuvatakse ekraanil teavitusaken.
Klõpsake nuppu "OK", aken suletakse. Praeguse sertifikaadi üksikasjade akna sulgemiseks klõpsake uuesti nuppu OK.
Samm 3. CryptoPro CSP sertifikaadi konteineri cacer.p7b installimine
Avage menüü Start (Windowsi ikoon vasakus alanurgas). Tippige otsinguribale "mmc.exe" (ilma jutumärkideta) ja vajutage sisestusklahvi.
Avaneb Microsofti halduskonsooli aken.
Valige konsooli peamenüüst Fail – Lisa või eemalda lisandmoodul. Avaneb lisandmoodulite lisamise/eemaldamise aken.
Valige vasakpoolses loendis üksus Sertifikaadid ja klõpsake nuppu Lisa. Avaneb aken "Sertifikaadihalduri lisandmoodul".
Klõpsake nuppu "Lõpeta". Sertifikaadihalduri lisandmooduli aken sulgub ja teid naaseb Microsofti halduskonsooli aknasse.
Laiendage vasakpoolses loendis puud Sertifikaadid – praegune kasutaja. Valige Usaldusväärsed juursertifitseerimisasutused. Paremklõpsake valikul Trusted Root Certification Authorities. Ilmuvas menüüs valige "Kõik ülesanded" - "Import". Avaneb aken "Sertifikaadi impordi viisard".
Klõpsake nuppu "Sirvi". Avaneb standardne failivaliku aken. Kuvatavate failide tüübi valimiseks valige ripploendist Kõik failid (*.*).
Valige sertifikaadi konteineri fail cacer.p7b ja klõpsake nuppu "Ava". Failivaliku aken suletakse, naased sertifikaatide importimise failivaliku aknasse.
4. samm: installimise lõpetamine
Järgmistes installietappides klõpsake installiparameetreid muutmata nuppu "Järgmine" või "Lõpeta". Pärast seadistuste lõpetamist suletakse aken "Sertifikaadi impordi viisard". Ekraanile ilmub turvahoiatuse aken.
Klõpsake nuppu "OK", aken suletakse. Kokku on 4 hoiatusakent (iga sertifikaadi kohta)
Pärast installimise lõpetamist kuvatakse ekraanil teavitusaken.
Klõpsake nuppu "OK", aken suletakse. Teid suunatakse tagasi Microsofti halduskonsooli aknasse. Klõpsake konsooli paremas ülanurgas oleval ristil.
Avanevas aknas klõpsake nuppu "Ei", aken suletakse. Palju õnne! Olete installinud kõik nõutavad sertifikaadid.
Windowsi kasutajad peaksid järjest rohkem tähelepanu pöörama arvutisse installitud sertifikaatidele. Hiljutised sertifitseerimisskandaalid Lenovo Superfish, Dell eDellRoot ja Comodo PrivDog viitavad veel kord sellele, et kasutaja peab olema ettevaatlik mitte ainult uute rakenduste installimisel, vaid ka selgelt mõistma, millise tarkvara ja sertifikaadid on seadme tootja poolt süsteemi eelinstallitud. Võltsitud või spetsiaalselt loodud sertifikaatide installimise kaudu saavad ründajad sooritada MiTM-i (mees-in-the-middle) rünnakuid, peatada liiklust (sh HTTPS), lubada pahavara ja skriptide käitamist jne.
Tavaliselt installitakse need sertifikaadid Windowsi usaldusväärsete juursertifitseerimisasutuste poodi. Vaatame, kuidas saate kontrollida Windowsi serdisalvest kolmandate osapoolte sertifikaate.
Üldiselt sertifikaadipoes Usaldusväärsed Juursertimiskeskused saadaval peavad olema ainult Microsofti poolt programmis kinnitatud ja avaldatud usaldusväärsed sertifikaadid Microsofti usaldusväärse juursertifikaadi programm. Et kontrollida sertifikaadisalvest kolmanda osapoole sertifikaate, saate kasutada utiliiti Sigcheck(Sysinternalsi utiliidikomplektist).
- Laadige utiliit alla Sigcheck Microsofti veebisaidilt (https://technet.microsoft.com/ru-ru/sysinternals/bb897441.aspx)
- Pakkige arhiiv lahti Sigcheck.tõmblukk suvalisse kataloogi (näiteks C:\install\sigcheck\)
- Avage käsuviip ja minge utiliidiga kataloogi: cd C:\install\sigcheck\
- Käivitage käsureal käsk sigcheck.exe -tv või sigcheck64.exe -tv (Windowsi 64-bitistes versioonides)
- Sigchecki utiliidi esmakordsel käivitamisel palutakse teil kasutustingimustega nõustuda.
- Pärast seda laadib utiliit Microsofti veebisaidilt alla ja asetab selle arhiivikataloogi authrootstl.Takso co .
Nõuanne. Kui arvutil pole otsest Interneti-ühendust, saab faili authrootstl.cab iseseisvalt alla laadida lingilt http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab ja asetatakse käsitsi utiliidi SigCheck abil kataloogi
- Utiliit võrdleb arvutisse installitud sertifikaatide loendit failis authrootstl.cab oleva MSFT juursertifikaatide loendiga. Kui arvuti juursertifikaatide loendis on kolmanda osapoole sertifikaadid, loetleb SigCheck need. Meie näites on arvutil üks nimeline sertifikaat test1(see on iseallkirjastatud sertifikaat, mis on loodud minu loodud cmdletiga)
- Iga leitud kolmanda osapoole sertifikaati tuleks analüüsida, et kontrollida selle olemasolu vajadust usaldusväärsete sertifikaatide loendis. Samuti on soovitav mõista, milline programm on installitud ja seda kasutab.
Nõuanne. Juhul, kui arvuti on osa domeenist, sisaldab "kolmanda osapoole" loend tõenäoliselt sisemise CA juursertifikaate ja muid süsteemi kujutisesse integreeritud või MSFT seisukohast , võib olla ebausaldusväärne.
- Selle sertifikaadi eemaldamiseks usaldusväärsete loendist avage serdihalduskonsool ( msc) ja laiendada konteinerUsaldusväärnejuurSertifitseerimineVõimud(Usaldusväärsed juursertifitseerimisasutused) -> Sertifikaadid ja eemaldage SigChecki leitud sertifikaadid.
Seega tuleks sertifikaadihoidla kontrollimine utiliidi SigCheck abil kindlasti läbi viia kõigis süsteemides, eriti OEM-arvutites, millel on eelinstallitud OS ja erinevad Windowsi versioonid, mida levitatakse populaarsete torrentijälgijate kaudu.
Sertifikaaditeenused on aluseks oleva OS-i komponent, mis võimaldab tal täita sertifitseerimisasutuse (CA) või CA funktsioone, sealhulgas digitaalsete sertifikaatide väljastamist ja haldamist. Windows XP Professional toetab mitmetasandilisi CA-hierarhiaid ja ristusaldusvõimega CA-võrke, aga ka isoleeritud ja interaktiivseid CA-sid.
Sertifikaatide poed avalike võtmetega
Windows XP Professional salvestab avaliku võtme sertifikaadid isiklikus sertifikaadisalves. Need salvestatakse selge tekstina, kuna tegemist on avaliku teabega. Sertifikaadid on muutmise vältimiseks digitaalselt allkirjastatud CA poolt.
Kasutajasertifikaadid asuvad kaustas Dokumendid ja sätted\<имя_пользователя>\ApplicationData\Microsoft\
SystemCertificates\My\Certificates kasutajaprofiil. Need sertifikaadid kirjutatakse kohalikku registrisse iga kord, kui arvuti sisse logitakse. Rändlusprofiilide puhul salvestatakse sertifikaadid tavaliselt kindlasse asukohta (mitte arvutisse) ja need "jälgivad" kasutajat domeeni mis tahes arvutisse sisselogimisel.
Privaatvõtmete säilitamine
Krüptoteenuste pakkujad (CSP-d), nii põhi-CSP kui ka täiustatud CSP, salvestavad privaatvõtmed kasutajaprofiili kaustas %SystemRoot%\Documents and Settings\<имя_пользователя>\
Rakenduse andmed\Microsoft\Crypto\RSA. Rändluskasutajate profiilides asub privaatvõti domeenikontrolleri RSA kaustas ja laaditakse arvutisse alla ainult siis, kui see töötab.
Kuna privaatvõtmed peavad olema kaitstud, krüpteeritakse kõik RSA kaustas olevad failid automaatselt juhusliku sümmeetrilise võtmega – kasutaja peavõtmega (kasutaja peavõti). 64-kohaline võti genereeritakse usaldusväärse juhuslike numbrite generaatoriga. 3DES võtmed kasutatakse põhivõtme alusel krüptimiseks.privaatvõtmed Peavõti genereeritakse automaatselt ja seda uuendatakse perioodiliselt.
Kettale salvestatuna kaitseb peavõtit kolmik-DES-algoritm, kasutades teie paroolist genereeritud võtit. Peavõtit kasutatakse kõigi RSA-kaustas olevate failide automaatseks krüptimiseks nende loomise ajal.
Automaatne kasutaja sertifikaadi päring
Windows 2000-l oli funktsioon kasutaja sertifikaadi automaatseks taotlemiseks. Arvuti ja domeenikontrolleri automaatset sertifikaadipäringut toetab ka Microsoft Active Directory rühmapoliitika. Automaatne arvutisertifikaadi päring on väga kasulik IPSec- või L2TP/IPSec VPN-ühenduse hõlbustamiseks marsruutimise ja kaugjuurdepääsuga Windows XP serveritega ning muude serveritega.
See funktsioon vähendab omandi kogukulusid ja lihtsustab sertifikaatide elutsükli haldamist kasutajate ja administraatorite jaoks. Kiipkaardi sertifikaadi automaatne päring ja iseallkirjastatud sertifikaatidega CA-d pakuvad täiendavat kaitset täiustatud turvalisust vajavatele ettevõttekasutajatele.
Ootel taotlused ja sertifikaatide uuendamine
Windows XP Professionali automaatne kasutajasertifikaadi taotlemine pakub ka ootel olevaid taotlusi ja sertifikaatide uuendamist. Pärast sertifikaadi käsitsi või automaatset taotlemist ootab Windows .NET Server CA serdiserver administraatori luba sertifikaadi väljastamiseks või kinnitusprotsessi lõpuleviimiseks. Kui sertifikaat on kinnitatud ja väljastatud, installib automaatne päringumehhanism sertifikaadi automaatselt.
Aegunud kasutajasertifikaatide uuendamise protsess kasutab samuti automaatset päringumehhanismi. Sertifikaate uuendatakse automaatselt kasutaja nimel vastavalt Active Directory sertifikaadimalli sätetele määratud protseduurile.
Vaikimisi on sertifikaadid ja võtmed kaitstud. Täiendava kaitse tagamiseks võite rakendada täiendavaid turvameetmeid, sealhulgas privaatvõtmete eksportimist ja nende turvalises asukohas hoidmist.
