Алхам 1. CryptoPro CSP гэрчилгээг татаж авах
— (2017 оны 11-р сарын 27-нд шинэчлэгдсэн)Сайтын аюулгүй байдлын гэрчилгээний алдааг шийдвэрлэхийн тулд үндсэн гэрчилгээ шаардлагатай.
cacer.p7b- (2016 оны 11-р сарын 30-нд шинэчлэгдсэн) ssl.site.cer сертификатыг ажиллуулахад шаардлагатай CryptoPro CSP гэрчилгээний сав.
Алхам 2: ssl.site.cer үндсэн гэрчилгээг суулгана уу
ssl.site.cer эх гэрчилгээний файлыг ажиллуул. Эхлэх үед аюулгүй байдлын анхааруулах цонх нээгдэж магадгүй юм.
"Нээх" товчийг дарна уу. Одоогийн гэрчилгээний талаарх мэдээллийг агуулсан цонх нээгдэнэ. "Сертификат суулгах ..." товчийг дарна уу
Сертификат импортлох шидтэн цонх нээгдэнэ.
Суулгацын дараагийн алхмуудад суулгалтын параметрүүдийг өөрчлөхгүйгээр "Дараах" товчийг дарна уу. Суулгац дууссаны дараа дэлгэц дээр мэдэгдлийн цонх гарч ирнэ.
"OK" товчийг дарвал цонх хаагдах болно. Одоо байгаа гэрчилгээний дэлгэрэнгүй цонхыг хаахын тулд OK товчийг дахин дарна уу.
Алхам 3. CryptoPro CSP сертификатын савыг суулгах cacer.p7b
Эхлэх цэсийг нээнэ үү (зүүн доод буланд байгаа Windows дүрс). Хайлтын талбарт "mmc.exe" гэж бичээд (хашилтгүйгээр) Enter дарна уу.
Microsoft Management Console цонх нээгдэнэ.
Консолын үндсэн цэснээс File - Add or Remove Snap-ыг сонгоно уу. Snap-Ins Add/Remove цонх нээгдэнэ.
Зүүн талд байгаа жагсаалтаас Сертификатуудыг сонгоод Нэмэх товчийг дарна уу. "Сертификат менежерийн нэмэлт хэрэгсэл" цонх нээгдэнэ.
"Дуусгах" товчийг дарна уу. Сертификат менежерийн нэмэлт цонх хаагдах бөгөөд та Microsoft удирдлагын консолын цонх руу буцах болно.
Зүүн жагсаалтад Сертификатууд - одоогийн хэрэглэгчийн модыг өргөжүүлнэ үү. Итгэмжлэгдсэн эх гэрчилгээжүүлэх байгууллагуудыг сонгоно уу. Trusted Root Certification Authorities дээр хулганы баруун товчийг дарна уу. Гарч ирэх цэснээс "Бүх даалгавар" - "Импорт" -ыг сонгоно уу. "Сертификат импортлох мастер" цонх нээгдэнэ.
"Browse" товчийг дарна уу. Стандарт файл сонгох цонх нээгдэнэ. Харагдах файлуудын төрлийг сонгох унадаг жагсаалтаас Бүх файлуудыг (*.*) сонгоно уу.
Cacer.p7b гэрчилгээний контейнер файлыг сонгоод "Нээх" товчийг дарна уу. Файл сонгох цонх хаагдах бөгөөд та гэрчилгээ импортлох файл сонгох цонх руу буцах болно.
Алхам 4: Суулгацыг дуусгах
Суулгацын дараагийн алхмуудад суулгалтын параметрүүдийг өөрчлөхгүйгээр "Дараах" эсвэл "Дуусгах" товчийг дарна уу. Тохиргоог хийж дууссаны дараа "Сертификат импортлох шидтэн" цонх хаагдах болно. Дэлгэц дээр аюулгүй байдлын анхааруулах цонх гарч ирнэ.
"OK" товчийг дарвал цонх хаагдах болно. Нийтдээ 4 анхааруулах цонх байх болно (сертификат бүрийн хувьд)
Суулгац дууссаны дараа дэлгэц дээр мэдэгдлийн цонх гарч ирнэ.
"OK" товчийг дарвал цонх хаагдах болно. Та Microsoft Management Console цонх руу буцах болно. Консолын баруун дээд буланд байгаа загалмай дээр дарна уу.
Нээгдсэн цонхонд "Үгүй" товчийг дарвал цонх хаагдах болно. Баяр хүргэе! Та шаардлагатай бүх гэрчилгээг суулгасан байна.
Windows хэрэглэгчид компьютер дээр суулгасан гэрчилгээнүүдэд илүү их анхаарал хандуулах хэрэгтэй. Сүүлийн үеийн гэрчилгээжүүлэлтийн дуулиан Lenovo Superfish, Dell eDellRootболон Comodo PrivDogХэрэглэгч зөвхөн шинэ програм суулгахдаа болгоомжтой байхаас гадна тоног төхөөрөмж үйлдвэрлэгчээс системд ямар програм хангамж, гэрчилгээг урьдчилан суулгаж байгааг тодорхой ойлгох хэрэгтэй гэдгийг дахин нэг удаа харуулж байна. Хуурамч эсвэл тусгайлан үүсгэсэн гэрчилгээг суулгаснаар халдагчид MiTM (дунд хүн) халдлага хийх, траффикийг таслан зогсоох (HTTPS орно), хортой программ хангамж, скрипт ажиллуулах гэх мэт боломжтой.
Ихэвчлэн эдгээр гэрчилгээг Windows Trusted Root Certification Authorities дэлгүүрт суулгадаг. Windows сертификатын дэлгүүрт гуравдагч талын гэрчилгээ байгаа эсэхийг хэрхэн шалгаж болохыг харцгаая.
Ерөнхийдөө гэрчилгээний дэлгүүрт Итгэмжлэгдсэн эх гэрчилгээжүүлэх байгууллагуудЗөвхөн програмын хүрээнд Microsoft-оос баталгаажуулсан, нийтэлсэн итгэмжлэгдсэн сертификатууд байх ёстой Microsoft-ын итгэмжлэгдсэн эх гэрчилгээний хөтөлбөр. Сертификат дэлгүүрт гуравдагч этгээдийн гэрчилгээ байгаа эсэхийг шалгахын тулд та хэрэгслийг ашиглаж болно Сигчек(Sysinternals хэрэгслийн багцаас).
- Хэрэгслийг татаж авах Сигчек Microsoft-ын вэбсайтаас (https://technet.microsoft.com/ru-ru/sysinternals/bb897441.aspx)
- Архивыг задлах Сигчек.зипдурын сан руу (жишээ нь, C:\install\sigcheck\)
- Тушаалын мөрийг нээж, хэрэгслээр директор руу өөрчил: cd C:\install\sigcheck\
- Тушаал хүлээх мөрөнд sigcheck.exe -tv, эсвэл sigcheck64.exe -tv командыг ажиллуулна уу (Windows-ын 64 бит хувилбар дээр)
- Sigcheck хэрэгслийг анх удаа ажиллуулахдаа ашиглалтын нөхцөлийг зөвшөөрөхийг танаас хүсэх болно.
- Үүний дараа уг хэрэгсэл нь Microsoft-ын вэбсайтаас татаж аваад архивын лавлахаа байрлуулна authrootstl.таксихамтран .
Зөвлөгөө. Хэрэв компьютер интернетэд шууд холбогдоогүй бол authrootstl.cab файлыг http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab холбоосоос бие даан татаж авч болно. мөн SigCheck хэрэглүүрийн хамт лавлахад гараар байрлуулна
- Уг хэрэгсэл нь компьютер дээр суулгасан гэрчилгээнүүдийн жагсаалтыг authrootstl.cab файл дахь MSFT эх гэрчилгээний жагсаалттай харьцуулах болно. Компьютерийн эх гэрчилгээний жагсаалтад гуравдагч этгээдийн гэрчилгээ байгаа тохиолдолд SigCheck тэдгээрийг жагсаах болно. Бидний жишээн дээр компьютер нэртэй нэг гэрчилгээтэй байна тест1(энэ нь миний үүсгэсэн cmdlet ашиглан өөрөө гарын үсэг зурсан гэрчилгээ юм)
- Олдсон гуравдагч этгээдийн гэрчилгээ бүрийг итгэмжлэгдсэн хүмүүсийн жагсаалтад оруулах шаардлагатай эсэхийг шинжлэх хэрэгтэй. Мөн ямар програм суулгаж, ашигладаг болохыг ойлгох нь зүйтэй.
Зөвлөгөө. Хэрэв компьютер нь домэйны нэг хэсэг бол "гуравдагч этгээдийн" жагсаалтад дотоод CA CA-ийн үндсэн сертификатууд болон системийн дүрсэнд нэгтгэгдсэн бусад гэрчилгээнүүд эсвэл MSFT-ийн үүднээс авч үзэх боломжтой. , итгэлгүй байж болно.
- Энэ гэрчилгээг итгэмжлэгдсэн жагсаалтаас хасахын тулд гэрчилгээний удирдлагын консолыг нээнэ үү ( msc) болон өргөжүүлэх савИтгэмжлэгдсэнүндэсБаталгаажуулалтЭрх баригчид(Итгэмжлэгдсэн Root Certification Authorities) -> Сертификатуудмөн SigCheck-ийн олсон гэрчилгээг устгана уу.
Тиймээс SigCheck хэрэгслийг ашиглан гэрчилгээний дэлгүүрийг шалгах нь ямар ч систем дээр, ялангуяа урьдчилан суулгасан үйлдлийн системтэй OEM компьютерууд болон алдартай torrent трекерүүдээр түгээгдсэн Windows-ийн янз бүрийн хувилбарууд дээр хийгдэх ёстой.
Гэрчилгээний үйлчилгээ нь дижитал гэрчилгээ олгох, удирдах зэрэг баталгаажуулалтын байгууллага (CA) эсвэл CA-ийн үүргийг гүйцэтгэх боломжийг олгодог үндсэн үйлдлийн системийн бүрэлдэхүүн хэсэг юм. Windows XP Professional нь олон түвшний CA шатлал, харилцан итгэлцлийн CA сүлжээ, түүнчлэн тусгаарлагдсан, интерактив CA-г дэмждэг.
Нийтийн түлхүүр бүхий гэрчилгээний дэлгүүрүүд
Windows XP Professional нь нийтийн түлхүүрийн гэрчилгээг Хувийн гэрчилгээний дэлгүүрт хадгалдаг. Энэ нь олон нийтийн мэдээлэл тул тэдгээрийг тодорхой текст хэлбэрээр хадгалдаг. Гэрчилгээг өөрчлөхөөс урьдчилан сэргийлэхийн тулд CA нь тоон гарын үсэг зурдаг.
Хэрэглэгчийн гэрчилгээ нь Documents and Settings хавтсанд байрладаг<имя_пользователя>\ApplicationData\Microsoft\
SystemCertificates\My\Certificates хэрэглэгчийн профайл. Эдгээр гэрчилгээг компьютерт нэвтрэх болгонд локал бүртгэлд бичдэг. Роуминг профайлын хувьд гэрчилгээг ихэвчлэн тодорхой байршилд (компьютер дээр биш) хадгалдаг бөгөөд хэрэглэгчийг домайн дахь дурын компьютерт нэвтрэх үед "дагдаг".
Хувийн түлхүүрүүдийг хадгалах
Үндсэн CSP болон Сайжруулсан CSP хоёулаа криптографийн үйлчилгээ үзүүлэгч (CSPs) хувийн түлхүүрүүдийг %SystemRoot%\Documents and Settings\ хавтсанд хэрэглэгчийн профайлд хадгалдаг.<имя_пользователя>\
Програмын өгөгдөл\Microsoft\Crypto\RSA. Роуминг хэрэглэгчийн профайлд хувийн түлхүүр нь домэйн хянагч дээрх RSA хавтсанд байрладаг бөгөөд зөвхөн ажиллаж байх үед нь компьютерт татагддаг.
Хувийн түлхүүрүүд хамгаалагдсан байх ёстой тул RSA хавтсанд байгаа бүх файлууд автоматаар санамсаргүй тэгш хэмтэй түлхүүрээр шифрлэгддэг - хэрэглэгчийн мастер түлхүүр (хэрэглэгчийн үндсэн түлхүүр). 64 тэмдэгттэй түлхүүрийг найдвартай санамсаргүй тоо үүсгэгчээр үүсгэнэ. 3DES түлхүүрүүд мастер түлхүүр дээр тулгуурлан шифрлэхэд ашигладаг.хувийн түлхүүрүүд Мастер түлхүүр нь автоматаар үүсгэгдэж, үе үе шинэчлэгддэг.
Диск дээр хадгалагдах үед мастер түлхүүр нь таны нууц үгээр үүсгэгдсэн түлхүүрийг ашиглан Гурвалсан DES алгоритмаар хамгаалагдсан байдаг. Мастер түлхүүр нь RSA хавтсанд байгаа бүх файлыг үүсгэх үед автоматаар шифрлэхэд ашиглагддаг.
Автомат хэрэглэгчийн гэрчилгээний хүсэлт
Windows 2000 нь хэрэглэгчийн гэрчилгээг автоматаар хүсэх функцтэй байсан. Компьютер болон домэйн хянагчийн гэрчилгээний автомат хүсэлтийг Microsoft Active Directory Group Policy мөн дэмждэг. Автомат компьютерийн гэрчилгээний хүсэлт нь чиглүүлэлт болон зайнаас хандалт бүхий Windows XP серверүүд болон бусад серверүүдтэй IPSec эсвэл L2TP/IPSec VPN холболтыг хөнгөвчлөхөд маш хэрэгтэй.
Энэ функц нь эзэмшигчийн нийт зардлыг бууруулж, хэрэглэгчид болон администраторуудад зориулсан гэрчилгээний амьдралын мөчлөгийн удирдлагыг хялбаршуулдаг. Ухаалаг картын гэрчилгээний автомат хүсэлт болон өөрөө гарын үсэг зурсан гэрчилгээтэй CA нь аюулгүй байдлыг сайжруулах шаардлагатай байгууллагын хэрэглэгчдэд нэмэлт хамгаалалт өгдөг.
Хүлээгдэж буй хүсэлт болон гэрчилгээг шинэчлэх
Windows XP Professional дээрх хэрэглэгчийн гэрчилгээний автомат хүсэлт нь хүлээгдэж буй хүсэлт болон гэрчилгээг шинэчлэх боломжийг олгодог. Гараар эсвэл автоматаар гэрчилгээ хүссэний дараа Windows .NET Server CA сертификатын сервер нь гэрчилгээ олгох эсвэл баталгаажуулах үйл явцыг дуусгахын тулд администраторын зөвшөөрлийг хүлээнэ. Гэрчилгээг баталж, олгосны дараа автомат хүсэлтийн механизм нь гэрчилгээг автоматаар суулгана.
Хугацаа нь дууссан хэрэглэгчийн гэрчилгээг шинэчлэх үйл явц нь автомат хүсэлтийн механизмыг ашигладаг. Сертификатууд нь Active Directory дахь гэрчилгээний загварын тохиргоогоор тодорхойлогддог журмын дагуу хэрэглэгчийн нэрийн өмнөөс автоматаар шинэчлэгддэг.
Анхдагч байдлаар, гэрчилгээ болон түлхүүрүүд хамгаалагдсан байдаг. Нэмэлт хамгаалалт хийхийн тулд та хувийн түлхүүрүүдийг экспортлох, аюулгүй газар хадгалах зэрэг нэмэлт хамгаалалтын арга хэмжээ авч болно.
