Всё о компьютерной системе Windows: основы работы, запуск и безопасность, Интернет, обслуживание и настройка. Как обновить сертификат


Как получить, запросить или обновить сертификат в Windows

Обычно сертификаты Windows предоставляются автоматически. Например, если вы приобрели что-нибудь в интернет-магазине через безопасный веб-сайт, сертификат может использоваться для шифрования данных кредитной карты.

Если сертификат нужен для личного использования, например для добавления цифровой подписи в сообщение электронной почты, он может не предоставляться автоматически. В таком случае нужно обратиться в центр сертификации с запросом на сертификат и импортировать его.

Дополнительные сведения см. Импорт и экспорт сертификатов и закрытых ключей.

Если в компании, в которой вы работаете, сертификаты используются для доступа к сети и не обновляются автоматически, вы можете получить сообщение об окончании срока действия сертификата. Чтобы восстановить или получить новый сертификат, выполните следующие действия.

Примечание: Эти инструкции актуальны только для получения сертификата от корпоративного центра сертификации. Чтобы получить новый сертификат, необходимо войти в домен, который имеет корпоративный центр сертификации. Если выполнение этих действий не дало ожидаемых результатов, обратитесь к администратору.

Запрос нового сертификата

  1. Откройте Диспетчер сертификатов.
  2. Откройте папку Личный.
  3. Меню Действие выберите пункт Все задачи и Восстановить сертификат.
  4. Следуйте указаниям мастера.

Примечания:

  • Сертификат службы получить нельзя.
  • Чтобы получить сертификат стандарта цифровой подписи (DSS) от центра сертификации, в окне мастера запросов сертификатов следует выбрать шаблон сертификата Только подпись пользователя.

Восстановление сертификата

  1. Откройте Диспетчер сертификатов.
  2. Выберите сертификат, который следует восстановить.
  3. Меню Действие выберите пункт Все задачи и выполните одно из следующих действий:
    • Нажмите кнопку Обновить сертификат новым ключом.
    • Наведите указатель мыши на пункт Дополнительные операции и выберите пункт Обновить сертификат тем самым ключом.
  4. Завершите работу мастера, чтобы восстановить сертификат.

windows-school.ru

Обновление корневых сертификатов в Windows в офлайн режиме

В операционных системах семейства Windows, начиная с Windows 7, присутствует система автоматического обновления корневых сертификатов с сайта Microsoft. MSFT в рамках программы Microsoft Trusted Root Certificate Program, ведет и публикует в своем онлайн хранилище список сертификатов для клиентов и устройств Windows. В том, случае если проверяемый сертификат в своей цепочке сертфикации относится к корневому CA, который участвует в этой программе, система автоматически скачает с узла Windows Update и добавит такой корневой сертификат в доверенные.

В том случае, если у Windows  отсутствует прямой доступ к каталогу Windows Update,  то система не сможет обновить корневой сертификат, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия), либо с установкой / запуском подписанных приложений или скриптов.

В этой статье попробуем разобраться, как можно вручную обновить список корневых сертификатов в TrustedRootCA в изолированных системах, или системах без прямого подключения к интернету.

Примечание. В  том случае, если пользователи получают доступ в интернет через прокси сервер, для того, что работало автоматическое обновление корневых сертификатов на компьютера пользователей, Microsoft рекомендует открыть прямой доступ (bypass)  к узлам Microsoft. Но это не всегда возможно/применимо.

Утилита rootsupd.exe

В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe, список корневых и отозванных сертификатов, зашитых в  которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates). Посмотрим, можно ли использовать ли ее сейчас.

  1. Скачайте утилиту rootsupd.exe, перейдя по ссылке http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe (по состоянию на 15.09.2017 ссылка не работает, возможно в Microsoft решили убрать ее из общего доступа).
  2. Для установки сертификатом, достаточно запустить файл. Но мы попробуем более внимательно рассмотреть его содержимое, распаковав его с помощью команды: rootsupd.exe /c /t: C:\PS\rootsupd rootsupd.exe утилита обновления списка корневых сертфикатов для Windows XP
  3. Сертификаты содержатся в SST файлах: authroots.sst, delroot.sst и т.п. Для удаления/установки сертификатов можно воспользоваться командами:updroots.exe authroots.sstupdroots.exe -d delroots.sst

Но, как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до окончания официальной поддержки Windows XP). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов.

Получения списка корневых сертификатов с узла Windows Update с помощью Certutil

Последняя версия утилиты для управления и работы с сертификатам Certutil (представленная в Windows 10), позволяет скачать и сохранить в SST файл актуальный список корневых сертификатов.

Для генерации SST файла, на компьютере Windows 10 с прямым доступом в Интернет, выполните с правами администратора команду:

certutil.exe -generateSSTFromWU roots.sst

certutil.exe -generateSSTFromWUВ результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий сертификаты.

sst файл - контейнер для сертификатовКак вы видите, откроется знакомая оснастка управления сертификатами, из которой вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 358 элементов. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.

Для установки всех сертификатов, содержащихся в файле, воспользуемся утилитой updroots.exe (она содержится в архиве rootsupd.exe, который мы распаковали в предыдущем разделе).

Установка сертификатов из STT фалйла выполняется командой:

updroots.exe roots.sst

Обновить корневые сертфикаты в храниище Trusted Root Certification AuthorityЗапустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority.

Список корневых сертификатов в формате STL

Есть еще один способ получения списка сертификатов с сайта Microsoft. Для этого нужно скачать файл http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (обновляется дважды в месяц).С помощью любого архиватора (или проводника Windows) распакуйте содержимое архива authrootstl.cab. Он содержит один файл authroot.stl.

authroot.stl

Файл authroot.stl представляет собой контейнер со списком доверенных сертификатов в формате Certification Trust List.

Certification Trust List

Данный файл можно установить в системе с помощью контекстного меню файла STL (Install CTL).

Install CTL

Или с помощью утилиты certutil:

certutil -addstore -f root authroot.stl

После выполнения команды, в консоли управления сертификатами (certmgr.msc) в контейнере  Trusted Root Certification Authorities появится новый раздел с именем Certificate Trust List.

Certificate Trust List в Trusted Root Certification Authorities

Аналогичным образом можно скачать и установить список с отозванными сертификатами, которые были исключены из программы  Root Certificate Program. для этого, скачайте файл disallowedcertstl.cab (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), распакуйте его и добавьте в раздел Untrusted Certificates командой:

certutil -addstore -f  disallowed disallowedcert.stl

В это статье мы рассмотрели несколько простейших способов обновления списка корневых сертификатов на изолированной от Интернета системе Windows. В том случае, если возникла задача регулярного обновления корневых сертификатов в отделенном от внешней сети домене, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. Об этом подробнее в одной из ближайших статей.

winitpro.ru

Автоматическое обновление хранилища сертификатов доверенных корневых центров сертификации на компьютерах Windows не имеющих прямого доступа в Интернет.

imageРанее уже приходилось сталкиваться с проблемой невозможности корректного развёртывания ПО из-за того, что на целевых компьютерах с OC Windows не обновляется хранилище сертификатов доверенных корневых центров сертификации (далее для краткости будем называет это хранилище TrustedRootCA). На тот момент вопрос был снят с помощью развёртывания пакета rootsupd.exe, доступного в статье KB931125, которая относилась к ОС Windows XP. Теперь же эта ОС полностью снята с поддержки Microsoft, и возможно, поэтому данная KB-статья более недоступна на сайте Microsoft. Ко всему этому можно добавить то, что уже даже на тот момент времени решение с развёртыванием уже устаревшего в ту пору пакета сертификатов было не самым оптимальным, так как тогда в ходу были системы с ОС Windows Vista и Windows 7, в которых уже присутствовал новый механизм автоматического обновления хранилища сертификатов TrustedRootCA. Вот одна из старых статей о Windows Vista, описывающих некоторые аспекты работы такого механизма - Certificate Support and Resulting Internet Communication in Windows Vista. Недавно я снова столкнулся с исходной проблемой необходимости обновления хранилища сертификатов TrustedRootCA на некоторой массе клиентских компьютеров и серверов на базе Windows. Все эти компьютеры не имеют прямого доступа в Интернет и поэтому механизм автоматического обновления сертификатов не выполняет свою задачу так, как хотелось бы. Вариант с открытием всем компьютерам прямого доступа в Интернет, пускай даже на определённые адреса, изначально рассматривался как крайний, а поиски более приемлемого решения привел меня к статье Configure Trusted Roots and Disallowed Certificates (RU), которая сразу дала ответы на все мои вопросы. Ну и, в общем то, по мотивам этой статьи, в данной заметке я кратко изложу на конкретном примере то, каким образом можно централизованно перенастроить на компьютерах Windows Vista и выше этот самый механизм авто-обновления хранилища сертификатов TrustedRootCA, чтобы он использовал в качестве источника обновлений файловый ресурс или веб-сайт в локальной корпоративной сети.

Для начала, на что нужно обратить внимание, это на то, что в групповых политиках, применяемых к компьютерам, не должен быть задействован параметр блокирующий работу механизма авто-обновления. Это параметр Turn off Automatic Root Certificates Update в разделе Computer Configuration > Administrative Templates > System > Internet Communication Management > Internet Communication settings. Нам потребуется, чтобы этот параметр был Выключен, либо просто Не настроен.

Если взглянуть на хранилище сертификатов TrustedRootCA в разделе Локальный компьютер, то на системах, не имеющих прямого доступа в Интернет, набор сертификатов будет прямо так скажем небольшой:

image

В статье KB2677070 - Доступно автоматическое обновление отозванных сертификатов для систем Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 можно найти актуальные на данный момент ссылки на файлы, прямой доступ к которым (минуя прокси с требованием аутентификации) может потребоваться для функций авто-обновления:

Но вариант прямого доступа в рамках данной заметки мы больше упоминать не станем и рассмотрим пример локализации процесса обновления в соответствии с ранее упомянутой статьёй.

Первое, что нам нужно сделать, это рассмотреть варианты получения актуальных файлов набора корневых сертификатов для их дальнейшего распространения внутри локальной сети.

Попробуем на компьютере имеющем прямое подключение к Интернету выполнить команду генерации SST файла, который будет в себе содержать актуальный набор файлов корневых сертификатов. В данном случае на компьютере с Windows 10 выполняется команда, вызывающая входящую в базовый состав ОС утилиту Certutil, которая в свою очередь обращается к веб-узлу Microsoft и создаёт по указанному нами пути SST файл:

Certutil -generateSSTFromWU C:\Temp\WURoots.sst

Полученный в результате выполнения команды SST-файл по сути является контейнером, который содержит в себе все сертификаты для нужного нам обновления системы. Этот контейнер легко открывается в Проводнике Windows загружая ассоциированную с расширением файла оснастку управления сертификатами.image

Этот файл удобно использовать, например, когда из всего подмножества доступных сертификатов нужно выбрать лишь некоторый набор и выгрузить их в отдельный SST файл для дальнейшей загрузки, например, с помощью консоли управления локальными сертификатами или с помощью консоли управления групповыми политиками (для импорта в какую-либо доменную политику через параметр Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities).

Однако для интересующего нас способа распространения корневых сертификатов, с помощью модификации работы механизма авто-обновления на конечных клиентских компьютерах, нам потребуется несколько иное представление множества актуальных корневых сертификатов. Получить его можно с помощью всё той же утилиты Certutil, но уже с другим набором ключей.

В нашем примере в качестве локального источника распространения будет использована общая сетевая папка на файловом сервере. И здесь важно обратить внимание на то, что при подготовке такой папки обязательно нужно ограничивать доступ на запись, чтобы не получилось так, что любой желающий сможет модифицировать набор корневых сертификатов, которые потом будут "разливаться" по множеству компьютеров.

Certutil -syncWithWU -f -f \\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment\

Ключи -f -f используются для форсированного обновления всех файлов в каталоге назначения.

В результате выполнения команды в указанной нами сетевой папке появится множество файлов общим объемом примерно в пол мегабайта:

image

Согласно ранее упомянутой статьи, назначение файлов следующее:

  • Файл authrootstl.cab содержит сторонние списки доверия сертификатов;
  • Файл disallowedcertstl.cab содержит список доверия сертификатов с недоверенными сертификатами;
  • Файл disallowedcert.sst содержит хранилище сериализованных сертификатов, включая недоверенные сертификаты;
  • Файлы с именами типа thumbprint.crt содержат сторонние корневые сертификаты.

Итак, файлы необходимые для работы механизма авто-обновления получены, и мы теперь переходим к реализации изменения схемы работы этого самого механизма. Для этого, как всегда, нам на помощь приходят доменные групповые политики Active Directory (GPO), хотя можно использовать и другие инструменты централизованного управления, весь всё, что нам нужно сделать на всех компьютерах - это изменить, вернее добавить, всего один параметр реестра RootDirURL в ветке HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate, который и определит путь к нашему сетевому каталогу, в котором мы ранее разместили набор файлов корневых сертификатов.

Говоря о настройке GPO, для реализации поставленной задачи, опять же, можно использовать разные варианты. Например, есть "олд-скульный" вариант с созданием собственного шаблона групповой политики, так как это описано в уже знакомой нам статье. Для этого создадим файл в формате административного шаблона GPO (ADM), например, с именем RootCAUpdateLocalPath.adm и содержимым:

CLASS MACHINE CATEGORY !!SystemCertificates KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" POLICY !!RootDirURL EXPLAIN !!RootDirURL_help PART !!RootDirURL EDITTEXT VALUENAME "RootDirURL" END PART END POLICY END CATEGORY [strings] RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com" RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files." SystemCertificates="Windows AutoUpdate Settings"

Скопируем этот файл на контроллер домена в каталог %SystemRoot%\inf (как правило, это каталог C:\Windows\inf). После этого перейдём в редактор доменных групповых политик и создадим отдельную новую политику, открыв затем её на редактирование. В разделе Computer Configuration > Administrative Templates… откроем контекстное меню и выберем пункт подключения нового шаблона политик Add/Remove Templates

image

В открывшееся окне с помощью кнопки обзора выберем ранее добавленный файл %SystemRoot%\inf\RootCAUpdateLocalPath.adm, и после того, как шаблон появится в списке, нажмём Close.

image

После проделанного действия в разделе Configuration > Administrative Templates > Classic Administrative Templates (ADM) появится группа Windows AutoUpdate Settings, в которой будет доступен единственный параметр URL address to be used instead of default ctldl.windowsupdate.com

image

Откроем этот параметр и введём путь к локальному ресурсу, на котором мы расположили загруженные ранее файлы обновления, в формате http://server1/folder или file://\\server1\folder, например file://\\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment

image

Сохраним проделанные изменения и применим созданную политику к доменному контейнеру, в котором расположены целевые компьютеры. Однако рассмотренный метод настройки GPO имеет ряд недостатков и именно поэтому я назвал его "олд-скульным".

Другой, более современный и более продвинутый метод настройки реестра клиентов  -  это использование Group Policy Preferences (GPP). При таком варианте мы можем создать соответствующий объект GPP в разделе групповой политики Computer Configuration > Preferences > Registry с обновлением параметра (Action: Update) реестра RootDirURL (тип значения REG_SZ) 

image

При необходимости можем для созданного параметра GPP включить гибкий механизм нацеливания (Закладка Common > Опция Item-level targeting) на конкретный компьютер или группу компьютеров для предварительного тестирования того, что у нас в конечном итоге получиться после применения групповых политик.

Разумеется, нужно выбрать какой-то один вариант, либо с подключением собственного ADM-шаблона, либо с использованием GPP.

После настройки групповых политик на любом подопытном клиентском компьютере выполним обновление командой gpupdate /force c последующей перезагрузкой. После загрузки системы проверим в реестре наличие созданного ключа и попробуем проверить наличие факта обновления хранилища корневых сертификатов. Для проверки воспользуемся простым но действенным примером описанным в заметке Trusted Roots and Disallowed Certificates.

Для примера посмотрим, есть ли в хранилище сертификатов компьютера корневой сертификат, использованный для выпуска сертификата, который установлен на сайте с именем buypass.no (но на сам сайт пока не переходим :)).

image

Сделать это удобнее всего с помощью средств PowerShell:

Get-ChildItem cert:\localmachine\root | Where {$_.friendlyname -like "*Buypass*"}

С большой долей вероятности у нас не окажется такого корневого сертификата. Если так, то откроем Internet Explorer и обратимся к URL https://buypass.no. И если настроенный нами механизм автоматического обновления корневых сертификатов работает успешно, то в event-логе Windows Application при это появится событие c источником (Source) CAPI2, свидетельствующее об успешной загрузке нового корневого сертификата :

Имя журнала: Application Источник: Microsoft-Windows-CAPI2 Дата: 04.08.2016 18:20:45 Код события: 4097 Категория задачи:Отсутствует Уровень: Сведения Ключевые слова:Классический Пользователь: Н/Д Компьютер: KOM-WS306.holding.com Описание: Успешное автоматическое обновление стороннего корневого сертификата:: субъект: < CN=Buypass Class 3 Root CA, O=Buypass AS-983163327, C=NO > ; отпечаток SHA1: < DAFAF7FA6684EC068F1450BDC7C281A5BCA96457 > .

image

После этого мы можем снова выполнить указанную ранее команду запроса к хранилищу корневых сертификатов и увидим, что теперь в нём действительно появился новый корневой сертификат, именно тот который фигурировал в событии event-лога Windows:

image

Как видим, механизм авто-обновления работает и теперь всё, что остаётся, это организовать поддержку в актуальном состоянии файлов в сетевой папке, запланировав, например на ночное время, ежесуточное выполнение задания обновления ранее упомянутой командой:

Certutil -syncWithWU -f -f \\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment\

На этом всё.

 

Дополнительные источники информации:

Поделиться ссылкой на эту запись:

Похожее

blog.it-kb.ru

Как обновить квалифицированный сертификат

При входе в систему Контур-Экстерн будет предложено обновить квалифицированный сертификат (КЭП), если до окончания срока его действия осталось менее 60 дней. Также обновить КЭП будет предложено, если ранее пользователь обращался в сервисный центр по вопросу незапланированной замены сертификата.

 

Описанная ниже инструкция не подходит абонентам 78 и 47 регионов, сертификаты которых выданы Удостоверяющим центром ФГУП ЦентрИнформ. Рекомендации по обновлению КЭП в этих регионах описаны в следующей инструкции.

 

Для обновления следует:

 

1. При входе в Контур-Экстерн нажать кнопку Обновить сертификат рядом с сертификатом, который необходимо обновить (см. рис. 1).

 

   

Рис. 1. Переход в личный кабинет

 

Если после нажатия на кнопку Обновить сертификат не появляется окно для ввода номера телефона, то следует воспользоваться прямым адресом https://i.kontur-ca.ru.

 

2. В открывшемся окне указать номер телефона, на который будет удобно получить пароль для входа, и нажать кнопку Получить пароль. Ввести поступивший пароль и нажать кнопку Войти (см. рис. 2).

 

Если сообщение с паролем не поступило, следует нажать на ссылку Получить смс повторно. Если после повторного запроса сообщение также не поступит, то следует обратиться в техническую поддержку.

 

 

Рис. 2. Вход в личный кабинет по паролю

 

При входе может потребоваться установка последней версии компонента Kontur.Toolbox2. Следует кликнуть по ссылке Kontur.Toolbox2 (см. рис. 3), скачать и установить компоненту. После этого обновить страницу.

 

 

Рис. 3. Установка компонента Kontur.Toolbox2

 

3. Появятся данные, которые попадут в сертификат (см. рис. 4).

 

 

Рис. 4. Данные, которые попадут в новый сертификат

 

Если все данные в заявке указаны верно, то следует поставить галку у пункта Подтверждаю свое согласие на выпуск сертификата квалифицированной электронной подписи с указанными данными и нажать кнопку Подписать заявление (см. рис. 4).

 

Если:

 

  • срок действия старого сертификата уже истек;
  • у нового сертификата будет другой владелец (ФИО и СНИЛС в старом и новом сертификатах будут отличаться),
  • владелец останется прежним, но необходимо изменить его паспортные данные, электронную почту, должность или подразделение, 

то следует воспользоваться ссылкой в самом низу страницы - Если у вас нет возможности подписать старым сертификатом, перейдите по ссылке. После этого отправить заявку, руководствуясь следующими рекомендациями. 

 

Если реквизиты организации указаны неверно, то следует обратиться в сервисный центр по месту подключения.

 

4. На экране отобразится заявление на изготовление нового сертификата. Следует нажать на кнопкуПодписать старым сертификатом (см. рис. 5).

 

 

Рис. 5. Подпись заявления старым сертификатом

 

Заявление, подписанное действующим обновляемым сертификатом, не нужно распечатывать, подписывать вручную и предоставлять в сервисный центр.

 

5. Появится заявка на обновление сертификата.

 

Если все данные в заявке указаны верно, то следует поставить галку у пункта Подтверждаю свое согласие на выпуск сертификата квалифицированной электронной подписи с указанными данными.

 

Нажать на кнопку Выпустить сертификат (см. рис. 6).

 

 

Рис. 6. Подтверждение выпуска сертификата

 

Если вместо окна для выпуска сертификата появится сообщение «Оплатите счет на выпуск сертификата (ФИО) и вернитесь, чтобы отправить заявку» (см. рис. 7), то следует обратиться в сервисный центр по месту подключения. 

 

 

Рис. 7. Сообщение, возникающее при неоплаченном счете

 

6. В открывшемся окне следует выбрать, куда будет записан сертификат - на съемный носитель (рутокен, дискета, флешка) или в реестр компьютера (см. рис. 8).

 

 

Рис. 8. Выбор места для записи закрытого ключа сертификата

 

Если выбрать Реестр, то сразу поле этого появится датчик случайных чисел (см. рис. 10).

 

Если выбрать Съемный носитель, то в следующем окне потребуется отметить, на какой именно носитель будет записан закрытый ключ сертификата (см. рис. 9). Поле выбора носителя появится датчик случайных чисел (см. рис. 10).

 

 

Рис. 9. Выбор носителя для записи закрытого ключа сертификата

 

 

7. Появится датчик случайных чисел. Следует нажимать клавиши или двигать курсором мыши в области окна датчика (см. рис. 10).

 

   

Рис. 10. Окно датчика случайных чисел

 

8. В окне установки pin-кода на создаваемый контейнер следует ввести стандартное значение 12345678и нажать ОК (см. рис. 11). Если стандартный пин-код на рутокене был изменен, то в данном окне следует вводить пин-код, установленный самостоятельно.

 

 

Рис. 11. Ввод pin-кода

 

Если сертификат был запрошен на дискету, флешку или в реестр, то появится окно ввода пароля. Рекомендуется оставить его пустым и нажать ОК. При утере пароля восстановить его будет невозможно!

 

9. В течение двух минут на номер телефона, указанный в заявлении на изготовление сертификата, вновь поступит сообщение с паролем. В открывшемся окне личного кабинета следует ввести полученный пароль и нажать на кнопку Отправить (см. рис. 12).

 

Пароль действителен в течение 20 минут с момента поступления.

 

 

Рис. 12. Ввод кода подтверждения запроса на сертификат

 

10. Начнется процесс выдачи сертификата удостоверяющим центром, который занимает до 30 минут. Следует дождаться выпуска сертификата и нажать кнопку Установить (см. рис. 13).

 

 

Рис. 13. Установка выданного сертификата

 

11. Сертификат установлен и готов к использованию (см. рис. 14).

 

 

Рис. 14. Запрошенный и установленный сертификат

 

  • В случае утери или повреждения ключевого контейнера вход в систему будет невозможен. Во избежание подобной ситуации обязательно следует сделать копию ключевого контейнера.
  • Обязательно необходимо сохранять все устаревшие сертификаты, с которыми когда-либо производилась работа в системе. Они потребуются для расшифровки старых документов.  Для удобства рекомендуется копировать такие сертификаты в реестр (см. Как установить сертификат в реестр?).

kontur-vostok.ru

Как обновить квалифицированный сертификат

При входе в систему Контур.Экстерн будет предложено обновить квалифицированный сертификат (КЭП), если до окончания срока его действия осталось менее 60 дней. Также обновить КЭП будет предложено, если ранее пользователь обращался в сервисный центр по вопросу незапланированной замены сертификата.

Для обновления следует:

1. При входе в Контур.Экстерн нажать кнопку «Обновить сертификат» рядом с сертификатом, который необходимо обновить.

Если после нажатия на кнопку «Обновить сертификат» не появляется окно для ввода номера телефона, то следует воспользоваться прямым адресом https://i.kontur-ca.ru.

2. В открывшемся окне указать номер телефона, на который будет удобно получить пароль для входа, и нажать кнопку «Получить пароль». Ввести поступивший пароль и нажать кнопку «Войти».

Если сообщение с паролем не поступило, следует нажать на ссылку «Получить код повторно». Если после повторного запроса сообщение также не поступит, то следует обратиться в техническую поддержку.

При входе в личный кабинет может потребоваться установка последней версии компонента Kontur.Toolbox. Следует нажать кнопку «Скачать приложение», скачать и установить компоненту. После этого обновить страницу.

3. Далее появится окно «Заявка на продление» с последовательностью шагов. Необходимо нажать кнопку «Приступить».

Шаг 1: Проверьте данные

С 08.07.2016 Удостоверяющий центр обязан регистрировать все выдаваемые КЭПы в единой системе идентификации и аутентификации (ЕСИА) в соответствии с изменениями в 63-ФЗ ст.18 п.5. Регистрация будет происходить автоматически при выдаче сертификата. Для этого необходимо заполнить дополнительные данные документов, удостоверяющих личность:

  • дата рождения;
  • место рождения;
  • пол;
  • гражданство (заполняется только для иного документа, удостоверяющего личность).

После заполнения дополнительной информации, необходимо нажать кнопку «Сохранить».

Далее, если все данные в заявке указаны верно, то следует нажать кнопку «Подписать заявление старым сертификатом».

Появится окно «Заявление подписано». Заявление, подписанное действующим обновляемым сертификатом, не нужно распечатывать, подписывать вручную и предоставлять в сервисный центр.

Если срок действия старого сертификата уже истек, то следует воспользоваться ссылкой «Распечатайте заявление и подпишите вручную» и нажать кнопку «Скачать и распечатать заявление».

Если у нового сертификата будет другой владелец (ФИО и/или СНИЛС в старом и новом сертификатах будут отличаться), для изменения данных, необходимо выбрать ссылку «Редактировать» около поля «Владелец сертификата». После сохранения данных, появится кнопка «Скачать и распечатать заявление». Для отправки заявки на проверку, следует воспользоваться следующими рекомендациями.

Если владелец останется прежним, но необходимо изменить его паспортные данные, электронную почту, должность или подразделение, необходимо отредактировать эти данные и подписать заявление старым сертификатом.

Если реквизиты организации указаны неверно, то следует обратиться в сервисный центр по месту подключения.

Шаг 2: Проверьте документы

Если все загруженные документы актуальны, необходимо нажать кнопку «Отправить заявку».

Шаг 3: Отправьте заявку

Появится окно «Заявка отправлена и одобрена». Если данные в сертификата не изменились, следует поставить галку у пункта «Я подтверждаю свое согласие на выпуск сертификата электронной подписи с указанными данными» и нажать кнопку «Выпустить сертификат».

Если вместо окна для выпуска сертификата появится сообщение «Оплатите счет», то следует обратиться в сервисный центр по месту подключения.

Выпуск сертификата

В открывшемся окне следует выбрать, куда будет записан сертификат - на съемный носитель (рутокен, дискета, флешка) или в реестр компьютера. После выбора носителя, необходимо нажать «Далее».

Если выбрать «Реестр», то сразу поле этого появится датчик случайных чисел.

Если выбрать «Съемный носитель», то в следующем окне потребуется отметить, на какой именно носитель будет записан закрытый ключ сертификата. Поле выбора носителя появится датчик случайных чисел.

В окне датчика случайных чисел следует нажимать клавиши или двигать курсором мыши в области окна датчика.

В окне установки pin-кода на создаваемый контейнер следует ввести стандартное значение 12345678 и нажать «ОК». Если стандартный пин-код на рутокене был изменен, то в данном окне следует вводить пин-код, установленный самостоятельно.

Если сертификат был запрошен на дискету, флешку или в реестр, то появится окно ввода пароля. Рекомендуется оставить его пустым и нажать «ОК». При утере пароля восстановить его будет невозможно!

В течение двух минут на номер телефона, указанный в заявлении на изготовление сертификата, вновь поступит сообщение с паролем. В открывшемся окне личного кабинета следует ввести полученный пароль и нажать на кнопку «Подтвердить».

Начнется процесс выдачи сертификата удостоверяющим центром, который занимает до 30 минут. Как только открытый ключ сертификата будет выдан, появится кнопка «Установить сертификат». Следует нажать на нее.

Сертификат установлен и готов к использованию. Рекомендуем сделать копию сертификата на случай утери или повреждения ключевого носитля. Чтобы скопировать контейнер, нажмите на кнопку «Сделать резервную копию».

Укажите, куда записать копию сертификата — на съемный носитель (рутокен, дискета, флешка) или в реестр компьютера.

Укажите пин-код, если копируете сертификата с рутокена или рутокен-лайта. Если копируете сертификат на дискету, флешку или в реестр, то появится окно ввода пароля. Рекомендуем оставить поля для паролей пустыми и нажать «ОК». Восстановить утерянный пароль невозможно!

Сертификат скопирован.

Обязательно необходимо сохранять все устаревшие сертификаты, с которыми когда-либо производилась работа в системе. Они потребуются для расшифровки старых документов. Для удобства рекомендуется копировать такие сертификаты в реестр.

Назад к списку статей

www.a-practic.ru

Установка сертификатов Windows 7 (Vista)

Установка сертификатов — для Windows 7 (Vista)

Шаг 1. Загрузите сертификаты КриптоПро CSP
сертификаты

ssl.croinform.ru.cer [1,1 кБ] — (обновлен 26 марта 2018 г.) основной сертификат, необходим для устранения ошибки сертификата безопасности для веб-узла CroInform.ru.

cacer.p7b [4 кБ] — (обновлен 30 ноября 2016 г.) контейнер сертификатов КриптоПро CSP, необходимых, для функционирования сертификата ssl.croinform.ru.cer.

Шаг 2. Установка основного сертификата ssl.croinform.ru.cer

Запустите файл корневого сертификата ssl.croinform.ru.cer. При запуске может быть открыто окно предупреждения системы безопасности.

cert-step1

Нажмите на кнопку «Открыть». Будет открыто окно, содержащее сведения о текущем сертификате. Нажмите на кнопку «Установить сертификат...»

cert-step2

Откроется окно Мастера импорта сертификатов.

cert-step3

В последующих шагах установки нажимайте на кнопку «Далее», не меняя параметров установки. После завершения установки, на экран будет выведено окно оповещения.

cert-step4

Нажмите на кнопку «ОК», окно будет закрыто. Ещё раз нажмите на кнопку «ОК», чтобы закрыть окно сведений о текущем сертификате.

Шаг 3. Установка контейнера сертификатов КриптоПро CSP cacer.p7b

Откройте меню Пуск (Значок Windows в левом нижнем углу). В строке поиска наберите «mmc.exe» (без кавычек) и нажмите Enter.

cert-7-step5

Откроется окно консоли управления Microsoft.

cert-7-step6

В основном меню консоли, выберите Файл — Добавить или удалить оснастку. Будет открыто окно «Добавление и удаление оснасток».

cert-7-step7

В левом списке выберите пункт Сертификаты и нажмите на кнопку «Добавить». Будет открыто окно «Оснастка диспетчера сертификатов».

cert-7-step8

Нажмите на кнопку «Готово». Окно «Оснастка диспетчера сертификатов» будет закрыто, Вы вернетесь в окно консоли управления Microsoft.

cert-7-step9

В левом списке раскройте дерево Сертификаты — текущий пользователь. Выберите пункт «Доверенные корневые центры сертификации». Щелкните правой кнопкой мыши по пункту «Доверенные корневые центры сертификации». В появившемся меню выберите «Все задачи» — «Импорт». Будет открыто окно «Мастер импорта сертификатов».

cert-step3

Нажмите на кнопку «Далее». Будет открыто окно выбора файла для импорта сертификатов.

cert-7-step10

Нажмите на кнопку «Обзор». Будет открыто стандартное окно выбора файла. В выпадающем списке выбора типа отображаемых файлов выберите Все файлы (*.*).

cert-7-step11

Выберите файл контейнера сертификатов cacer.p7b и нажмите на кнопку «Открыть». Окно выбора файлов будет закрыто, Вы вернётесь в окно выбора файла для импорта сертификатов.

Шаг 4. Завершение установки

В последующих шагах установки нажимайте на кнопку «Далее» или «Готово», не меняя параметров установки. По завершении настроек, окно «Мастера импорта сертификатов» будет закрыто. На экране появится окно предупреждения системы безопасности.

cert-7-step12

Нажмите на кнопку «ОК», окно будет закрыто. Всего окон предупреждения, будет 4 (для каждого сертификата)

После завершения установки, на экран будет выведено окно оповещения.

cert-step4

Нажмите на кнопку «ОК», окно будет закрыто. Вы вернётесь в окно консоли управления Microsoft. Нажмите на крестик в правом верхнем углу консоли.

cert-7-step13

В открывшемся окне нажмите на кнопку «Нет», окно будет закрыто. Поздравляем! Вы установили все требуемые сертификаты.

croinform.ru

Как обновить сертификат для работы в Контур.Экстерн

Сертификат ЭЦП можно обновить непосредственно при входе в систему Контур.Экстерн за 60 дней до его окончания.

При этом данные в новом сертификате (реквизиты организации и ответственное лицо) останутся неизменными. 

Для веб-обновления сертификата при входе в систему достаточно выполнить следующие действия:

1.  При входе в систему на странице выбора сертификатов нажать на ссылку "Обновить сейчас" (см. рис. 1).

Страница выбора сертификата

Страница выбора сертификата

Рис.1. Страница выбора сертификата

2.  При появлении окна с сообщением о необходимости установить обновление, нажать на кнопку Обновить компоненты (см. рис.  2).

В открывшемся окне нажать Установить либо Выполнить.

Установка компонентов

Установка компонентов

Рис. 2. Установка компонентов

После установки компонентов  требуется перезапустить Internet Explorer и заново нажать на ссылку Обновить сейчас на странице выбора сертификата (см. рис. 1).

3. После нажатия на кнопку "Обновить сертификат", Вы  попадаете на страницу личного кабинета, где вводите номер телефона для дальнейшей авторизации по обновляемой форме(в этот момент можно изменить/задать удобный номер телефона). Необходимо ввести пароль, пришедший в смс.Если обновляемый сертификат не отозван и не истек - Вы проходите через экспресс-продление

«Экспресс-продление» - это отдельный режим работы в личном кабинете.

Отличительные признаки:

  1. Вы не имеет возможности изменить данные, вносимые в сертификат. Не можете скачать бланк заявления на сертификат.
  2. Вы имеете возможность подписать заявление обновляемым сертификатом (Если обновляемый сертификат утерян, или истек - Экспресс-продления не будет). После подписания заявления и отправки формы на проверку, она сразу же становится одобренной и попадает в личный кабинет, т.е. ее не проверяют операторы Удостоверяющего Центра.

 

4. В открывшемся окне отобразятся данные, которые попадут в сертификат.

Необходимо проверить их правильность и установите флажок Я подтверждаю, что данные верны и нажать кнопку Далее.

Если какие-либо данные неверны, то для получения сертификата следует обратиться в сервисный центр по месту подключения, после чего выполнить запрос ЭЦП с помощью  программы PKI Tools . 

Обратите внимание: Сканы паспорта и СНИЛСа будут скопированы из старой формы.   ФИО, ИНН  и СНИЛС совпадают с ФИО, ИНН и СНИЛС в обновляемом сертификате. Заявление подписывают обновляемым сертификатом.

Ваша задача проверить данные, содержащиеся в форме – они заполняются автоматически. Данные получены из Фокуса, старой формы и системы, которая создала форму в КабУЦ.  Вам  не нужно загружать никаких документов (они скопированы из прошлой формы.

Визита в сервисный центр не требуется!

Если данные требуют корректировки (например, хотят получить сертификат на другое лицо) – нужно обращаться в сервисный центр, или отказаться от экспресс продления  для самостоятельной корректировки.

Ставите галку «Подтверждаю свое согласие на выпуск сертификата квалифицированной электронной подписи с указанными данными».

Нажимаете кнопку Подписать заявление:

После нажатия на кнопку открывается заявление, где нужно нажать кнопку «Подписать старым сертификатом». При этом подписать можно в том и только в том случае, если в старом и новом сертификатах совпадают ФИО - СНИЛС - ИНН.

После этого проходит стандартная процедура формирования ключа.

5. В открывшемся окне КриптоПро CSP выбрать ключевой носитель (дискета, Rutoken или Rutoken Lite), на котором будет сформирован новый сертификат. Можно указать ключевой носитель, который использовался ранее, либо выбрать другой. Далее нажать ОК (см. рис. 5):

Выбор ключевого носителя

Выбор ключевого носителя

Рис. 5. Выбор ключевого носителя

6.  Для формирования  закрытого ключа нужно перемещать курсор мыши в области окна датчика случайных чисел либо нажимать клавиши на клавиатуре (рис. 6).

Датчик случайных чисел

Датчик случайных чисел 

Рис. 6. Окно датчика случайных чисел

7.  В открывшемся окне нужно установить pin-код либо пароль на ключевой контейнер:  

  • для Рутокена необходимо ввести pin-код 12345678 и нажать ОК (см. рис. 7).

Пин код для Рутокена

Пин код для Рутокена

Рис. 7. Окно ввода pin-кода для Рутокена

  • для дискеты, флеш-карты и реестра устанавливать пароль не рекомендуется, достаточно оставить поля ввода пустыми и нажать ОК (см. рис. 8).

Обратите внимание, если установленный пароль будет утерян, то дальнейшая работа в системе станет невозможной. 

Пароль для дискеты

Пароль для дискеты

Рис. 8. Окно ввода пароля для дискеты

В появившемся окне следует нажать кнопку Продолжить работу (см. рис. 9).

Информация

Информация

Рис. 9. Информационное окно

Как правило, процедура выдачи нового сертификата занимает 5-15 минут (несмотря на то что действующим регламентом Удостоверяющего центра предусмотрен срок до 3-х рабочих дней). Поэтому рекомендуется не заходить в систему до получения нового сертификата. В случае крайней необходимости можно осуществить вход  в систему, выбрав обновляемый сертификат.

8.  После этого откроется страница выбора сертификатов. В строке с обновляемым сертификатом появится  надпись Отправлен запрос на обновление (см. рис. 10). 

Страница выбора сертификатаСтраница выбора сертификата

Рис. 10. Страница выбора сертификатов

9.  После появления сообщения Получен новый сертификат нужно нажать на ссылку Установить (см. рис. 11). При этом ключевой носитель (дискета, Рутокен, флеш-карта), который был выбран в п.5, должен быть вставлен в компьютер.

Страница выбора сертификата

Страница выбора сертификата

Рис. 11. Сообщение о получение нового сертификата

10.  Сертификат  установлен.  В  строке  с  обновляемым  сертификатом  будет  указан  новый период его действия (см. рис. 12).

Страница выбора сертификата

Страница выбора сертификата

Рис. 12. Новый период действия сертификата

Для начала работы с новым сертификатом, достаточно выбрать его и нажать на кнопку Войти в систему.

Веб-обновление не применяется (ссылка "Обновить сейчас" на рис.1 будет отсутствовать) в следующих случаях:

    Если необходимо получить сертификат в связи со сменой реквизитов организации или ответственного лица;    для обновления сертификатов дочерних организаций, используемых для подписи отчетности в ПФР и ФСС;    В случае если сервисный центр уже создал форму для запроса сертификата через программу Получение сертификатов;    Если срок действия сертификата, который необходимо обновить, уже истек.

Во всех перечисленных случаях для получения нового сертификата следует обратиться в сервисный центр по месту подключения, после чего выполнить запрос сертификата с помощью программы "Получение сертификатов".

Подробнее о сервисе Контур.Экстерн

www.kf4.ru