Где хранятся сертификаты в реестре windows 10

Система цифровых сертификатов используется аналогично паролям, для подтверждения личности пользователя или ПК, обмена электронной информацией в виртуальной сети. Легковесные файлы содержат личные данные, которые применяются при идентификации личности. Хранилище сертификатов в ОС Windows 10 находится в секретном месте. Иногда фирмам приходится настраивать личные сертификаты, поэтому им важно знать местоположение файлов.

Для чего знать, где хранятся сертификаты?

Каждый файл в хранилище предусмотрен для защиты операционки цифрового устройства. Они препятствуют проникновению вредоносных программ в систему. Отдельная цифровая подпись отвечает за определенный скачанный софт.

Знание о том, где хранятся такие файлы, требуется в случае просмотра или установки корневых, личных сертификатов. В «десятке» инструменты находятся в контейнере двух типов:

• Certificate store локального ПК – включают список файлов для проверки оригинальности сервера.
• Certificate store для пользователя – хранят сертификаты утилит, которые запускает юзер.

Сертификаты представляют собой корневые и личные файлы. Первые являются составным элементом секретного ключа. Вторые предназначены для идентификации юзеров при обмене электронных данных. Поменять настройки в «десятке» можно через mmc оснастки, в том числе через хранилище.

Просмотр установленных сертификатов Windows 10

Список важных объектов: сертификаты для оборудования, персональные файлы – находят несколькими способами с помощью встроенных инструментов, сторонних утилит.

Через «КриптоПро»

Криптопровайдер предназначен для организации защиты программных обеспечений методом шифрования. Менеджер защищает конфиденциальную информацию при обмене данными через сеть интернет, обеспечивает юридическую достоверность электронных документов.

Для включения программы ее требуется скачать с официального сайта разработчика, инсталлировать на компьютер. Все действия выполняются с правами Администратора. Во время установки ПО можно выполнять настройки через панель свойств. После инсталляции потребуется перезагрузить устройство.

Просмотр проверочных ключей ЭЦП происходит по следующему алгоритму:

• Зайти в меню Пуск.

• Открыть «Все программы».
• Выбрать «КриптоПро».

• Щелкнуть по пункту «Сертификаты».

В открывшемся окне пользователь увидит все актуальные корневые, личные файлы. Обладая администраторскими правами, можно управлять файлами в «десятке»: выполнять копирование, редактирование, деинсталлировать файлы.

Через Certmgr

Диспетчер разрешает проводить различные действия с цифровыми документами. Консоль является частью операционной системы, включает инструменты для функций управления.

Для просмотра данных нужно следовать инструкции:

• Зайти в Пуск.

• Открыть Командную строку, набрать: c Нажать «Enter».

• В меню появившегося окна выбрать «Личное» и «Корневые сертификаты…». Зайдя в разделы, можно развернуть реестры с полным списком ключей.

Без прав Администратора утилита не заработает. Софт имеет ограничение в шифровании данных, где происходит специальное кодирование файлов.

Через Internet Explorer

Браузер интегрирован в ОС Виндовс 10, включает набор инструментов, позволяющих искать и просматривать информацию в виртуальной сети. Если веб-проводник отсутствует в «десятке», его легко можно скачать с официального источника.

С помощью браузера можно найти ЭЦП, следуя инструкции:

• Запустить Интернет Эксплорер.

• Выбрать «Свойства браузера».

• Тапнуть по разделу «Содержание».
• Нажать на подраздел «Сертификаты».

В результате откроется содержимое с полным списком искомых файлов. В веб-сервисе существует возможность их добавления. Юзеру стоит помнить, что корневые ЭЦП удостоверяющих центров деактивировать запрещено.

Аналогичный способ поиска документов выполняется через Центр управления сетями или общим доступом:

• Открыть Панель управления.

• Войти в «Свойства браузера».

• Зайти в меню «Содержание» и «Сертификаты».

Преимущество метода заключается в том, что посмотреть список ЭЦП можно без администраторских прав. Для обычных людей доступен только просмотр, вносить изменения запрещено.

Через контроль управления

Представляет собой один из важнейших компонентов ОС Виндовс 10. С помощью встроенного средства осуществляется управление, запуск, настройка большинства системных функций. Также можно найти, где лежат сертифицированные файлы ЭЦП для их редактирования.

Пошаговая инструкция:

• Нажать: «Win + R».
• Ввести в строку запроса: cmd. Нажать «Enter».

• после этого перейти по команде mmc в терминал;

• Щелкнуть по вкладке «Файл».

• В открывшемся списке тапнуть «Добавить изолированную оснастку».

• Нажать на раздел «Сертификаты».

Все действия пользователь может выполнять только с правами Администратора. Такой вариант подходит не каждому человеку, так как некоторые запросы вводятся через Командную строку. Сервисом обычно пользуются системные администраторы или люди, хорошо разбирающиеся в теме.

Существует целый список сторонних ресурсов, позволяющих управлять сертификатами, инсталлированными в ОС Виндовс 10. Но пользоваться такими утилитами не рекомендуется, так как нет гарантии, что в них присутствует команда отправки сертификата на внешний сервер. Надежное сертифицированное приложение – это «КриптоПро», которое дает гарантию защиты от несанкционированного доступа посторонних лиц к ЭЦП.

Также в последних версиях Винды зашифрованные файлы просматривают, перейдя по пути: C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates. Словосочетание «Пользователь» меняется на название учетной записи. В результате откроется полный список засекреченных данных.

Сертификаты созданы для безопасной работы цифровой техники. Их достоверность гарантирована сертификационным центром. Управление ЭЦП требует определенных знаний, поэтому работу должен выполнять специалист или продвинутый пользователь.



В период широко распространяющегося внедрения инновационных технологий электронный документооборот уверенно вытесняет стандартные бумажные носители. Для защиты официальной информации от несанкционированного использования цифровой подписи сторонними лицами нужно знать, где хранятся сертификаты ЭЦП на компьютере.

Что такое сертификат ЭЦП

Сегодня все чаще встречается дистанционное оформление бумаг. Сделки заключаются удаленно, присутствие сторон необязательно. Удостоверяющий центр выпускает специальную бумагу в электронном или бумажном формате. С его помощью подтверждается подлинность цифровой подписи, перекрывается доступ сторонним лицам к закрытой информации.

В сертификате ЭЦП содержатся следующие данные:

• сведения о владельце;
• срок действия;
• название удостоверяющего центра, издавшего документ;
• наименование средства;
• проверочный ключ;
• информация об ограничениях в области применения.

В отдельных случаях в него включаются дополнительные данные пользователя и издателя, адреса служб штампов времени и действующих статусов сертификатов и т.п.

Аккредитованный удостоверяющий центр в момент выпуска документа генерирует ключ проверки. При этом сохраняются сведения о владельце электронной подписи в специальном файловом массиве.

Места хранения ЭЦП

Допускается использовать ЭЦП одновременно на нескольких устройствах. Предварительно нужно узнать, где на персональном компьютере хранится файл сертификата.

На ПК

Доступ к открытому ключу для возможности его прочтения на ПК можно получить посредством проводника. Для этого задается направление по адресу: C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates. Способ используется на платформе Vista и более поздних версиях программного обеспечения.

Получить доступ к закрытому сертификату через жесткий диск компьютера не удастся. Информация, предназначенная для генерации открытых ключей, заносится на защищенный USB-рутокен. Открыть файл можно исключительно после ввода пароля, полученного в аккредитованном удостоверяющем центре.

Кроме того, найти сертификат ЭЦП на компьютере можно в зашифрованном формате в отдельной папке Windows. Просмотреть или сделать дубликаты содержащихся в ней данных не удастся, т.к. операционная система ограничивает доступ.

Следует учитывать, что пользователям, не наделенным правами администратора, не разрешен просмотр файла сертификата. Посетители в статусе «Гость» не допускаются к просмотру информации, содержащейся в системных папках компьютерного диска С.

В операционной системе Windows XP

В ОС Windows XP открытые ключи размещаются в персональном хранилище. От несанкционированного изменения общедоступные сведения защищает электронная подпись аккредитованного центра сертификации. Для просмотра ищем папку Documents and Setting. После этого вводится следующая информация:

• имя пользователя;
• ApplicationData;
• Microsoft SystemCertificates;
• My Certificates;
• наименование профиля.

Открытые сертификаты регистрируются в локальном реестре. Процедура повторяется при каждом входе в систему Windows Server.

В перемещаемых пользовательских профилях контейнер закрытого ключа хранится в папке RSA на доменном контроллере, защищенном специальным шифрованием с использованием симметричного кода. Для создания базового шифра, состоящего из 64 символов, задействуется генератор случайных чисел. Загрузка сертификационного файла выполняется на время работы компьютера.

В реестре

Допускается хранить сертификаты ЭЦП в реестре по аналогии со стандартными ключевыми носителями. Найти перенесенные ключи цифровой подписи можно в папках:

• HKEY_LOCAL_MACHINESOFTWARECryptoProSettingUsers(идентификатор пользователя)Keys название контейнера (для 32-битной ОС Windows);
• для 364-битной операционной системы «Виндовс» файл находится по адресу: HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCryptoProSettingUsers(идентификатор пользователя)Keys наименование сертификата;
• в отдельных случаях для поиска папки, в которой хранится электронная подпись, задается направление: HKEY_USERSS-1-5-21-{SID}_ClassesVirtualStoreMACHINESOFTWAREWow6432NodeCryptoProSettingUSERSS-1-5-21-{SID}Keys.

Под Keys SID подразумевается персональное пользовательское имя, удостоверяющее подлинность подписи.

Узнать ключевую комбинацию символов переменной длины можно с использованием командной строки. Для этого в соответствующем окне набирается WHOAMI/ User и нажимается клавиша Enter.

В системе Linux

Задействовав утилиту Csptest, размещенную в директории /opt/cprocsp/bin/<архитектура>, находят сертификационные файлы ЭЦП в операционной системе Linux.

Перечень открытых ключей персонального компьютера: csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys.

Список сертификатов пользователя: csptest -keyset -enum_cont -verifycontext -fqcn.

Наименования контейнеров задаются в формате, воспринимаемом бинарными программами, составляющими дистрибутив CSP.

На жестком диске размещено хранилище HDImageStore, куда заносятся закрытые ключи. Доступ к ним открыт и для JCP.

Для хранения сертификатов в ОС Linux создается специальная директория. Путь к ним открывается вручную вводом особых команд.

Как посмотреть

Для просмотра перечня проверочных ключей электронно-цифровой подписи, удаления элементов или копирования на внешний носитель пользуются браузером Internet Explorer, панелью управления или специфическими утилитами.

Через «КриптоПро»

Алгоритм действий:

• нажать кнопку «Пуск»;
• в строке «Все программы» выбрать «КриптоПРО»;
• войти в раздел «Сертификаты».

На дисплее появится окно со списком всех установленных на жестком диске сертификационных файлов. Информацию можно просматривать, копировать и удалять. Для этого необходимо обладать правами администратора. Пользователям в гостевом статусе доступ к функциям программы закрыт.

Через Certmgr

Встроенный в ОС Windows менеджер позволяет работать с хранящимися на компьютере сертификатами. Используя его, можно просмотреть информацию о действующих ключах, данные удостоверяющего центра-партнера корпорации Microsoft для предоставления привилегий отдельным программам.

Порядок действий:

• войти в меню «Пуск»;
• в командную строку ввести certmgr.msc и нажать Enter;
• в появившемся окне выбрать вкладки «Личное» и «Корневые сертификаты удостоверяющего центра», содержащие полный перечень установленных проверочных ключей.

Невозможно запустить приложение, не обладая правами администратора. Другой недостаток программы – некорректное отображение отдельных электронных подписей из-за проблем в работе с зашифрованными специальным кодом сертификатами.

Через Internet Explorer

В Internet Explorer для просмотра информации об ЭЦП действуют по инструкции:

• открыть страницу веб-обозревателя;
• в меню выбрать пункт «Свойства браузера»;
• во появившемся окне кликнуть на раздел «Содержание»;
• нажать на графу «Сертификаты».

Откроется вкладка, содержащая полный перечень установленных сертификационных файлов. Программное обеспечение сторонних поставщиков отображается отдельно.

Альтернативный вариант действий включает прохождение по такому пути: «Центр управления сетями и общим доступом» – «Свойства браузера» – «Содержание» – «Сертификаты».

Преимущество просмотра ключей через веб-обозреватель – отсутствие необходимости обладания правами администратора. Недостаток – невозможность удаления информации.

Через контроль управления

Разработчики программного обеспечения встроили в Windows специальный инструмент, позволяющий просматривать сертификационные файлы ЭЦП. Порядок действий:

• сочетанием клавиш Win+R и вводом «cmd» вызвать командную строку и нажать «Энтер»;
• после этого перейти по команде mmc в терминал;
• открыть вкладку «Файл»;
• в предлагаемом перечне выбрать «Добавить изолированную оснастку»;
• кликнуть на раздел «Сертификаты».

Для благополучного выполнения процедуры обязательно обладание правами администратора.

Способы добавления новой ЭЦП

Для добавления новой ЭЦП с помощью программы «КриптоПро» рекомендуется использовать способ установки через контейнер. Для этого нужно выйти из меню «Пуск» в панель управления, найти и открыть соответствующую утилиту. Во вкладке «Сервис» активировать опцию просмотра. Порядок дальнейших действий:

• кликнуть на «Обзор», нажав «Ок», подтвердить согласие после выбора из предлагаемого списка нужного контейнера;
• в новом окне нажать «Далее» и запустить функцию установки;
• согласиться с условиями, описанными в предложении системы.

Установить выбранный сертификат в последних версиях программного обеспечения можно кликом на одноименную кнопку в разделе «Общие». Место хранения загруженных ключей – папка «Личное». Альтернатива автоматическому выбору хранилища – ручной ввод адреса сертификационного файла ЭЦП.

При правильном выполнении процедуры Windows оповещает пользователя о благополучном завершении импорта. Новая электронно-цифровая подпись добавлена на жесткий диск персонального компьютера.

Альтернативный способ установки ЭЦП через меню личных сертификатов не заслуживает внимания ввиду редкого использования.

Что такое сертификаты Windows 10

Сертификат — это зашифрованные файлы с личной информацией, посредством которых обеспечивается безопасный обмен данными в сети между сторонами, участвующими в таком обмене. Благодаря сертификатам пользователь или субъект может быть идентифицирован издателем или владельцем. По такому принципу работают сайты государственных услуг. Для подачи запроса на получение какого-либо документа нет необходимости лично ехать в госорган и предоставлять паспорт, ваша личность подтверждается с помощью цифрового сертификата.

Сертификат включает в себя поле открытый ключ владельца, в который пользователем вносятся данные и после чего передаются в зашифрованном виде. Для открытия сообщений и их расшифровки владелец использует закрытый ключ. Сертификаты выдаются центром сертификации (удостоверяющим центром) — органом или организацией которые, как правило, являются сторонними издателями сертификатов.

Где хранятся сертификаты

Для хранения сертификатов используются специальные хранилища. В системе они представлены обычно 2-мя типами:

• хранилище локального компьютера
• хранилище текущего пользователя.

Пользователь с правами администратора имеет возможность просмотра всех хранилищ. Обычные пользователи, не обладающие правами администратора, имеют доступ лишь ко второму типу.

В хранилище локального компьютера содержатся сертификаты глобальные для всех пользователей, а в хранилище текущего пользователя находятся сертификаты для конкретной учетной записи.

В свою очередь хранилища внутри разделяются на вложенные хранилища, т.е. сертификаты группируются в зависимости от назначения сертификата.

Сертификаты для текущего пользователя наследуют содержимое хранилищ с сертификатами локального компьютера.

Просмотр сертификатов

Если в работе с сертификатами перед вами встал вопрос о необходимости их просмотра, проверки каких-либо свойств или просто из любопытства ниже мы рассмотрим доступные для этих целей способы.

С помощью консоли управления

На клавиатуре наберите сочетание клавиш Win+R → в строку открыть введите «MMC» → Ok. Если на экран будет выведено окно контроля учетных записей нажмите кнопку «Да», тем самым дав разрешение на внесение изменений приложением.

После открытия консоли в меню Файл → выберите Добавить или удалить оснастку.

В открывшемся окне справа вы увидите список доступных оснасток. Выберите Сертификаты → нажмите кнопку Добавить.

Далее будет предложено выбрать какими сертификатами нужно управлять. Выберите «учетной записи компьютера» → Далее.

Если вы не являетесь администратором компьютера управление сертификатами можно будет осуществлять только для учетной записи пользователя под которой был выполнен вход в систему.

В следующем окне оставьте выбранным параметр «локальным компьютером» → нажмите кнопку Готово.

Вы вернетесь к окну Добавление и удаление оснасток, где в выбранных оснастках (слева) появятся Сертификаты (локальный компьютер) → нажмите Ok.

В Корне консоли разверните список каталогов. Все установленные сертификаты будут отсортированы по типам. Раскрыв нужный тип можно выполнить просмотр, экспорт, импорт или удаление сертификатов.

Диспетчер сертификатов

Для просмотра сертификатов пользователя можно воспользоваться командой certmgr.msc (сертификаты локального компьютера можно открыть командой certlm.msc) введя ее в диалоговое окно Выполнить. После чего будет открыт диспетчер сертификатов. Для просмотра нужного типа щелкните по сертификату в левой части окна.

Internet Explorer

Запустите браузер Internet Explorer (например, найдя его через кнопку Поиск на панели задач) → щелкните по значку в виде шестеренки Сервис (или Alt+X) → Свойства браузера.

В окне Свойств браузера перейдите ко вкладке Содержание → в разделе Сертификаты щелкните одноименную кнопку.

В открывшемся окне можно управлять установленными сертификатами (! не имея при этом прав администратора в системе). Для удобства просмотра можно отфильтровать их по назначению либо воспользоваться вкладками, группирующими сертификаты по типу.

Окно свойство браузера можно также открыть через Панель управления. Для этого откройте классическую Панель управления → Свойства браузера → Содержание → Сертификаты.

Обновлено 24.11.2016

Добрый день уважаемые читатели блога Pyatilistnik.org, меня уже на протяжении этого месяца, несколько раз спрашивали в электронной почте, где хранятся сертификаты в windows системах, ниже я подробнейшим образом вам расскажу про этот вопрос, рассмотрим структуру хранилища, как находить сертификаты и где вы это можете использовать на практике, особенно это интересно будет для тех людей, кто часто пользуется ЭЦП (электронно цифровой подписью)

Для чего знать где хранятся сертификаты в windows

Давайте я вам приведу основные причины, по которым вы захотите обладать этим знанием:

• Вам необходимо посмотреть или установить корневой сертификат
• Вам необходимо посмотреть или установить личный сертификат
• Любознательность

Ранее я вам рассказывал какие бывают сертификаты и где вы их можете получить и применять, советую ознакомиться с данной статьей, так как информация изложенная в ней является фундаментальной в этой теме.

Во всех операционных системах начиная с Windows Vista и вплоть до Windows 10 Redstone 2 сертификаты хранятся в одном месте, неком таком контейнере, который разбит на две части, один для пользователя, а второй для компьютера.

В большинстве случаев в Windows поменять те или иные настройки вы можете через mmc оснастки, и хранилище сертификатов не исключение. И так нажимаем комбинацию клавиш WIN+R и в открывшемся окне выполнить, пишем mmc.

Теперь в пустой mmc оснастке, вы нажимаете меню Файл и выбираете Добавить или удалить оснастку (сочетание клавиш CTRL+M)

В окне Добавление и удаление оснасток, в поле Доступные оснастки ищем Сертификаты и жмем кнопку Добавить.

Тут в диспетчере сертификатов, вы можете добавить оснастки для:

• моей учетной записи пользователя
• учетной записи службы
• учетной записи компьютера

Я обычно добавляю для учетной записи пользователя

и компьютера

У компьютера есть еще дополнительные настройки, это либо локальный компьютер либо удаленный (в сети), выбираем текущий и жмем готово.

В итоге у меня получилось вот такая картина.

Сразу сохраним созданную оснастку, чтобы в следующий раз не делать эти шаги. Идем в меню Файл > Сохранить как.

Задаем место сохранения и все.

Как вы видите консоль хранилище сертификатов, я в своем примере вам показываю на Windows 10 Redstone, уверяю вас интерфейс окна везде одинаковый. Как я ранее писал тут две области Сертификаты — текущий пользователь и Сертификаты (локальный компьютер)

Сертификаты — текущий пользователь

Данная область содержит вот такие папки:

1. Личное > сюда попадают личные сертификаты (открытые или закрытые ключи), которые вы устанавливаете с различных рутокенов или etoken
2. Доверительные корневые центры сертификации > это сертификаты центров сертификации, доверяя им вы автоматически доверяете всем выпущенным ими сертификатам, нужны для автоматической проверки большинства сертификатов в мире. Данный список используется при цепочках построения доверительных отношений между CA, обновляется он в месте с обновлениями Windows.
3. Доверительные отношения в предприятии
4. Промежуточные центры сертификации
5. Объект пользователя Active Directory
6. Доверительные издатели
7. Сертификаты, к которым нет доверия
8. Сторонние корневые центры сертификации
9. Доверенные лица
10. Поставщики сертификатов проверки подлинности клиентов
11. Local NonRemovable Certificates
12. Доверительные корневые сертификаты смарт-карты

В папке личное, по умолчанию сертификатов нет, если вы только их не установили. Установка может быть как с токена или путем запроса или импорта сертификата.

В мастере импортирования вы жмете далее.

далее у вас должен быть сертификат в формате:

• PKCS # 12 (.PFX, .P12)
• Стандарт Cryprograhic Message Syntax — сертификаты PKCS #7 (.p7b)
• Хранилище сериализованных сертификатов (.SST)

На вкладке доверенные центры сертификации, вы увидите внушительный список корневых сертификатов крупнейших издателей, благодаря им ваш браузер доверяет большинству сертификатов на сайтах, так как если вы доверяете корневому, значит и всем кому она выдал.

Двойным щелчком вы можете посмотреть состав сертификата.

Из действий вы их можете только экспортировать, чтобы потом переустановить на другом компьютере.

Экспорт идет в самые распространенные форматы.

Еще интересным будет список сертификатов, которые уже отозвали или они просочились.

Список пунктов у сертификатов для компьютера, слегка отличается и имеет вот такие дополнительные пункты:

• AAD Token Issue
• Windows Live ID Token
• Доверенные устройства
• Homegroup Machine Certificates

Думаю у вас теперь не встанет вопрос, где хранятся сертификаты в windows и вы легко сможете найти и корневые сертификаты и открытые ключи.

Где в Windows хранятся корневые сертификаты Центров Сертификации (CA)

Общесистемные корневые CA сертификаты

Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.

В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.

Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:

Перейдите в раздел «Доверенные корневые центры сертификации» → «Сертификаты»:

Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.

Просмотр сертификатов в PowerShell

Чтобы просмотреть список сертификатов с помощью PowerShell:

Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):

Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:

Сертификаты уровня пользователей:

Сертификаты уровня компьютера:

Сертификаты уровня служб:

Сертификаты уровня Active Directory:

И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.

Пользовательские сертификаты (файлы):

Компьютерные сертификаты (файлы):

Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.

Google Chrome

Использует общесистемные доверенные корневые центры сертификации.

Чтобы перейти к списку сертификатов из веб браузера:

Настройки → Приватность и Защита → Безопасность → Управление сертификатами → Просмотр сертификатов → Центры сертификации → Доверенные корневые центры сертификации:

Opera

Чтобы перейти к списку сертификатов из веб браузера: Настройки → Перейти к настройкам браузера → Дополнительно → Безопасность → Ещё → Настроить сертификаты → Доверенные корневые центры сертификации:

Firefox

Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:

Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».

Источник

Где хранятся сертификаты в реестре windows 10

Добрый день уважаемые читатели блога Pyatilistnik.org, меня уже на протяжении этого месяца, несколько раз спрашивали в электронной почте, где хранятся сертификаты в windows системах, ниже я подробнейшим образом вам расскажу про этот вопрос, рассмотрим структуру хранилища, как находить сертификаты и где вы это можете использовать на практике, особенно это интересно будет для тех людей, кто часто пользуется ЭЦП (электронно цифровой подписью)

Для чего знать где хранятся сертификаты в windows

Давайте я вам приведу основные причины, по которым вы захотите обладать этим знанием:

Ранее я вам рассказывал какие бывают сертификаты и где вы их можете получить и применять, советую ознакомиться с данной статьей, так как информация изложенная в ней является фундаментальной в этой теме.

Во всех операционных системах начиная с Windows Vista и вплоть до Windows 10 Redstone 2 сертификаты хранятся в одном месте, неком таком контейнере, который разбит на две части, один для пользователя, а второй для компьютера.

В большинстве случаев в Windows поменять те или иные настройки вы можете через mmc оснастки, и хранилище сертификатов не исключение. И так нажимаем комбинацию клавиш WIN+R и в открывшемся окне выполнить, пишем mmc.

Теперь в пустой mmc оснастке, вы нажимаете меню Файл и выбираете Добавить или удалить оснастку (сочетание клавиш CTRL+M)

В окне Добавление и удаление оснасток, в поле Доступные оснастки ищем Сертификаты и жмем кнопку Добавить.

Тут в диспетчере сертификатов, вы можете добавить оснастки для:

Я обычно добавляю для учетной записи пользователя

У компьютера есть еще дополнительные настройки, это либо локальный компьютер либо удаленный (в сети), выбираем текущий и жмем готово.

В итоге у меня получилось вот такая картина.

Сразу сохраним созданную оснастку, чтобы в следующий раз не делать эти шаги. Идем в меню Файл > Сохранить как.

Задаем место сохранения и все.

Данная область содержит вот такие папки:

В папке личное, по умолчанию сертификатов нет, если вы только их не установили. Установка может быть как с токена или путем запроса или импорта сертификата.

В мастере импортирования вы жмете далее.

далее у вас должен быть сертификат в формате:

На вкладке доверенные центры сертификации, вы увидите внушительный список корневых сертификатов крупнейших издателей, благодаря им ваш браузер доверяет большинству сертификатов на сайтах, так как если вы доверяете корневому, значит и всем кому она выдал.

Двойным щелчком вы можете посмотреть состав сертификата.

Из действий вы их можете только экспортировать, чтобы потом переустановить на другом компьютере.

Экспорт идет в самые распространенные форматы.

Еще интересным будет список сертификатов, которые уже отозвали или они просочились.

Список пунктов у сертификатов для компьютера, слегка отличается и имеет вот такие дополнительные пункты:

Думаю у вас теперь не встанет вопрос, где хранятся сертификаты в windows и вы легко сможете найти и корневые сертификаты и открытые ключи.

Популярные Похожие записи:

34 Responses to Где хранятся сертификаты в windows системах

certmgr.msc и сразу попадаем в нужную консоль

Как я и писал, в сертификаты компьютера вы так не попадете.

А где они реально сами лежат в файлах, реестре?

Спасибо! Всё описал и ничего лишнего!

Интересует некий нюанс экспорта/импорта сертификатов.
Если есть необходимость ВСЕ установленные сертификаты перенести на этот же комп, после переустановки системы. Т.е. групповой экспорт/импорт.
Опять же интересует такая вещь, что если существуют «общесистемные» сертификаты (т.е. которые уже есть в винде при установке, по умолчанию), то наверное их не надо экспортировать/импортировать, потому что в старой системе могут оказаться отозванные, просроченные и пр. устаревшие сертификаты.
Т.е как вытянуть только все свои, установленные пользователем сертификаты, за один проход?

Через графический интерфейс ни как, попробуйте воспользоваться Powershell комапдлетами.

Так и остался не отвеченным вопрос, где они физически находятся…

Win 7 x64
Папка: C:Userssa-024AppDataRoamingMicrosoftSystemCertificatesMy
Реестр: HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsUsersS-1-5-21-2466579141-2672595957-3228453836-1000Keys

Только пока не нашел, где доверенные сертификаты лежат.

Дорогие мои!
Не тратьте время на пустое!

Не надо их переносить и искать физически.
За исключением случаев переноса сертификата для особых целей.

Совет специалиста.
Во время работы в Интернете, откройте Консоль как показано в этой статье
и удалите ничего не опасаясь все без исключения сертификаты!
Далее посетите сайты
_microsoft.com
_google.com
_yahoo.com
И все нужные сертификаты с обновленным Сроком действия снова вернутся на ваш Компьютер!

Вопрос. Укажите, пожалуйста, где же хранятся сертификаты в Windows 10?

Какие именно, личные или промежуточные, корневые?

библиотека Python response при обращении к https:\ требует указания в качестве параметра пути к сертификатам. Какой путь надо указать для windows 10 и windows server 2012?

Очень помогла статья. Спасибо вам огромное за вашу работу!

Здравствуйте, а сертификаты безопасности, что с ними делать? а то у меня не работает и-за них Директ Коммандер.

В каком формате или виде они вас, опишите не совсем понятно

на телефоне как удалить?плиис,помогите

всем любопытным ответ на вопрос:
физически они находятся в реестре

Большое спасибо, что действительно помогли мне 🙂

гениальный ответ Дениса заставляет прослезится, вопрос был ГДЕ находятся сертификаты. То что они в реестре и так известно

Полезная статья, спасибо!)

Рад, что вам подошло

Попробовал скопировать сертификат из реестра одного компьютера на другой.
При экспорте с закрытым ключем запрашивает пароль. Ввожу пароль из цифр.

Вообще странно, если пароль вы установили, то измениться он не мог. ОС какая у вас?

0;1%
if ‘%choice%’==’1’ goto 1
if ‘%choice%’==’2’ goto 2
if not ‘%choice%’==» echo «%choice%» Bad points
cls

goto start
:1
mkdir %systemdrive%Cert_User%username%
set «exec=wmic useraccount where name=»%username%» get sid /value»
for /f %%i in (‘ «%exec%» ‘) do 1>nul set «%%i»
reg export «HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProSettingsUsers%sid%Keys» %systemdrive%Cert_User%username%_Cert_CryptoPro.reg /y
start %systemdrive%Cert_User%username%
cls

goto start
:2
mkdir %systemdrive%Cert_UserSystemCertificates
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesACRS» %systemdrive%Cert_UserSystemCertificatesACRS_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesADDRESSBOOK» %systemdrive%Cert_UserSystemCertificatesADDRESSBOOK_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesAuthRoot» %systemdrive%Cert_UserSystemCertificatesAuthRoot_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesCA» %systemdrive%Cert_UserSystemCertificatesCA_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesClientAuthIssuer» %systemdrive%Cert_UserSystemCertificatesClientAuthIssuer_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesDisallowed» %systemdrive%Cert_UserSystemCertificatesDisallowed_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesLocal NonRemovable Certificates» %systemdrive%Cert_UserSystemCertificatesLocal_NonRemovable_Certificates_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesMSIEHistoryJournal» %systemdrive%Cert_UserSystemCertificatesMSIEHistoryJournal_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesMy» %systemdrive%Cert_UserSystemCertificatesMy_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesREQUEST» %systemdrive%Cert_UserSystemCertificatesREQUEST_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesRoot» %systemdrive%Cert_UserSystemCertificatesRoot_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesSmartCardRoot» %systemdrive%Cert_UserSystemCertificatesSmartCardRoot_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatestrust» %systemdrive%Cert_UserSystemCertificatestrust_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesTrustedPeople» %systemdrive%Cert_UserSystemCertificatesTrustedPeople_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesTrustedPublisher» %systemdrive%Cert_UserSystemCertificatesTrustedPublisher_Cert.reg /y
reg export «HKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificatesUserDS» %systemdrive%Cert_UserSystemCertificatesUserDS_Cert.reg /y
start %systemdrive%Cert_UserSystemCertificates
cls
goto start

Ну так ГДЕ корневые сертификаты находятся на локальном диске физически? Это лишь консоль (и за неё спасибо), но всё же, ГДЕ сами файлы оказываются… Надо искать через программу обнаружитель изменений, типа «Простой наблюдатель»… Или через поисковик Виндовс просто найти по расширению.

Источник

Как узнать, где хранятся сертификаты ЭЦП на компьютере

В период широко распространяющегося внедрения инновационных технологий электронный документооборот уверенно вытесняет стандартные бумажные носители. Для защиты официальной информации от несанкционированного использования цифровой подписи сторонними лицами нужно знать, где хранятся сертификаты ЭЦП на компьютере.

Что такое сертификат ЭЦП

Сегодня все чаще встречается дистанционное оформление бумаг. Сделки заключаются удаленно, присутствие сторон необязательно. Удостоверяющий центр выпускает специальную бумагу в электронном или бумажном формате. С его помощью подтверждается подлинность цифровой подписи, перекрывается доступ сторонним лицам к закрытой информации.

В сертификате ЭЦП содержатся следующие данные:

В отдельных случаях в него включаются дополнительные данные пользователя и издателя, адреса служб штампов времени и действующих статусов сертификатов и т.п.

Аккредитованный удостоверяющий центр в момент выпуска документа генерирует ключ проверки. При этом сохраняются сведения о владельце электронной подписи в специальном файловом массиве.

Места хранения ЭЦП

Допускается использовать ЭЦП одновременно на нескольких устройствах. Предварительно нужно узнать, где на персональном компьютере хранится файл сертификата.

На ПК

Доступ к открытому ключу для возможности его прочтения на ПК можно получить посредством проводника. Для этого задается направление по адресу: C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates. Способ используется на платформе Vista и более поздних версиях программного обеспечения.

Получить доступ к закрытому сертификату через жесткий диск компьютера не удастся. Информация, предназначенная для генерации открытых ключей, заносится на защищенный USB-рутокен. Открыть файл можно исключительно после ввода пароля, полученного в аккредитованном удостоверяющем центре.

Кроме того, найти сертификат ЭЦП на компьютере можно в зашифрованном формате в отдельной папке Windows. Просмотреть или сделать дубликаты содержащихся в ней данных не удастся, т.к. операционная система ограничивает доступ.

Следует учитывать, что пользователям, не наделенным правами администратора, не разрешен просмотр файла сертификата. Посетители в статусе «Гость» не допускаются к просмотру информации, содержащейся в системных папках компьютерного диска С.

В операционной системе Windows XP

В ОС Windows XP открытые ключи размещаются в персональном хранилище. От несанкционированного изменения общедоступные сведения защищает электронная подпись аккредитованного центра сертификации. Для просмотра ищем папку Documents and Setting. После этого вводится следующая информация:

Открытые сертификаты регистрируются в локальном реестре. Процедура повторяется при каждом входе в систему Windows Server.

В перемещаемых пользовательских профилях контейнер закрытого ключа хранится в папке RSA на доменном контроллере, защищенном специальным шифрованием с использованием симметричного кода. Для создания базового шифра, состоящего из 64 символов, задействуется генератор случайных чисел. Загрузка сертификационного файла выполняется на время работы компьютера.

В реестре

Допускается хранить сертификаты ЭЦП в реестре по аналогии со стандартными ключевыми носителями. Найти перенесенные ключи цифровой подписи можно в папках:

Под Keys SID подразумевается персональное пользовательское имя, удостоверяющее подлинность подписи.

Узнать ключевую комбинацию символов переменной длины можно с использованием командной строки. Для этого в соответствующем окне набирается WHOAMI/ User и нажимается клавиша Enter.

В системе Linux

Наименования контейнеров задаются в формате, воспринимаемом бинарными программами, составляющими дистрибутив CSP.

На жестком диске размещено хранилище HDImageStore, куда заносятся закрытые ключи. Доступ к ним открыт и для JCP.

Для хранения сертификатов в ОС Linux создается специальная директория. Путь к ним открывается вручную вводом особых команд.

Как посмотреть

Для просмотра перечня проверочных ключей электронно-цифровой подписи, удаления элементов или копирования на внешний носитель пользуются браузером Internet Explorer, панелью управления или специфическими утилитами.

Через «КриптоПро»

На дисплее появится окно со списком всех установленных на жестком диске сертификационных файлов. Информацию можно просматривать, копировать и удалять. Для этого необходимо обладать правами администратора. Пользователям в гостевом статусе доступ к функциям программы закрыт.

Через Certmgr

Встроенный в ОС Windows менеджер позволяет работать с хранящимися на компьютере сертификатами. Используя его, можно просмотреть информацию о действующих ключах, данные удостоверяющего центра-партнера корпорации Microsoft для предоставления привилегий отдельным программам.

Невозможно запустить приложение, не обладая правами администратора. Другой недостаток программы – некорректное отображение отдельных электронных подписей из-за проблем в работе с зашифрованными специальным кодом сертификатами.

Через Internet Explorer

В Internet Explorer для просмотра информации об ЭЦП действуют по инструкции:

Откроется вкладка, содержащая полный перечень установленных сертификационных файлов. Программное обеспечение сторонних поставщиков отображается отдельно.

Альтернативный вариант действий включает прохождение по такому пути: «Центр управления сетями и общим доступом» – «Свойства браузера» – «Содержание» – «Сертификаты».

Преимущество просмотра ключей через веб-обозреватель – отсутствие необходимости обладания правами администратора. Недостаток – невозможность удаления информации.

Через контроль управления

Разработчики программного обеспечения встроили в Windows специальный инструмент, позволяющий просматривать сертификационные файлы ЭЦП. Порядок действий:

Для благополучного выполнения процедуры обязательно обладание правами администратора.

Способы добавления новой ЭЦП

Для добавления новой ЭЦП с помощью программы «КриптоПро» рекомендуется использовать способ установки через контейнер. Для этого нужно выйти из меню «Пуск» в панель управления, найти и открыть соответствующую утилиту. Во вкладке «Сервис» активировать опцию просмотра. Порядок дальнейших действий:

Установить выбранный сертификат в последних версиях программного обеспечения можно кликом на одноименную кнопку в разделе «Общие». Место хранения загруженных ключей – папка «Личное». Альтернатива автоматическому выбору хранилища – ручной ввод адреса сертификационного файла ЭЦП.

При правильном выполнении процедуры Windows оповещает пользователя о благополучном завершении импорта. Новая электронно-цифровая подпись добавлена на жесткий диск персонального компьютера.

Альтернативный способ установки ЭЦП через меню личных сертификатов не заслуживает внимания ввиду редкого использования.

Источник

Где хранится на компьютере сертификат электронной подписи

Важная составляющая электронной подписи — сертификат, который не только хранит важную информацию, но и является своеобразным паспортом участника электронного документооборота. Чтобы работа с ЭП не вызывала затруднений, пользователю необходимо знать о том, где хранится электронная подпись и ее сертификат, и как установить или добавить ЭЦП с ключом в хранилище.

Что такое сертификат пользователя

Сертификат цифровой подписи — это бумажный или электронный документ, выданный аккредитованным удостоверяющим центром, и подтверждающий принадлежность ЭЦП конкретному владельцу. В процессе генерации ключа вся информация о его владельце сохраняется, а полученный файл и есть сертификат ключа ЭЦП. Обязательная составляющая файла — открытый ключ и данные о владельце подписи, а также УЦ, выдавшем ЭП.

Как долго нужно хранить документ

Сертификат ЭЦП действителен лишь в течение строго установленного периода времени, равного одному году. По прошествии года цифровая подпись теряет свою функциональность и становится обязательной к замене. Вместе с новой ЭП владелец получает и новый сертификат.

Сколько времени нужно хранить сертификат ЭЦП зависит от того, какая информация в нем содержится. Полезный срок действия и содержание документа связаны между собой: чем больше информации, тем полезный срок действия документа меньше. Объясняется это тем, что данные, указанные в документе, могут измениться. Часто владельцы ЭЦП ждут истечения срока действия подписи, чтобы обновить информацию, поэтому минимум информации в электронном документе позволит продлить его актуальность.

В удостоверяющем центре сроки хранения ключа в электронной форме определяются договорными условиями между УЦ и владельцем ЭЦП. В течение срока хранения ключа все участники информационной системы имеют к нему доступ. После аннулирования сроки хранения в УЦ определяются статьей ФЗ о законном сроке исковой давности. После его истечения сертификат исключается из единого реестра ключей ЭЦП и переводится на архивное хранение, которое составляет 5 лет. В течение этого срока выдача копий осуществляется по запросу и в соответствии с действующим законодательством.

На бумажном носителе ключ хранится в течение срока, установленного ФЗ РФ об архивном деле и архивах. С 2003 г. согласно новым поправкам срок хранения составляет 50 лет с момента поступления документа.

Где хранится ЭЦП в реестре

В реестре хранить ключи электронной подписи можно как на обычном ключевом носителе. После переноса они находятся в папках:

SID — это идентификатор пользователя или информационная структура переменной длины, идентифицирующая персональную запись пользователя или группы, ПК или домена. Узнать его можно через командную строку при помощи команды WHOAMI/User:

Для удобства пользователя номер можно скопировать в файл на рабочем столе, чтобы каждый раз не выполнять операцию по его проверке.

Где хранится сертификат в ОС Windows

Установка или просмотр корневого или личного сертификата (ЛС) невозможна без знания места хранения подписи в ОС. Все версии Windows помещают ключи ЭЦП в так называемый контейнер, который раздел на часть для пользователя и ПК.

Поменять настройки хранения ключа можно через mmc оснастку, которая выводится комбинацией клавиш WIN+R:

В корне консоли комбинацией клавиш CTRL+M через Файл можно добавить или удалить оснастку:

В открывшемся окне пользователь выбирает поле доступных оснасток, затем «Сертификаты» и нажимает добавление:

Диспетчер позволяет добавить новую оснастку для персональной учетной записи, учетной записи ПК или службы. Если добавляется учетная запись ПК, то в ней есть дополнительные настройки:

Выбрать необходимо локальный ПК, после чего нажать «Готово». Откроется вот такое окно:

Созданную оснастку нужно сохранить через пункт меню «Файл». Для удобства работы местом сохранения выбирают рабочий стол:

В корневой консоли область сертификатов разделена на 2 части для пользователя и ПК. Область пользователя содержит несколько папок:

Обычно изначально папка «Личное» не содержит сертификатов. Перенести один сертификат в папку можно через запрос или импорт:

Далее необходимо нажать в мастере импортирования «Далее». Нужный сертификат обычно имеет следующий формат:

Через вкладку доверенных сертификатов откроется большой список корневых, который необходим для нормальной работы на интернет-пространстве:

Состав любого из них можно посмотреть через двойной щелчок мыши, а из действий пользователю доступен экспорт для последующей переустановки на другой ПК. Экспорт возможен в разных распространенных форматах:

Полезной для пользователя будет и папка, содержащая недействительные и просроченные сертификаты. Поскольку их своевременное обновление и замена позволят избежать проблем с работой компьютера.

Добавление новой ЭЦП

Добавить в хранилище сертификатов через меню КриптоПро CSP новый объект можно двумя способами:

Для ОС Windows 7 без установленного SP1 рекомендован второй путь.

Установка через контейнер

Для начала нужно открыть Панель управления ПК, выбрать там КриптоПро и вкладку Сервис, после чего нажать кнопку просмотра:

В новом окне через «Обзор» пользователь выбирает нужный контейнер, и подтверждает действие через «ОК»:

Если после нажатия «Далее» выходит ошибка о том, что в контейнере закрытых ключей и сертификатов не обнаружен ключ шифрования, то рекомендуется совершить установку вторым методом.

В программе КриптоПро CSP версии 3.6 и выше в открывшемся окне необходимо нажать «Далее», «Установить» и согласиться с предложенными условиями. В иных версиях программы в поле «Сертификат для просмотра» пользователь должен открыть свойства.

Следующий шаг: через вкладку «Общие» перейти к установке сертификата:

На последних версиях ПО просто выберите хранилище ключей ЭЦП. Обычно после подтверждения действия в автоматическом режиме ключ попадает в папку «Личные»:

Если все сделано правильно, то появится сообщение об успешном импорте.

Установка через меню ЛС

Откроется Мастер установки, в котором сначала пользователь нажимает «Далее», а затем переходит к выбору нужного файла через «Обзор»:

Чтобы выбрать путь, нужно открыть хранилище сертификатов, и нажать «Далее». Пароль на хранилище ключей обычно стандартный, и равен комбинации чисел от 1 до 6:

Если есть необходимость, то в новом окне можно посмотреть информацию о сертификате, а если нет — можно сразу переходить к следующему шагу:

Пользователь должен ввести или указать контейнер закрытого ключа КриптоПро, который содержит искомый электронный документ. Сделать это можно через кнопку «Обзор»:

Подтверждает свой выбор пользователь через нажатие «Далее»:

Следующий шаг — выбор хранилища, куда будет помещен новый ключ. Для этого в соответствующем окне нажимают «Обзор». В версии КриптоПро 3.6 и выше необходимо также установить флажок напротив пункта об установке сертификата в контейнер:

Далее нужно выбрать хранилище и подтвердить действие:

Если после последующего нажатия «Далее» и «Готово» появилось сообщение о том, что данный сертификат уже имеется на ПК, и его можно заменить на новый с проставленной ссылкой на закрытый ключ, то нужно нажать «Да». При правильно выполненных действиях в течение нескольких секунд появится сообщение об успешной установке ЛС на компьютер.

Работа с электронной цифровой подписью иногда требует обновления или переустановки сертификатов, а также проверки их актуальности. Для этого пользователю необходимо знать и место их хранения в реестре, и в операционной системе и понимать, как можно осуществить установку или экспорт. Обычно процесс поиска интересующего ключа ЭЦП занимает несколько минут и при следовании инструкции не вызывает ошибок или проблем. Если во время установки сертификатов происходят повторяющиеся сбои или системные ошибки, то лучше обратиться в службу технической поддержки для разъяснения ситуации.

Источник

Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.

В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.

Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:

certmgr.msc

Перейдите в раздел «Доверенные корневые центры сертификации» → «Сертификаты»:

Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.

Просмотр сертификатов в PowerShell

Чтобы просмотреть список сертификатов с помощью PowerShell:

Get-ChildItem cert:LocalMachineroot | format-list

Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):

Get-ChildItem cert:LocalMachineroot | Where {$_.Subject -Match "HackWare"} | format-list

Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:

Сертификаты уровня пользователей:

• HKEY_CURRENT_USERSoftwareMicrosoftSystemCertificates — содержит настройки сертификатов для текущего пользователя
• HKEY_CURRENT_USERSoftwarePoliciesMicrosoftSystemCertificates — как и предыдущее расположение, но это соответствует сертификатам пользователей, развёрнутым объектом групповой политики (GPO (Group Policy))
• HKEY_USERSSID-UserSoftwareMicrosoftSystemCertificates — соответствует настройке определённых пользовательских сертификатов. У каждого пользователя есть своя ветка в реестре с SID (идентификатор безопасности).

Сертификаты уровня компьютера:

• HKEY_LOCAL_MACHINESoftwareMicrosoftSystemCertificates — содержит настройки для всех пользователей компьютера
• HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificates — как и предыдущее расположение, но это соответствует сертификатам компьютера, развёрнутым объектом групповой политики (GPO (Group Policy))

Сертификаты уровня служб:

• HKEY_LOCAL_MACHINESoftwareMicrosoftCryptographyServicesServiceNameSystemCertificates — содержит настройки сертификатов для всех служб компьютера

Сертификаты уровня Active Directory:

• HKEY_LOCAL_MACHINESoftwareMicrosoftEnterpriseCertificates — сертификаты, выданные на уровне Active Directory.

И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.

Пользовательские сертификаты (файлы):

• %APPDATA%MicrosoftSystemCertificatesMyCertificates
• %USERPROFILE%AppDataRoamingMicrosoftCryptoRSASID
• %USERPROFILE%AppDataRoamingMicrosoftCredentials
• %USERPROFILE%AppDataRoamingMicrosoftProtectSID

Компьютерные сертификаты (файлы):

• C:ProgramDataMicrosoftCryptoRSAMachineKeys

Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.

Google Chrome

Использует общесистемные доверенные корневые центры сертификации.

Чтобы перейти к списку сертификатов из веб браузера:

Настройки → Приватность и Защита → Безопасность → Управление сертификатами → Просмотр сертификатов → Центры сертификации → Доверенные корневые центры сертификации:

Opera

Чтобы перейти к списку сертификатов из веб браузера: Настройки → Перейти к настройкам браузера → Дополнительно → Безопасность → Ещё → Настроить сертификаты → Доверенные корневые центры сертификации:

Firefox

Использует NSS.

Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:

Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».

Содержание

• Способ 1: «Диспетчер сертификатов»
• Способ 2: Оснастка «MMC»
• Способ 3: «Панель управления»
• Способ 4: Браузер Microsoft Edge
• Вопросы и ответы

Способ 1: «Диспетчер сертификатов»

Благодаря цифровым сертификатам пользователь может безопасно обновлять систему через «Центр обновлений» и выполнять другие действия в интернете, например обмениваться данными без опасения, что на ПК попадут подозрительные утилиты или файлы. В Windows 10 предусмотрен «Диспетчер сертификатов», через который можно посмотреть зашифрованные данные:

1. Отыщите через «Пуск» диспетчер, прописав certmgr.msc. Запустите приложение от имени администратора.



2. На панели слева отобразятся разделы с различными типами цифровых сертификатов.



3. В каталоге «Личное» по умолчанию сертификатов нет, поскольку пользователь самостоятельно их устанавливает с токена или делает импорт данных. «Доверенные корневые центры сертификации» позволяют посмотреть данные от крупнейших издательств, которые представлены во внушительном списке. Благодаря им используемый браузер доверяет сертификатам большинства сайтов. Это обеспечивает безопасное пребывание в сети.



4. Чтобы посмотреть содержимое корневого сертификата, дважды щелкните левой кнопкой мыши по его названию. В дополнительном окне есть общая информация, подробный состав и свойства каждого элемента, а также путь сертификации.



5. С помощью «Мастера экспорта» можно скопировать сертификаты в самых распространенных форматах на другой компьютер. Чтобы запустить средство, нажмите на нужный объект правой кнопкой мыши, наведите курсор на «Все задачи», затем кликните по строке «Экспорт…».



6. Для просмотра сертификатов в Windows 10 изучите разделы — их название говорит о содержимом. Зная название зашифрованных данные, можно отыскать их, если использовать вкладку «Действие» и функцию «Поиск сертификатов…».

Способ 2: Оснастка «MMC»

Штатный инструмент «Microsoft Management Console» («MMC») представляет собой графический интерфейс, предназначенный для настройки различных программ. Оснастка является компонентом «MMC», в которую встроен набор параметров модуля ОС или приложения. Просматривать и редактировать сертификаты Windows 10 можно, используя оснастку:

1. Через «Пуск» Windows 10 найдите средство и запустите его с расширенными правами: это позволит вручную вносить изменения.



2. В открывшемся окне нажмите на вкладку «Файл» и выберите пункт «Добавить или удалить оснастку…».



3. Отобразится окно, разделенное на две части. Слева нужно выбрать тип оснастки. Отыщите в списке строку «Сертификаты» и кликните по ней левой кнопкой мыши. Нажмите на кнопку «Добавить».



4. В новом окне выберите, какой сертификат будет редактироваться. Если вы не администратор, то управление данными может быть только для учетки пользователя, который выполнил вход в систему. В другом случае выберите пункт «учетной записи компьютера». Кликните по кнопке продолжения.



5. В следующем шаге настройки отметьте то, чем будет управлять оснастка – «локальным компьютером». Нажмите на «Готово».



6. В окне добавления и удаления оснасток в правой части появится пункт «Сертификаты». Нажмите по кнопке «ОК», чтобы закрыть окошко.



7. На панели слева в интерфейсе «MMC» дважды кликните по строке с сертификатами, чтобы посмотреть доступные данные.

Визуально оснастка станет такая же, как и в Способе 1, когда напрямую открывался «Диспетчер сертификатов».

Способ 3: «Панель управления»

Следующий способ подойдет, если никаких изменений в сертификаты вноситься не будет, то есть для визуального просмотра зашифрованных данных. В этом случае перейдите в раздел со свойствами интернета в классической «Панели управления»:

1. Запустите «Панель управления» через кнопку меню «Пуск».



2. Для удобства просмотра разделов выберите крупные или мелкие значки. Кликните по «Свойства браузера».



3. В системном окне перейдите на вкладку «Содержание» и нажмите на кнопку «Сертификаты».



4. Все типы данных разделены по вкладкам. Для просмотра их состава дважды кликните левой кнопкой мыши по названию сертификата.

В этом способе просмотр данных доступен без прав администратора.

Способ 4: Браузер Microsoft Edge

Еще один способ открыть окно с информацией о добавленных сертификатах – это использовать настройки фирменного браузера Microsoft Edge.

1. Запустите обозреватель и откройте главное меню, кликнув по трем точкам в верхнем правом углу. Выберите «Настройки».



2. На левой панели страницы с параметрами перейдите в раздел «Конфиденциальность, поиск и службы». В главном окне отыщите блок «Безопасность» и щелкните по строке «Управление сертификатами».

После этого запустится системное окно, где можно посмотреть сертификаты Windows 10.

Еще статьи по данной теме:

Помогла ли Вам статья?

Данный материал является переводом оригинальной статьи «ATA Learning : Michael Soule : Manage Certs with Windows Certificate Manager and PowerShell».

Работа с сертификатами обычно является одной из тех дополнительных задач, которые вынужден брать на себя системный администратор Windows. Диспетчер Сертификатов Windows (Windows Certificate Manager) — это один из основных инструментов, который позволяет выполнять эту работу.

В этой статье мы рассмотрим работу с сертификатами применительно к операционной системе Windows. Если же вы хотите узнать больше о том, как работают сертификаты в целом, ознакомьтесь с сопутствующей статьей «Your Guide to X509 Certificates».

Понимание хранилищ сертификатов

В диспетчере сертификатов Windows все сертификаты находятся в логических хранилищах, называемых «хранилищами сертификатов». Хранилища сертификатов – это «корзины», в которых Windows хранит все сертификаты, которые в настоящее время установлены, и сертификат может находиться более чем в одном хранилище.

К сожалению, хранилища сертификатов — не самая интуитивно понятная концепция для работы. О том, как различать эти хранилища и как с ними работать, вы прочитаете ниже.

Каждое хранилище находится в Реестре Windows и в файловой системе. При работе с сертификатом в хранилище вы взаимодействуете с логическим хранилищем, не изменяя напрямую реестр или файловую систему. Этот более простой способ позволяет вам работать с одним объектом, в то время как Windows заботится о том, как представить этот объект на диске.

Иногда можно встретить хранилища сертификатов, называемые физическими или логическими хранилищами. Физические хранилища ссылаются на фактическую файловую систему или место в реестре, где хранятся разделы реестра и / или файл(ы). Логические хранилища — это динамические ссылки, которые ссылаются на одно или несколько физических хранилищ. С логическими хранилищами намного проще работать, чем с физическими хранилищами для наиболее распространенных случаев использования.

Windows хранит сертификаты в двух разных областях — в контексте пользователя и компьютера. Сертификат помещается в один из этих двух контекстов в зависимости от того, должен ли сертификат использоваться одним пользователем, несколькими пользователями или самим компьютером. В остальной части этой статьи сертификат в контексте пользователя и компьютера будет неофициально называться сертификатами пользователей и сертификатами компьютеров.

Сертификаты пользователей

Если вы хотите, чтобы сертификат использовался одним пользователем, то идеальным вариантом будет хранилище пользовательских сертификатов внутри Диспетчера сертификатов Windows. Это общий вариант использования процессов аутентификации на основе сертификатов, таких как проводной IEEE 802.1x.

Сертификаты пользователей находятся в профиле текущего пользователя и логически отображаются только в контексте этого пользователя. Сертификаты пользователей «сопоставлены» и уникальны для каждого пользователя даже в одних и тех же системах.

Компьютерные сертификаты

Если сертификат будет использоваться всеми пользователями компьютера или каким-либо системным процессом, его следует поместить в хранилище в контексте компьютера. Например, если сертификат будет использоваться на веб-сервере для шифрования связи для всех клиентов, размещение сертификата в контексте компьютера будет подходящим вариантом.

Вы увидите, что хранилище сертификатов компьютера логически сопоставлено для всех пользовательских контекстов. Это позволяет всем пользователям использовать сертификаты в хранилище сертификатов компьютера в зависимости от разрешений, настроенных для закрытого ключа.

Сертификаты компьютера находятся в кусте реестра локального компьютера и в подкаталогах ProgramData. Сертификаты пользователя находятся в кусте реестра текущего пользователя и в подкаталогах AppData. Ниже вы можете увидеть, где каждый тип хранилища находится в реестре и файловой системе.

Контекст	Путь реестра	Объяснение
User	HKEY_CURRENT_USER SOFTWAREMicrosoftSystemCertificates	Физическое хранилище для пользовательских открытых ключей
User	HKEY_CURRENT_USER SOFTWAREPoliciesMicrosoftSystemCertificates	Физическое хранилище для пользовательских открытых ключей, установленных объектами групповой политики Active Directory (AD) (GPO)
Computer	HKEY_LOCAL_MACHINE SOFTWAREMicrosoftSystemCertificates	Физическое хранилище общедоступных ключей для всей машины
Computer	HKEY_LOCAL_MACHINE SOFTWAREMicrosoftCryptographyServices	Физическое хранилище ключей, связанных с определенной службой
Computer	HKEY_LOCAL_MACHINE SOFTWAREPoliciesMicrosoftSystemCertificates	Физическое хранилище открытых ключей для всей машины, установленных объектами групповой политики.
Computer	HKEY_LOCAL_MACHINE SOFTWAREMicrosoftEnterpriseCertificates	Физическое хранилище общедоступных ключей, установленных корпоративными контейнерами PKI в домене AD

Контекст	Расположение файла	Объяснение
User	$env:APPDATAMicrosoftSystemCertificates	Физическое хранилище для пользовательских открытых ключей и указателей на закрытые ключи
User	$env:APPDATAMicrosoftCrypto	Физическое хранилище для контейнеров закрытых ключей для конкретных пользователей
Computer	$env:ProgramDataMicrosoftCrypto	Физическое хранилище для контейнеров закрытых ключей для всей машины

Предварительные требования

В оставшейся части этой статьи вы найдете несколько примеров, демонстрирующих взаимодействие с хранилищами сертификатов Windows. Чтобы воспроизвести эти примеры, убедитесь, что выполняются следующие требования:

• Windows Vista, Windows Server 2008 или более новая операционная система. В показанных примерах используется Windows 10 Корпоративная версии 1903.
• Знакомство с PowerShell. Хотя это и не обязательно, этот язык будет использоваться для ссылки на сертификаты, где это необходимо. Все показанные примеры были созданы с помощью Windows PowerShell 5.1.
• Вам не потребуется устанавливать какие-либо специальные сертификаты, но использование самозаверяющего сертификата полезно.

Управление сертификатами в Windows

В Windows есть три основных способа управления сертификатами:

• Оснастка консоли управления Microsoft (MMC) сертификатов (certmgr.msc)
• PowerShell
• Инструмент командной строки certutil

В этой статье вы узнаете, как управлять сертификатами с помощью оснастки Certificates MMC и PowerShell. Если вы хотите узнать больше о том, как использовать certutil, ознакомьтесь с документацией Microsoft.

PowerShell против диспетчера сертификатов Windows

Поскольку в Windows можно управлять сертификатами несколькими способами, встаёт вопрос выбора, что лучше использовать — GUI (MMC) или командную строку с PowerShell.

Во-первых, рассмотрим жизненный цикл сертификата. Если вы собираетесь установить или удалить один сертификат только один раз, рассмотрите возможность использования MMC. Но если вы управляете несколькими сертификатами или выполняете одну и ту же задачу снова и снова, использование командной строки может оказаться правильным решением. Даже если вы не умеете писать сценарии PowerShell, вам стоит этому научиться, если у вас есть много разных сертификатов, которыми нужно управлять.

Давайте сначала посмотрим, как обнаружить сертификаты, установленные в Windows, с помощью диспетчера сертификатов и PowerShell.

Использование диспетчера сертификатов Windows (certmgr.msc)

Чтобы просмотреть сертификаты с помощью MMC, откройте Диспетчер сертификатов: откройте меню «Пуск» и введите certmgr.msc. Это вызовет Windows Certificates MMC. Это начальное представление предоставит обзор всех логических хранилищ, отображаемых в левом окне.

На снимке экрана ниже видно, что выбрано логическое хранилище доверенных корневых центров сертификации

Просмотр физических хранилищ

По умолчанию Диспетчер сертификатов Windows не отображает физические хранилища. Чтобы показать их, в верхнем меню оснастки выбирайте «View» > «Options«. Затем вы увидите варианты отображения физических хранилищ сертификатов. Включение этого параметра упрощает определение конкретных путей в Windows.

Теперь вы можете видеть, что дополнительные контейнеры показаны в примере логического хранилища доверенных корневых центров сертификации, показанном ранее. Сертификаты по-прежнему сгруппированы относительно их логических хранилищ, но теперь вы можете увидеть физическое хранилище «Реестр».

Проверка атрибутов в диспетчере сертификатов Windows

Есть много атрибутов сертификата, которые вы можете увидеть при просмотре их с помощью MMC. Например, вы, вероятно, захотите выбрать определенные сертификаты по их атрибутам. Самый простой способ сделать это — указать Serial Number сертификата или значение Thumbprint. Если сертификат был подписан центром сертификации (CA), при выдаче он будет иметь серийный номер. Thumbprint вычисляется каждый раз при просмотре сертификата.

Вы можете увидеть некоторые атрибуты сертификата, открыв его в MMC, как показано ниже.

Следует отметить одну важную особенность — встроенные закрытые ключи. Сертификаты в Windows также могут иметь соответствующий закрытый ключ. Эти закрытые ключи хранятся в соответствующих физических хранилищах в виде зашифрованных файлов.

Чтобы быстро отличать сертификаты с соответствующим закрытым ключом и без него, посмотрите на значок сертификата. В Диспетчере сертификатов Windows, если значок просто выглядит как лист бумаги с лентой, соответствующий закрытый ключ отсутствует. Если у сертификата есть закрытый ключ, вы увидите ключ на значке MMC, и ключ в нижней части вкладки «Общие» при открытии сертификата

Использование PowerShell по физическому хранилищу

Как и в случае с MMC, вы можете просматривать сертификаты и управлять ими с помощью PowerShell. Давайте сначала проверим сертификаты в их физических хранилищах (реестр и файловая система).

Используя PowerShell командлет Get-ChildItem, вы можете перечислить все ключи и значения внутри родительского пути в реестре. Приведенная ниже команда перечислит все сертификаты вошедшего в систему пользователя в логическом хранилище промежуточных центров сертификации.

Get-ChildItem -Path 'HKCU:SoftwareMicrosoftSystemCertificatesCACertificates'

Каждая запись в кусте реестра, который вы видите, будет соответствовать отпечатку сертификата доверенного центра сертификации и его сертификату в соответствующем свойстве. Вы можете увидеть пример вывода ниже.

Другое распространенное хранилище — это Personal store. Ваши сертификаты для этого хранилища находятся в файловой системе, а не в реестре. В следующих командах мы покажем эти различные физические пути и их цели.

Каждый файл в каталоге, возвращенный приведенной ниже командой, соответствует сертификату, установленному в личном хранилище текущего пользователя.

Get-ChildItem -Path $env:APPDATAMicrosoftSystemCertificatesMyCertificates

Каждый файл, возвращаемый в приведенной ниже команде, является ссылкой на объект для закрытого ключа, созданный поставщиком хранилища ключей (KSP). Имя файла соответствует идентификатору ключа субъекта сертификата. К каждому устанавливаемому вами закрытому ключу будет добавлен соответствующий файл.

Get-ChildItem -Path $env:APPDATAMicrosoftSystemCertificatesMyKeys

Каждый файл в каталоге, возвращаемый следующей командой, является уникальным контейнером для зашифрованного закрытого ключа, созданного KSP. Нет прямой связи между именем файла и сертификатом, но файл является целью указателя в предыдущей команде.

Get-ChildItem -Path $env:APPDATAMicrosoftCryptoKeys

Использование PowerShell по логическому хранилищу

Поскольку работа с сертификатами на их физических путях встречается редко, в остальных примерах вы будете работать с логическими хранилищами.

PowerShell может получить доступ к логическим хранилищам Windows с помощью PSDrive-объекта «Cert:«, который сопоставляет сертификаты с физическими хранилищами так же, как это делает MMC.

К сожалению, MMC и «Cert:» не маркируют логические хранилища одинаково. Ниже вы можете увидеть сравнительную таблицу общих хранилищ и их названий как в MMC, так и в «Cert:» PSDrive.

Cert:	Certificates MMC
My	Personal
Remote Desktop	Remote Desktop
Root	Trusted Root Certification Authorities
CA	Intermediate Certification Authorities
AuthRoot	Third-Party Root Certification Authorities
TrustedPublisher	Trusted Publishers
Trust	Enterprise Trust
UserDS	Active Directory User Object

Выбор сертификатов

Когда вы работаете с сертификатами, вам понадобится способ фильтрации и выбора сертификатов для выполнения определенных операций. В большинстве случаев вы будете фильтровать и выбирать сертификаты на основе значения определенного расширения.

Для следующих примеров вам нужно начать с перечисления всех установленных сертификатов в хранилище корневого ЦС.

Get-ChildItem -Path 'Cert:CurrentUserRoot'

Возвращенные объекты будут объектами сертификатов, которые вы можете использовать в следующих примерах.

Общие расширения уже доступны как свойства объектов сертификата. В приведенном ниже примере вы используете Get-Member для вывода списка всех свойств возвращаемых объектов.

Get-ChildItem -Path 'Cert:CurrentUserRoot' | Get-Member -MemberType Properties

Как видим, некоторые из этих расширений, например «Issuer», помогают найти сертификат, который вы ищете. Расширения предоставляют информацию о сертификате, например, кому он выдан, для чего его можно использовать и любые ограничения на него.

В более сложных случаях использования вам может понадобиться найти сертификаты других расширений, таких как используемый шаблон сертификата. Сложность в том, что значения этих расширений возвращаются как массив целых чисел. Эти целые числа соответствуют содержимому в кодировке ASN.1.

Покажем пример взаимодействия с свойствами типа ScriptProperty. В приведенной ниже команде вы извлекаете Key Usages.

((Get-ChildItem -Path 'Cert:CurrentUserRoot' | Select -First 1).Extensions | Where-Object {$_.Oid.FriendlyName -eq 'Key Usage'}).format($true)

Новая часть, которую мы вводим в приведенной выше команде, — это метод форматирования, который выполняет декодирование ASN.1. Вы передаете ему логическое значение (например, $true), чтобы определить, хотим ли мы, чтобы возвращаемый объект был однострочным или многострочным.

Попробуем использовать значение Thumbprint из сертификата в приведенной ниже команде. Значение Thumbprint устанавливается как переменная PowerShell и используется для выбора конкретного сертификата в приведенных ниже командах.

$thumb = "cdd4eeae6000ac7f40c3802c171e30148030c072"
Get-ChildItem -Path 'Cert:CurrentUserRoot' | Where-Object {$_.Thumbprint -eq $thumb}

Создание самозаверяющих (self-signed) сертификатов с помощью PowerShell

PowerShell может создавать самозаверяющие (self-signed) сертификаты с помощью командлета New-SelfSignedCertificate. Самозаверяющие сертификаты полезны для тестирования, поскольку они позволяют генерировать пару открытого и закрытого ключей без использования центра сертификации.

Теперь давайте создадим самозаверяющий сертификат в хранилищах текущего пользователя и локального компьютера, чтобы использовать его в примерах для следующих шагов.

В приведенном ниже примере PowerShell создает пару открытого и закрытого ключей, самозаверяющий сертификат и устанавливает их все в соответствующие хранилища сертификатов.

New-SelfSignedCertificate -Subject 'User-Test' -CertStoreLocation 'Cert:CurrentUserMy'
New-SelfSignedCertificate -Subject 'Computer-Test' -CertStoreLocation 'Cert:LocalMachineMy'

Использование самозаверяющих сертификатов для продуктивных сервисов не рекомендуется, поскольку не существует всех механизмов, основанных на доверии.

Импорт и экспорт сертификатов в MMC

Криптография с открытым ключом основана на широкой доступности открытого ключа. Учитывая это, вам нужны стандартные способы эффективного обмена сертификатами. Не менее важна безопасность ваших личных ключей. Хранение закрытых ключей на недоступных носителях или с материалами для аварийного восстановления — обычная практика для определенных закрытых ключей.

Оба они требуют способов хранения этих криптографических объектов в стандартных форматах. Экспорт предоставляет функции для сохранения этих объектов и обеспечения использования широко распространенных стандартных форматов файлов. Импорт позволяет вам переносить криптографические объекты в операционные системы Windows.

Экспорт сертификатов из MMC относительно прост. Чтобы экспортировать сертификат без закрытого ключа, щелкните сертификат в MMC, выберите меню «Все задачи», а затем «Экспорт».

Во время экспорта вам будет предложено указать формат файла, как показано ниже. Наиболее распространены варианты кодирования — DER или Base-64

Экспорт закрытых ключей

Чтобы экспортировать сертификат с соответствующим закрытым ключом, вы должны соответствовать двум критериям:

• Вошедшая в систему учетная запись должна иметь разрешение на закрытый ключ (только для сертификатов компьютеров);
• Закрытый ключ должен быть помечен как экспортируемый.

Чтобы проверить разрешения для закрытых ключей локального компьютера, вы можете выбрать сертификат с закрытым ключом, выбрать «Все задачи» и «Управление закрытыми ключами» в MMC «Сертификаты». В открывшемся диалоговом окне отображаются записи управления доступом для закрытых ключей.

Когда выше обозначенные условия выполнены, вы можете выбрать сертификат, щелкнуть «Все задачи», а затем «Экспорт», как если бы вы использовали сертификат только с открытым ключом. При экспорте теперь у вас должна присутствовать возможность выбора экспорта закрытого ключа («Yes, export the private key»), как показано ниже.

Когда вы экспортируете закрытый ключ в Windows, вы можете сохранить файл только как PFX. Этот и другие типы файлов и форматы кодирования подробно описаны в этом посте.

Для остальных параметров, отображаемых в мастере экспорта, вы можете использовать значения по умолчанию. В таблице ниже приводится краткое изложение каждого из них.

Настройка	Описание
Including all certificates in the certification path if possible	Помогает с переносимостью эмитентов сертификатов и включает все соответствующие открытые ключи в PFX.
Delete the private key if the export is successful	Удаляет закрытый ключ из файла и имеет несколько распространенных вариантов использования, но одним из примеров является проверка доступа к закрытым ключам.
Export all extended properties	Будет включать любые расширения в текущем сертификате, они относятся к сертификатам [конкретные настройки] для интерфейсов Windows.
Enable certificate privacy	Обычно в экспортируемом PFX-файле шифруется только закрытый ключ, этот параметр шифрует все содержимое PFX-файла.
Group or user names	Вы можете использовать участника безопасности группы или пользователя из Active Directory для шифрования содержимого файла PFX, но пароль является наиболее переносимым вариантом для устаревших систем или компьютеров, не присоединенных к тому же домену.

Импорт сертификатов

Функция импорта одинакова для всех поддерживаемых типов файлов сертификатов. Единственная разница в том, что если файл содержит закрытый ключ, вы можете «Отметить этот ключ как экспортируемый», о чем вы узнаете подробнее ниже. Windows будет использовать мастер импорта сертификатов.

При использовании мастера импорта сертификатов для PFX вам потребуется указать пароль, используемый для шифрования закрытого ключа. Вот еще один обзор вариантов импорта.

Настройка	Описание
Enable strong private key protection	Требуется пароль для каждого доступа к закрытому ключу. Будьте осторожны с новыми функциями, поскольку они не будут поддерживаться во всех программах.
Mark this key as exportable	Вы должны стараться избегать использования этого параметра в любой конечной системе, закрытые ключи следует рассматривать так же, как и хранение паролей.
Protect private key using [virtualization-based security]	Этот параметр обеспечивает дополнительные функции безопасности для защиты закрытых ключей от сложных атак вредоносного ПО.
Include all extended properties	Относится к тем же настройкам Windows, что и при экспорте.

Сертификаты для подписи кода PowerShell — хороший вариант использования надежной защиты закрытого ключа.

С автоматическим размещением сертификатов следует проявлять осторожность. Скорее всего, вы получите наилучшие результаты, выбрав хранилище сертификатов вручную.

Импорт и экспорт сертификатов в PowerShell

Теперь с помощью PowerShell экспортируйте один из самозаверяющих сертификатов, которые вы создали ранее. В этом примере вы выбираете сертификат в личном логическом хранилище CurrentUser, который был самозаверяющим.

$certificate = Get-Item (Get-ChildItem -Path 'Cert:CurrentUserMy' | Where-Object {$_.Subject -eq $_.Issuer}).PSPath

Теперь, когда вы выбрали сертификат, вы можете использовать команду Export-Certificate, чтобы сохранить файл в кодировке DER, используя команду ниже.

Export-Certificate -FilePath $env:USERPROFILEDesktopcertificate.cer -Cert $certificate

Теперь давайте посмотрим на экспорт закрытого ключа. Ниже вы проверяете, что у выбранного сертификата есть закрытый ключ. Если он не возвращает True, то команда Get-Item, скорее всего, выбрала неправильный сертификат.

$certificate.HasPrivateKey

Ниже вы установите пароль, который будет использоваться для шифрования закрытого ключа. Затем экспортируйте выбранный сертификат в файл PFX и используйте пароль, который вы ввели ранее, чтобы зашифровать файл.

$pfxPassword = "ComplexPassword!" | ConvertTo-SecureString -AsPlainText -Force
Export-PfxCertificate -FilePath $env:USERPROFILEDesktopcertificate.pfx -Password $pfxPassword -Cert $certificate

В случае, если необходимо выполнить импорт, как и при экспорте, есть две команды. Одна команда для импорта сертификатов и одна для импорта файлов PFX.

Ниже команда Import-Certificate импортирует файл в формате DER, который вы экспортировали ранее, в личное хранилище текущего пользователя.

Import-Certificate -FilePath $env:USERPROFILEDesktopcertificate.cer -CertStoreLocation 'Cert:CurrentUserMy'

Допустим, вы тоже хотите установить закрытый ключ этого сертификата.

$pfxPassword = "ComplexPassword!" | ConvertTo-SecureString -AsPlainText -Force
Import-PfxCertificate -Exportable -Password $pfxPassword -CertStoreLocation 'Cert:CurrentUserMy' -FilePath $env:USERPROFILEDesktopcertificate.pfx

Имейте в виду, что пароль должен быть защищенной строкой. Кроме того, если вы импортируете в хранилище локального компьютера (например, «Cert:LocalMachine«), вам нужно будет запустить команду из командной строки администратора с повышенными привилегиями.

В приведенном выше примере вы также используете параметр -Exportable с командой, отмечая закрытый ключ как экспортируемый в будущем. По умолчанию (без указания этого параметра) экспорт не используется. Экспортируемые закрытые ключи – отельный аспект информационной безопасности, заслуживающий отдельного внимания.

Удаление сертификатов с помощью PowerShell

При удалении сертификатов помните, что понятие «Корзина Windows» в этом случае отсутствует. Как только вы удалите сертификат, он исчезнет! Это означает, что очень важно подтвердить, что вы удаляете правильный сертификат, путем проверки уникального идентификатора, такого как серийный номер или значение расширения Thumbprint.

Как и выше, в приведенной ниже команде мы выбираем самозаверяющий сертификат из личного хранилища текущего пользователя.

$certificate = Get-Item (Get-ChildItem -Path 'Cert:CurrentUserMy' | Where-Object {$_.Subject -eq $_.Issuer}).PSPath

Ниже вы можете увидеть свойства отпечатка, серийного номера и темы для выбранного сертификата, чтобы убедиться, что это именно тот сертификат, который вы собираетесь выбрать.

$certificate.Thumbprint
$certificate.SerialNumber
$certificate.Subject

Убедитесь, что вы выбрали правильный сертификат, который собираетесь удалить.

Приведенная ниже команда удаляет все выбранные объекты сертификата, используйте с осторожностью! Передав объект $certificate через конвейер в командлет Remove-Item в приведенной ниже команде, вы удалите все содержимое сертификата без каких-либо запросов на проверку.

$certificate | Remove-Item

Резюме

На протяжении всей этой статьи вы работали с сертификатами в Windows, изучая, как получить к ним доступ, и некоторые инструменты, которые можно использовать при работе с ними. По этой теме можно изучить гораздо больше, в том числе о том, как связать установленные сертификаты с конкретными службами или даже о том, как реализовать инфраструктуру закрытого открытого ключа (PKI) путем развертывания собственных центров сертификации (CA).