Как установить цифровой сертификат в windows

Skip to content

При очередном посещении сайта Сбербанка России я увидел оповещение с предложением установить сертификаты НУЦ Минцифры России. Которые обеспечат стабильную работу сайта и надежно защитят данные.

К сожалению, сертификаты выданные зарубежными провайдерами могут превратиться в «тыкву», а отечественный центр сертификации по-умолчанию не входит в число доверенных в семействе операционных систем Windows.

Проверка сертификатов Минцифры

Чтобы убедиться установлены ли у вас сертификаты Минцифры РФ посетите следующую страницу на сайте Сбербанка — http://www.sberbank.ru/ru/certificates.

Если вы видите предупреждение как у меня на скриншоте, то это значит, что сертификаты Минцифры России на вашем устройстве не установлены.

Впрочем, если вы посетите эту страницу с помощью Яндекс.Браузера, то такой ошибки не будет.

И это значит, что Яндекс.Браузер имеет встроенную поддержку сертификатов Минцифры РФ. И о безопасности передаваемых данных при использовании этого обозревателя можно не беспокоиться.

Так же встроенную поддержку сертификатов Минцифры России имеет и браузер Атом.

Как установить сертификаты Минцифры РФ на компьютер

Если в повседневной работе вы используете другой браузер, например FireFox, который как и операционная система Windows ни чего не знает о сертификатах выданных Минцифры РФ, то необходимо установить сертификаты в саму операционную систему.

Скачать необходмые сертификаты для вашей операционной системы можно на сайте Госуслуг — https://www.gosuslugi.ru/crt. Страница не требует авторизации, поэтому иметь учетную запись на Госуслугах совсем не обязательно.

Сертификаты Минцифры для Windows

Для корректной работы на компьютер с операционной системой Windows нужно установить два сертификата — корневой и выпускающий.

Скачайте корневой сертификат по следующей ссылке — https://gu-st.ru/content/Other/doc/russian_trusted_root_ca.cer

Тут возможны некоторые особенности. У меня файл во всех браузера не скачивается, а его содержимое открывается в новой вкладке.

В таком случае вы можете скопировать содержимое сертификата и сохранить его в текстовом файле с именем russian_trusted_root_ca.cer.

Либо нажать правой кнопкой мыши на приведенной ранее ссылке на сертификат и выбрать пункт «Сохранить объект как»

Скаченный файл будет с расширением TXT, которое необходимо удалить.

Как настроить показ расширения файлов в проводнике Windows

Если у вас не отображается расширение файла. То проверьте настройки отображения папок в панели управления.

Как установить корневой сертификат Минцифры для Windows

Затем нажмите правую кнопку мыши на файле «Russian Trusted Root CA.cer». И в появившемся контекстном меню нажмите «Установить сертификат…»

В появившемся окне предупреждения выберите [Открыть].

А затем в окне «Мастер импорта сертификатов» выберите «Текущий пользователь» и нажмите [Далее].

В следующем окне выберите «Поместить все сертификаты в следующее хранилище», потом нажмите [Обзор], в новом окне выберите «Доверенные корневые центры сертификации» и нажмите [Далее]

Нажмите [Готово] в заключительном окне.

Потом согласитесь на установку сертификата Минцифры в окне предупреждении системы безопасности.

В заключении вы должны увидеть сообщение, что импорт корневого сертификата Минцифры прошел успешно.

Как установить выпускающий сертификат

Итак, пол пути пройдено 🙂 Теперь нам необходимо установить в систему выпускающий сертификат.

Для начала скачайте его по этой ссылке — https://gu-st.ru/content/Other/doc/russian_trusted_sub_ca.cer

Учитывайте особенности загрузки сертификата описанные выше.

По аналогии с корневым сертификатом, нажмите правую кнопку мыши на файле выпускающего сертификата и в контекстном меню выберите «Установить сертификат.

Нажмите [Открыть] в окне предупреждении системы безопасности.

Теперь в окне «Мастера импорта сертификатов» нужно выбрать текущего пользователя и нажать кнопку [Далее].

В следующем окне указываем автоматический выбор хранилища и опять нажимаем клавишу [Далее]

И в финальном окне «Мастера импорта сертификатов» — кнопку [Готово]

Если все пройдет удачно, то вы увидите следующее сообщение

Чтобы его закрыть нажмите клавишу [Ок]

Проверка сертификатов Минцифры

После успешной установки сертификатов снова перейдите по ссылке — http://www.sberbank.ru/ru/certificates.

Вы должны увидеть сообщение, что сертификаты Минцифры установлены в системе.

Давайте, рассмотрим последовательность действий при установке личного сертификата электронной подписи на компьютерное устройство. Кстати, в Windows 7 она будет такой же, как и в Windows 10.
Для этого, прежде всего, запустите программу «КриптоПро CSP» (меню «Пуск» → «Панель управления» → «КриптоПро CSP»). После этого перейдите на закладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере…».

В окне «Сертификаты в контейнере закрытого ключа» нажмите кнопку «Обзор» и выберите контейнер. После этого нажмите на кнопку «Далее».

Если при нажатии кнопки «Далее» появится окно выбора носителя с сообщением «Набор ключей не существует», скопируйте ключи с ключевого носителя (резервная копия).

В следующем окне с данными сертификата нажмите клавишу «Установить».

После этого последовательно кликните «Далее» → «Поместить все сертификаты в следующее хранилище», «Обзор» → «Личные» →  «Далее» → «Готово».

В том случае, если сертификат на данном рабочем месте уже был до этого установлен, появится сообщение, что такой сертификат уже есть в хранилище. В такой ситуации нажмите «Да», чтобы заменить его, и «Ок» в ответ на сообщение об успешной установке, а затем «Готово».

На этом установка сертификата считается завершенной. Каждый сертификат устанавливается отдельно. 

Введение

Сертификат – это контейнер для открытого ключа. Он включает в себя такую информацию как значение открытого ключа, имя сервера или пользователя, некоторую дополнительную информацию о сервере или пользователе, а также содержит электронную подпись, сформированную издающим центром сертификации (ЦС). Ранее мы уже писали о работе с сертификатами pfx с помощью openssl, теперь рассмотрим использование встроенных средств, а именно powershell.

Что такое сертификат PFX

Файл .pfx, который не следует путать с .cer, представляет собой архив PKCS#12; это пакет, который может содержать несколько объектов с дополнительной защитой паролем. Обычно он содержит сертификат (возможно, со своим набором цепочки сертификатов верхнеуровневых УЦ) и соответствующий закрытый ключ. В то время как PFX может содержать в себе несколько сертификатов, файл .cer содержит один единственный сертификат без пароля и закрытого ключа. В Windows все сертификаты находятся в логических местах хранения, называемых хранилищами сертификатов.

Одним из самых распространенных областей применения сертификатов PFX является подпись кода (code signing). Также, в случае защиты надежным паролем pfx можно передавать по открытым каналам связи.

Логические хранилища

Логические хранилища – это виртуальные месторасположения, в которых которых локально храняться сертификаты как для пользователя так и для компьютера. Powershell использует Cert PSDrive для сопоставления сертификатов с физическими хранилищами. Наименование логических хранилищ Certificates Microsoft Management Console (MMC) отличается от маркировки хранилища Cert PSDrive. В таблице ниже показано сравнение между ними:

Модуль PKI

Утилита MakeCert.exe, входящая в состав Microsoft .NET Framework SDK и Microsoft Windows SDK, используется для создания самоподписанного сертификата. В системе, где не установлен Windows SDK, для управления сертификатами используются команды модуля Powershell PKI.

Чтобы перечислить все команды, доступные в модуле PKI, выполните следующую команду:

Get-Command -Module PKI

Командлеты, используемые в этой статье, описаны ниже:

Export-PfxCertificate

Командлет Export-PfxCertificate экспортирует сертификат или объект PFXData в файл Personal Information Exchange (PFX). По умолчанию экспортируются расширенные свойства и вся цепочка.

Get-Certificate

КомандлетGet-Certificate можно использовать для отправки запроса на сертификат и установки полученного сертификата, установки сертификата из запроса на сертификат, а также для регистрации в службе каталогов протокола LDAP.

Get-PfxData

Командлет Get-PfxData извлекает содержимое файла Personal Information Exchange (PFX) в структуру, содержащую сертификат конечного субъекта, любые промежуточные и корневые сертификаты.

Import-PfxCertificate

КомандлетImport-PfxCertificate импортирует сертификаты и закрытые ключи из файла PFX в локальное хранилище.

New-SelfSignedCertificate

Командлет New-SelfSignedCertificate создает самоподписанный сертификат. С помощью параметра CloneCert указанный сертификат может быть создан на основе существующего сертификата с копированием всех параметров из оригинального сертификата, за исключением открытого ключа.

Поиск и выбор сертификата

В Powershell Cert: PSDrive используется для вывода списка сертификатов в определенном хранилище. Чтобы вывести оба хранилища в Cert: PSDrive, выполните следующую команду:

Get-ChildItem -Path Cert:

Будут показаны месторасположения сертификатов для CurrentUser и LocalMachine. Чтобы перечислить сертификаты для доверенных корневых центров сертификации LocalMachine, выполните следующую команду:

Get-ChildItem -Path Cert:LocalMachineRoot

Get-ChildItem -Path Cert:LocalMachineRoot | Where-Object {$_.Subject.Contains("Microsoft")}

New-SelfSignedCertificate -DnsNameitsecforu-test.com -CertStoreLocation cert:CurrentUserMy

Команда генерирует новый сертификат и устанавливает его в личное хранилище пользователя. При открытии certmgr.msc ( certlm.msc – для локального компьютера соответственно ) сертификат появится в разделе Personal. В выводе будут показаны сведения о только что созданном сертификате, включая его отпечаток:

$expiry_year = (Get-Date).AddYears(5)
New-SelfSignedCertificate -DnsName itsecforu-test.com -notafter $expiry_year -CertStoreLocation Cert:CurrentUserMy

help New-SelfSignedCertificate -Full

Import-PfxCertificate -FilePath ./itsecforu.pfx -CertStoreLocation Cert:CurrentUserMy -Password P@sw0rd

Import-PfxCertificate -FilePath ./itsecforu.pfx -CertStoreLocation Cert:CurrentUserRoot -Password P@sw0rd 

Сертификаты могут быть созданы только в хранилище Cert:LocalMachineMy или Cert:CurrentUserMy .  Поскольку любой сертификат в этом месте по умолчанию помечен как недоверенный, чтобы сделать его легитимным, необходимо его переместить из Cert:LocalMachineMy или Cert:CurrentUserMy в Cert:LocalMachineRoot и Cert:CurrentUserRoot  соответственно.

Move-Item -Path$cert-Destination "Cert:LocalMachineRoot"

$cert_name = "itsecforu-test.com"
ForEach ($cert in (ls cert:CurrentUserMy)) {
If ($cert.Subject -eq "CN=$cert_name") {
 //the certificate can be deleted or edited in here 
}
 }

Экспорт сертификата pfx

Для экспорта сертификата pfx необходим пароль для шифрования закрытого ключа. В приведенном ниже примере мы используем значение Subject для поиска экспортируемого сертификата, выбрав сертификат, значение Subject которого равно itsecforu-test.com

$certificate = Get-ChildItem -Path Cert:CurrentUserMy | Where-Object {$_.Subject -match "itsecforu-test.com"}

После выбора сертификата его можно экспортировать из места хранения в папку с помощью приведенной ниже команды:

$pass= "Qwerty123" | ConvertTo-SecureString -AsPlainText -Force
Export-PfxCertificate -Cert $certificate -FilePath $env:USERPROFILEDocumentsitsecforu-test.com.pfx  -Password $pass

Импорт сертификата pfx

Скаченные или экспортированные сертификаты pfx можно установить с помощью команды Import-PfxCertificate. Для импорта требуется пароль для сертификата и местоположение.

Команда ниже импортирует сертификат pfx, который мы экспортировали ранее:

$password= "Qwerty123" | ConvertTo-SecureString -AsPlainText -Force
Import-PfxCertificate -Exportable -Password $password -CertStoreLocation Cert:CurrentUserMy -FilePath $env:USERPROFILEDocumentsitsecforu-test.com.pfx

Параметр -Exportable отмечает закрытый ключ как экспортируемый.

Как экспортировать сертификат cer из pfx

Для экспорта сертификата из файла pfx используется комбинированная команда Get-PfxCertificate и Export-Certificate. Get-PfxCertificate используется для поиска сертификата pfx, а Export-Certificate – для экспорта указанного сертификата в FilePath. Требуется ввод пароля от pfx контейнера Ниже приведенная команда экспортирует сертификат в кодировке DER (двоичный) из файла pfx.

Get-PfxCertificate -FilePath "C:certsTest.pfx" |

Export-Certificate -FilePath "C:certsTest.cer" -Type CERT 

Обратите внимание на параметр-Type, который используется для указания типа экспортируемого сертификата, в данном примере это сертификат CERT в кодировке DER (двоичный). Существуют и другие типы, они перечислены ниже.

-Type <CertType>
Указывает тип выходного файла для экспорта сертификатов следующим образом. 
-- SST: формат файла Microsoft serialized certificate store (.sst), который может содержать один или несколько сертификатов. Это значение по умолчанию для нескольких сертификатов. 
-- CERT: формат файла .cer, который содержит один сертификат в DER-кодировке. Это значение по умолчанию для одного сертификата. 
-- P7B: формат файла PKCS#7, который может содержать один или несколько сертификатов.

Удаление сертификата

Для удаления сертификата можно использовать команду Remove-Item в Powershell. Перед удалением сертификата необходимо узнать его значение thumbprint (отпечатка) или определить сам объект сертификата.

Удаление с помощью thumbprint

В приведенном ниже фрагменте для удаления используется отпечаток сертификата…

Get-ChildItem Cert:CurrentUserMy7da4d700318ee2a08f96aab9bc71990ca6376053| Remove-Item

Поиск и удаление сертификата с помощью сопоставления значений

Сертификат можно искать в хранилище с помощью команды Where-Object, которая принимает условный оператор, соответствующий искомому сертификату.

Get-ChildItem Cert:CurrentUserMy |
Where-Object { $_.Subject -match 'itsecforu-test.com' } |
Remove-Item

Обратите внимание, что мы используем значения поля сертификата Subject , другие возможные параметры – Thumbprint и SerialNumber.

Диспетчер сертификатов Windows

Диспетчер сертификатов Windows (certmgr.msc) – это приложение с графическим интерфейсом Windows для управления сертификатами. Найдите certmgr в меню Пуск, чтобы открыть Windows Certificates MMC или введите certmgr.msc в командной строке. Вид консоли предоставляет собой обзор всех локальных хранилищ.

Сертификаты можно устанавливать, удалять, импортировать и экспортировать из диспетчера сертификатов Windows.

В конце прошлого года сайт Сбербанка начал сообщать о возможных проблемах с доступом к сервисам компании при отсутствии сертификатов НУЦ Минцифры России. И с каждым месяцем таких сайтов становится все больше, из-за их постепенного перехода на российские TLS-сертификаты. Сегодня мы расскажем, зачем нужна установка сертификата Минцифры, где его взять и как установить.

Содержание

• Что это такое
• Как понять, установлен ли такой сертификат
• Как установить доверенный корневой сертификат Минцифры на Windows
• Как решить возможные проблемы
• Можно ли обойтись без установки сертификатов

Что это такое

Любой браузер по умолчанию использует TLS-сертификаты, которые помогают шифровать передаваемые сайтам данные при подключении к ним по протоколу HTTPS. Ну а в итоге жизнь мошенников сильно затрудняется, и, например, при попытке подключения к фишинговому сайту браузер сможет предупредить вас о проблемах с безопасностью и не даст совершить ошибку, предоставив свои данные не тем людям.

В общем, TLS-сертификат — это хорошо и безопасно. Проблема в том, что в большинстве своем такие сертификаты выдавались зарубежными компаниями, а в прошлом году они перестали сотрудничать с российскими органами и компаниями со всеми вытекающими отсюда последствиями вроде отсутствия доступа к сервисам Сбербанка через интернет-банк — браузер просто не может проверить надежность сайта и по умолчанию помечает его в качестве подозрительного.

Решение проблемы есть, и их даже несколько. Вы можете перейти на использование российских Яндекс.Браузер и Atom, которые по умолчанию поддерживают отечественные сертификаты. Но тем, кто привык к Chrome, Firefox, Safari и другим зарубежным браузерам может быть некомфортно работать в непривычной программе. Поэтому вы можете вручную установить сертификаты Минцифры для Сбербанк и сайтов других организаций в любой удобный вам браузер. Рекомендации по переходу на последние, кстати, были разработаны совместно с ФСБ.

Как понять, установлен ли такой сертификат

Для этого достаточно перейти на официальный сайт Сбербанка по этой ссылке. Здесь вы увидите уже знакомое многим предупреждение о скором переходе всех сервисов Сбера на российские сертификаты НУЦ Минцифры, а чуть ниже появится такая плашка:

Пошаговое руководство. Просмотр сертификатов с помощью оснастки MMC

При создании защищенного клиента или службы можно использовать сертификат в качестве учетных данных. Например, общий тип учетных данных — это сертификат X. 509, который создается с помощью X509CertificateInitiatorClientCredential.SetCertificate метода.

существует три разных типа хранилищ сертификатов, которые можно проверить с помощью консоли управления (mmc) в Windows systems:

Локальный компьютер. хранилище является локальным для устройства и является глобальным для всех пользователей на устройстве.

Текущий пользователь: хранилище является локальным по отношению к текущей учетной записи пользователя на устройстве.

Учетная запись службы. хранилище является локальным для определенной службы на устройстве.

Просмотр сертификатов в оснастке MMC

В следующей процедуре показано, как проверить магазины на локальном устройстве, чтобы найти соответствующий сертификат:

В меню Пуск выберите пункт выполнить и введите MMC.

Откроется консоль MMC.

В меню файл выберите команду Добавить или удалить оснастку.

В списке Доступные оснастки выберите Сертификаты, а затем щелкните добавить.

В окне оснастки «сертификаты » выберите учетная запись компьютера, а затем нажмите кнопку Далее.

При необходимости можно выбрать учетную запись пользователя для текущего пользователя или учетной записи службы для конкретной службы.

Если вы не являетесь администратором устройства, вы можете управлять сертификатами только для учетной записи пользователя.

В окне Выбор компьютера оставьте выбранным параметр локальный компьютер и нажмите кнопку Готово.

В окне Добавление или удаление оснастки нажмите кнопку ОК.

Чтобы просмотреть сертификаты в оснастке MMC, выберите корень консоли в левой области, а затем разверните узел Сертификаты (локальный компьютер).

Появится список каталогов для каждого типа сертификатов. Из каждого каталога сертификатов можно просматривать, экспортировать, импортировать и удалять свои сертификаты.

Просмотр сертификатов с помощью средства диспетчера сертификатов

Вы также можете просматривать, экспортировать, импортировать и удалять сертификаты с помощью средства диспетчера сертификатов.

Просмотр сертификатов для локального устройства

Откроется средство диспетчера сертификатов для локального устройства.

Для просмотра сертификатов в разделе Сертификаты — локальный компьютер в левой области разверните каталог для типа сертификата, который нужно просмотреть.

Просмотр сертификатов для текущего пользователя

Выберите параметр Выполнить в меню Пуск, а затем введите certmgr.msc.

Отобразится инструмент диспетчера сертификатов для текущего пользователя.

Чтобы просмотреть сертификаты, в разделе Сертификаты — текущий пользователь в левой области разверните каталог для типа сертификата, который нужно просмотреть.

Источник

Certmgr.msc или диспетчер сертификатов в Windows 10/8/7

Диспетчер сертификатов или Certmgr.msc в Windows позволяет просматривать сведения о ваших сертификатах, экспортировать, импортировать, изменять, удалять или запрашивать новые сертификаты. Корневые сертификаты – это цифровые документы, используемые для управления сетевой аутентификацией и обменом информацией.

Управление сертификатами с помощью диспетчера сертификатов или Certmgr.msc

Консоль диспетчера сертификатов является частью консоли управления Microsoft в Windows 10/8/7. MMC содержит различные инструменты, которые можно использовать для функций управления и обслуживания. Как упоминалось ранее, используя certmgr.msc, вы можете просматривать свои сертификаты, а также изменять, импортировать, экспортировать, удалять или запрашивать новые.

Для управления сертификатами в меню WinX в Windows выберите «Выполнить». Введите certmgr.msc в поле «Выполнить» и нажмите Enter. Помните, что вам нужно будет войти в систему как администратор. Диспетчер сертификатов откроется.

Используя диспетчер сертификатов, вы можете запросить новый сертификат с тем же ключом или другим ключом. Вы также можете экспортировать или импортировать сертификат. Чтобы выполнить какое-либо действие, выберите сертификат, щелкните меню «Действие»> «Все задачи», а затем щелкните нужную команду действия. Вы также можете щелкнуть правой кнопкой мыши контекстное меню, чтобы выполнить эти действия.

Следует отметить, что Certmgr.msc является оснасткой консоли управления Microsoft, тогда как Certmgr.exe является утилитой командной строки. Если вы хотите узнать о параметрах командной строки в certmgr.exe, вы можете посетить MSDN.

Прочтите это, если получите. Проблема с сертификатом безопасности этого веб-сайта в сообщении IE.

Источник

Как установить корневые сертификаты Windows 10

Корневые сертификаты – это сертификаты открытых ключей, которые помогают вашему браузеру определить, является ли общение с веб-сайтом подлинным, и основано на том, является ли орган, выдавший лицензию, доверенным и остается ли цифровой сертификат действительным. Если цифровой сертификат не принадлежит доверенному органу, вы получите сообщение об ошибке в виде « Проблема с сертификатом безопасности этого веб-сайта », и браузер может заблокировать связь с веб-сайтом.

Windows 10 имеет встроенные сертификаты и автоматически обновляет их. Однако вы все равно можете вручную добавить дополнительные корневые сертификаты в Windows 10 из центров сертификации (ЦС). Существует множество органов по выдаче сертификатов, среди которых наиболее известны Comodo и Symantec.

Как добавить корневые сертификаты Windows 10 вручную?

Способ 1. Установите сертификаты из доверенных ЦС

Вот как вы можете добавить цифровые сертификаты в Windows 10 из доверенных центров сертификации.

Способ 2. Установите сертификаты с помощью консоли управления Microsoft

Теперь вы установили новый доверенный корневой сертификат в Windows 10. Таким же образом вы можете добавить еще много цифровых сертификатов для этой ОС и других платформ Windows. Просто убедитесь, что сторонние цифровые сертификаты поступают от доверенных центров сертификации, таких как GoDaddy, DigiCert, Comodo, GlobalSign, Entrust и Symantec.

Источник

Цифровые сертификаты: Как посмотреть и удалить их в Windows 10

Одним из наиболее распространенных применений этих сертификатов является их использование в Google Chrome. К примеру, на государственных сайтов для личного доступа к базам данным нужен сертификат. Этот сертификат вам выдает гос. сайт и его нужно будет установить. Без него вы не сможете получить доступ к базе, функциям, или даже к самому сайту. Многие приложения устанавливают собственные сертификаты для внесения изменений в оборудование. Они служат для обеспечения того, чтобы приложение было законным и надежным. Они также используются для подписи трафика, которым обмениваются серверы. Даже Windows имеет свои собственные корневые сертификаты, которые обеспечивают нормальную работу операционной системы, и такие функции, как Центр обновления Windows, можно безопасно использовать.

Как посмотреть установленные цифровые сертификаты в Windows 10

1. Посмотрим сертификаты для оборудования, сгенерированными Microsoft и другими разработчиками для правильного функционирования компьютера. Они доступны для всех пользователей.

Нажмите сочетание клавиш Win + R и введите certlm.msc, чтобы открыть сертификаты.

Далее вы увидите сертификаты и разные категории. В зависимости от назначения каждого сертификата они будут храниться в том или ином каталоге.

2. Если вы хотите просмотреть личные сертификаты, которые доступны только текущему пользователю на данной учетной записи, то нажмите Win + R и введите certmgr.msc, чтобы открыть этот персональный менеджер сертификатов. Мы найдем все личные сертификаты, которые являются эксклюзивными для нашего пользователя. В частности, в папке «Личное» мы найдем все это.

Как удалить сертификат в Windows 10

Если вам нужно удалить какой-либо сертификат, что я не рекомендую, то просто найдите его и нажмите на нем правой кнопкой мыши, после чего «Удалить». Иногда бывает так, что сертификаты становятся криво или повреждаются, в этом случае нужно будет удалить и заново установить.

Источник

Certmgr.exe (средство диспетчера сертификатов)

Диспетчер сертификатов (Certmgr.exe) предназначен для управления сертификатами, списками доверия сертификатов (CTL) и списками отзыва сертификатов (CRL).

Диспетчер сертификатов устанавливается автоматически вместе с Visual Studio. Для запуска этого средства используйте Командную строку разработчика или PowerShell для разработчиков в Visual Studio.

Диспетчер сертификатов (Certmgr.exe) является служебной программой командной строки, в то время как сертификаты (Certmgr.msc) — это оснастка консоли управления (MMC). Поскольку файл Certmgr.msc обычно находится в системном каталоге Windows, при вводе certmgr в командной строке может загрузиться оснастка консоли управления (MMC) «Сертификаты», даже если открыта командная строка разработчика для Visual Studio. Это происходит потому, что путь к оснастке предшествует пути к диспетчеру сертификатов в переменной среды PATH. При возникновении этой проблемы команды Certmgr.exe можно выполнить, указав путь к исполняемому файлу.

Общие сведения о сертификатах X.509 см. в разделе Работа с сертификатами.

В командной строке введите следующее.

Синтаксис

Параметры

— currentUser означает, что хранилище сертификатов находится в разделе HKEY_CURRENT_USER. Это значение по умолчанию.
— localMachine означает, что хранилище сертификатов находится в разделе HKEY_LOCAL_MACHINE. /s Означает, что хранилище сертификатов является системным. Если этот параметр не задан, хранилищем считается StoreFile. /sha1 sha1Hash Задает хэш SHA1 добавляемого, удаляемого или сохраняемого сертификата, CTL или CRL. /v Включает отображение подробных сведений о сертификатах, CTL и CRL. Этот параметр невозможно использовать с параметрами /add, /del или /put. /y provider Задает имя поставщика хранилища. /7 Сохраняет конечное хранилище как объект PKCS #7. /? Отображает синтаксис команд и параметров программы.

Примечания

Основные функции программы Certmgr.exe.

Отображение сведений о сертификатах, CTL и CRL на консоли.

Добавляет сертификаты, CTL и CRL в хранилище сертификатов.

Удаляет сертификаты, CTL и CRL из хранилища сертификатов.

Сохраняет в файл сертификат X.509, CTL или CRL из хранилища сертификатов.

Программа Certmgr.exe работает с двумя типами хранилищ сертификатов: системным и StoreFile. Указывать тип хранилища необязательно, поскольку программа Cedrtmgr.exe может автоматически определить тип хранилища и выполнить соответствующие действия.

При запуске программы Certmgr.exe без параметров выполняется оснастка «certmgr.msc» с графическим интерфейсом пользователя, облегчающим управление сертификатами, что также можно сделать из командной строки. В графическом интерфейсе пользователя имеется мастер импорта, копирующий сертификаты, CTL и CRL с диска в хранилище сертификатов.

Дополнительные сведения см. в разделе Работа с сертификатами.

Примеры

Следующая команда добавляет сертификат в файле TrustedCert.cer в хранилище корневых сертификатов.

Источник