Система цифровых сертификатов используется аналогично паролям, для подтверждения личности пользователя или ПК, обмена электронной информацией в виртуальной сети. Легковесные файлы содержат личные данные, которые применяются при идентификации личности. Хранилище сертификатов в ОС Windows 10 находится в секретном месте. Иногда фирмам приходится настраивать личные сертификаты, поэтому им важно знать местоположение файлов.
Для чего знать, где хранятся сертификаты?
Каждый файл в хранилище предусмотрен для защиты операционки цифрового устройства. Они препятствуют проникновению вредоносных программ в систему. Отдельная цифровая подпись отвечает за определенный скачанный софт.
Знание о том, где хранятся такие файлы, требуется в случае просмотра или установки корневых, личных сертификатов. В «десятке» инструменты находятся в контейнере двух типов:
- Certificate store локального ПК – включают список файлов для проверки оригинальности сервера.
- Certificate store для пользователя – хранят сертификаты утилит, которые запускает юзер.
Сертификаты представляют собой корневые и личные файлы. Первые являются составным элементом секретного ключа. Вторые предназначены для идентификации юзеров при обмене электронных данных. Поменять настройки в «десятке» можно через mmc оснастки, в том числе через хранилище.
Просмотр установленных сертификатов Windows 10
Список важных объектов: сертификаты для оборудования, персональные файлы – находят несколькими способами с помощью встроенных инструментов, сторонних утилит.
Через «КриптоПро»
Криптопровайдер предназначен для организации защиты программных обеспечений методом шифрования. Менеджер защищает конфиденциальную информацию при обмене данными через сеть интернет, обеспечивает юридическую достоверность электронных документов.
Для включения программы ее требуется скачать с официального сайта разработчика, инсталлировать на компьютер. Все действия выполняются с правами Администратора. Во время установки ПО можно выполнять настройки через панель свойств. После инсталляции потребуется перезагрузить устройство.
Просмотр проверочных ключей ЭЦП происходит по следующему алгоритму:
- Зайти в меню Пуск.
- Открыть «Все программы».
- Выбрать «КриптоПро».
- Щелкнуть по пункту «Сертификаты».
В открывшемся окне пользователь увидит все актуальные корневые, личные файлы. Обладая администраторскими правами, можно управлять файлами в «десятке»: выполнять копирование, редактирование, деинсталлировать файлы.
Через Certmgr
Диспетчер разрешает проводить различные действия с цифровыми документами. Консоль является частью операционной системы, включает инструменты для функций управления.
Для просмотра данных нужно следовать инструкции:
- Зайти в Пуск.
- Открыть Командную строку, набрать: c Нажать «Enter».
- В меню появившегося окна выбрать «Личное» и «Корневые сертификаты…». Зайдя в разделы, можно развернуть реестры с полным списком ключей.
Без прав Администратора утилита не заработает. Софт имеет ограничение в шифровании данных, где происходит специальное кодирование файлов.
Через Internet Explorer
Браузер интегрирован в ОС Виндовс 10, включает набор инструментов, позволяющих искать и просматривать информацию в виртуальной сети. Если веб-проводник отсутствует в «десятке», его легко можно скачать с официального источника.
С помощью браузера можно найти ЭЦП, следуя инструкции:
- Запустить Интернет Эксплорер.
- Выбрать «Свойства браузера».
- Тапнуть по разделу «Содержание».
- Нажать на подраздел «Сертификаты».
В результате откроется содержимое с полным списком искомых файлов. В веб-сервисе существует возможность их добавления. Юзеру стоит помнить, что корневые ЭЦП удостоверяющих центров деактивировать запрещено.
Аналогичный способ поиска документов выполняется через Центр управления сетями или общим доступом:
- Открыть Панель управления.
- Войти в «Свойства браузера».
- Зайти в меню «Содержание» и «Сертификаты».
Преимущество метода заключается в том, что посмотреть список ЭЦП можно без администраторских прав. Для обычных людей доступен только просмотр, вносить изменения запрещено.
Через контроль управления
Представляет собой один из важнейших компонентов ОС Виндовс 10. С помощью встроенного средства осуществляется управление, запуск, настройка большинства системных функций. Также можно найти, где лежат сертифицированные файлы ЭЦП для их редактирования.
Пошаговая инструкция:
- Нажать: «Win + R».
- Ввести в строку запроса: cmd. Нажать «Enter».
- после этого перейти по команде mmc в терминал;
- Щелкнуть по вкладке «Файл».
- В открывшемся списке тапнуть «Добавить изолированную оснастку».
- Нажать на раздел «Сертификаты».
Все действия пользователь может выполнять только с правами Администратора. Такой вариант подходит не каждому человеку, так как некоторые запросы вводятся через Командную строку. Сервисом обычно пользуются системные администраторы или люди, хорошо разбирающиеся в теме.
Существует целый список сторонних ресурсов, позволяющих управлять сертификатами, инсталлированными в ОС Виндовс 10. Но пользоваться такими утилитами не рекомендуется, так как нет гарантии, что в них присутствует команда отправки сертификата на внешний сервер. Надежное сертифицированное приложение – это «КриптоПро», которое дает гарантию защиты от несанкционированного доступа посторонних лиц к ЭЦП.
Также в последних версиях Винды зашифрованные файлы просматривают, перейдя по пути: C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates. Словосочетание «Пользователь» меняется на название учетной записи. В результате откроется полный список засекреченных данных.
Сертификаты созданы для безопасной работы цифровой техники. Их достоверность гарантирована сертификационным центром. Управление ЭЦП требует определенных знаний, поэтому работу должен выполнять специалист или продвинутый пользователь.
Обновлено 24.11.2016
Добрый день уважаемые читатели блога Pyatilistnik.org, меня уже на протяжении этого месяца, несколько раз спрашивали в электронной почте, где хранятся сертификаты в windows системах, ниже я подробнейшим образом вам расскажу про этот вопрос, рассмотрим структуру хранилища, как находить сертификаты и где вы это можете использовать на практике, особенно это интересно будет для тех людей, кто часто пользуется ЭЦП (электронно цифровой подписью)
Для чего знать где хранятся сертификаты в windows
Давайте я вам приведу основные причины, по которым вы захотите обладать этим знанием:
- Вам необходимо посмотреть или установить корневой сертификат
- Вам необходимо посмотреть или установить личный сертификат
- Любознательность
Ранее я вам рассказывал какие бывают сертификаты и где вы их можете получить и применять, советую ознакомиться с данной статьей, так как информация изложенная в ней является фундаментальной в этой теме.
Во всех операционных системах начиная с Windows Vista и вплоть до Windows 10 Redstone 2 сертификаты хранятся в одном месте, неком таком контейнере, который разбит на две части, один для пользователя, а второй для компьютера.
В большинстве случаев в Windows поменять те или иные настройки вы можете через mmc оснастки, и хранилище сертификатов не исключение. И так нажимаем комбинацию клавиш WIN+R и в открывшемся окне выполнить, пишем mmc.
Вы конечно можете ввести команду certmgr.msc, но таким образом вы сможете открыть только личные сертификаты
Теперь в пустой mmc оснастке, вы нажимаете меню Файл и выбираете Добавить или удалить оснастку (сочетание клавиш CTRL+M)
В окне Добавление и удаление оснасток, в поле Доступные оснастки ищем Сертификаты и жмем кнопку Добавить.
Тут в диспетчере сертификатов, вы можете добавить оснастки для:
- моей учетной записи пользователя
- учетной записи службы
- учетной записи компьютера
Я обычно добавляю для учетной записи пользователя
и компьютера
У компьютера есть еще дополнительные настройки, это либо локальный компьютер либо удаленный (в сети), выбираем текущий и жмем готово.
В итоге у меня получилось вот такая картина.
Сразу сохраним созданную оснастку, чтобы в следующий раз не делать эти шаги. Идем в меню Файл > Сохранить как.
Задаем место сохранения и все.
Как вы видите консоль хранилище сертификатов, я в своем примере вам показываю на Windows 10 Redstone, уверяю вас интерфейс окна везде одинаковый. Как я ранее писал тут две области Сертификаты — текущий пользователь и Сертификаты (локальный компьютер)
Сертификаты — текущий пользователь
Данная область содержит вот такие папки:
- Личное > сюда попадают личные сертификаты (открытые или закрытые ключи), которые вы устанавливаете с различных рутокенов или etoken
- Доверительные корневые центры сертификации > это сертификаты центров сертификации, доверяя им вы автоматически доверяете всем выпущенным ими сертификатам, нужны для автоматической проверки большинства сертификатов в мире. Данный список используется при цепочках построения доверительных отношений между CA, обновляется он в месте с обновлениями Windows.
- Доверительные отношения в предприятии
- Промежуточные центры сертификации
- Объект пользователя Active Directory
- Доверительные издатели
- Сертификаты, к которым нет доверия
- Сторонние корневые центры сертификации
- Доверенные лица
- Поставщики сертификатов проверки подлинности клиентов
- Local NonRemovable Certificates
- Доверительные корневые сертификаты смарт-карты
В папке личное, по умолчанию сертификатов нет, если вы только их не установили. Установка может быть как с токена или путем запроса или импорта сертификата.
В мастере импортирования вы жмете далее.
далее у вас должен быть сертификат в формате:
- PKCS # 12 (.PFX, .P12)
- Стандарт Cryprograhic Message Syntax — сертификаты PKCS #7 (.p7b)
- Хранилище сериализованных сертификатов (.SST)
На вкладке доверенные центры сертификации, вы увидите внушительный список корневых сертификатов крупнейших издателей, благодаря им ваш браузер доверяет большинству сертификатов на сайтах, так как если вы доверяете корневому, значит и всем кому она выдал.
Двойным щелчком вы можете посмотреть состав сертификата.
Из действий вы их можете только экспортировать, чтобы потом переустановить на другом компьютере.
Экспорт идет в самые распространенные форматы.
Еще интересным будет список сертификатов, которые уже отозвали или они просочились.
Список пунктов у сертификатов для компьютера, слегка отличается и имеет вот такие дополнительные пункты:
- AAD Token Issue
- Windows Live ID Token
- Доверенные устройства
- Homegroup Machine Certificates
Думаю у вас теперь не встанет вопрос, где хранятся сертификаты в windows и вы легко сможете найти и корневые сертификаты и открытые ключи.
Содержание
- Что такое сертификаты Windows 10
- Где хранятся сертификаты
- Просмотр сертификатов
Что такое сертификаты Windows 10
Сертификат — это зашифрованные файлы с личной информацией, посредством которых обеспечивается безопасный обмен данными в сети между сторонами, участвующими в таком обмене. Благодаря сертификатам пользователь или субъект может быть идентифицирован издателем или владельцем. По такому принципу работают сайты государственных услуг. Для подачи запроса на получение какого-либо документа нет необходимости лично ехать в госорган и предоставлять паспорт, ваша личность подтверждается с помощью цифрового сертификата.
Сертификат включает в себя поле открытый ключ владельца, в который пользователем вносятся данные и после чего передаются в зашифрованном виде. Для открытия сообщений и их расшифровки владелец использует закрытый ключ. Сертификаты выдаются центром сертификации (удостоверяющим центром) — органом или организацией которые, как правило, являются сторонними издателями сертификатов.
Где хранятся сертификаты
Для хранения сертификатов используются специальные хранилища. В системе они представлены обычно 2-мя типами:
- хранилище локального компьютера
- хранилище текущего пользователя.
Пользователь с правами администратора имеет возможность просмотра всех хранилищ. Обычные пользователи, не обладающие правами администратора, имеют доступ лишь ко второму типу.
В хранилище локального компьютера содержатся сертификаты глобальные для всех пользователей, а в хранилище текущего пользователя находятся сертификаты для конкретной учетной записи.
В свою очередь хранилища внутри разделяются на вложенные хранилища, т.е. сертификаты группируются в зависимости от назначения сертификата.
Сертификаты для текущего пользователя наследуют содержимое хранилищ с сертификатами локального компьютера.
Просмотр сертификатов
Если в работе с сертификатами перед вами встал вопрос о необходимости их просмотра, проверки каких-либо свойств или просто из любопытства ниже мы рассмотрим доступные для этих целей способы.
С помощью консоли управления
На клавиатуре наберите сочетание клавиш Win+R → в строку открыть введите «MMC» → Ok. Если на экран будет выведено окно контроля учетных записей нажмите кнопку «Да», тем самым дав разрешение на внесение изменений приложением.
После открытия консоли в меню Файл → выберите Добавить или удалить оснастку.
В открывшемся окне справа вы увидите список доступных оснасток. Выберите Сертификаты → нажмите кнопку Добавить.
Далее будет предложено выбрать какими сертификатами нужно управлять. Выберите «учетной записи компьютера» → Далее.
Если вы не являетесь администратором компьютера управление сертификатами можно будет осуществлять только для учетной записи пользователя под которой был выполнен вход в систему.
В следующем окне оставьте выбранным параметр «локальным компьютером» → нажмите кнопку Готово.
Вы вернетесь к окну Добавление и удаление оснасток, где в выбранных оснастках (слева) появятся Сертификаты (локальный компьютер) → нажмите Ok.
В Корне консоли разверните список каталогов. Все установленные сертификаты будут отсортированы по типам. Раскрыв нужный тип можно выполнить просмотр, экспорт, импорт или удаление сертификатов.
Диспетчер сертификатов
Для просмотра сертификатов пользователя можно воспользоваться командой certmgr.msc (сертификаты локального компьютера можно открыть командой certlm.msc) введя ее в диалоговое окно Выполнить. После чего будет открыт диспетчер сертификатов. Для просмотра нужного типа щелкните по сертификату в левой части окна.
Internet Explorer
Запустите браузер Internet Explorer (например, найдя его через кнопку Поиск на панели задач) → щелкните по значку в виде шестеренки Сервис (или Alt+X) → Свойства браузера.
В окне Свойств браузера перейдите ко вкладке Содержание → в разделе Сертификаты щелкните одноименную кнопку.
В открывшемся окне можно управлять установленными сертификатами (! не имея при этом прав администратора в системе). Для удобства просмотра можно отфильтровать их по назначению либо воспользоваться вкладками, группирующими сертификаты по типу.
Окно свойство браузера можно также открыть через Панель управления. Для этого откройте классическую Панель управления → Свойства браузера → Содержание → Сертификаты.
Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.
В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.
Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:
certmgr.msc
Перейдите в раздел «Доверенные корневые центры сертификации» → «Сертификаты»:
Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.
Просмотр сертификатов в PowerShell
Чтобы просмотреть список сертификатов с помощью PowerShell:
Get-ChildItem cert:LocalMachineroot | format-list
Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):
Get-ChildItem cert:LocalMachineroot | Where {$_.Subject -Match "HackWare"} | format-list
Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:
Сертификаты уровня пользователей:
- HKEY_CURRENT_USERSoftwareMicrosoftSystemCertificates — содержит настройки сертификатов для текущего пользователя
- HKEY_CURRENT_USERSoftwarePoliciesMicrosoftSystemCertificates — как и предыдущее расположение, но это соответствует сертификатам пользователей, развёрнутым объектом групповой политики (GPO (Group Policy))
- HKEY_USERSSID-UserSoftwareMicrosoftSystemCertificates — соответствует настройке определённых пользовательских сертификатов. У каждого пользователя есть своя ветка в реестре с SID (идентификатор безопасности).
Сертификаты уровня компьютера:
- HKEY_LOCAL_MACHINESoftwareMicrosoftSystemCertificates — содержит настройки для всех пользователей компьютера
- HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificates — как и предыдущее расположение, но это соответствует сертификатам компьютера, развёрнутым объектом групповой политики (GPO (Group Policy))
Сертификаты уровня служб:
- HKEY_LOCAL_MACHINESoftwareMicrosoftCryptographyServicesServiceNameSystemCertificates — содержит настройки сертификатов для всех служб компьютера
Сертификаты уровня Active Directory:
- HKEY_LOCAL_MACHINESoftwareMicrosoftEnterpriseCertificates — сертификаты, выданные на уровне Active Directory.
И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.
Пользовательские сертификаты (файлы):
- %APPDATA%MicrosoftSystemCertificatesMyCertificates
- %USERPROFILE%AppDataRoamingMicrosoftCryptoRSASID
- %USERPROFILE%AppDataRoamingMicrosoftCredentials
- %USERPROFILE%AppDataRoamingMicrosoftProtectSID
Компьютерные сертификаты (файлы):
- C:ProgramDataMicrosoftCryptoRSAMachineKeys
Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.
Google Chrome
Использует общесистемные доверенные корневые центры сертификации.
Чтобы перейти к списку сертификатов из веб браузера:
Настройки → Приватность и Защита → Безопасность → Управление сертификатами → Просмотр сертификатов → Центры сертификации → Доверенные корневые центры сертификации:
Opera
Чтобы перейти к списку сертификатов из веб браузера: Настройки → Перейти к настройкам браузера → Дополнительно → Безопасность → Ещё → Настроить сертификаты → Доверенные корневые центры сертификации:
Firefox
Использует NSS.
Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:
Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».
Связанные статьи:
- Как добавить сертификат Центра Сертификации (CA) в доверенные в Windows (99.4%)
- Как включить DNS через HTTPS (DoH) в веб-браузерах (58%)
- Как в Windows 11 поменять веб-браузер по умолчанию (52.5%)
- Почему Windows 10 использует так много трафика и как это исправить (50.8%)
- Программное обеспечение для компьютерной криминалистики на Windows (50.8%)
- Выбор профиля захвата для интерактивного моделирования программного обеспечения в ActivePresenter (RANDOM — 50%)
Содержание
- Способ 1: «Диспетчер сертификатов»
- Способ 2: Оснастка «MMC»
- Способ 3: «Панель управления»
- Способ 4: Браузер Microsoft Edge
- Вопросы и ответы
Способ 1: «Диспетчер сертификатов»
Благодаря цифровым сертификатам пользователь может безопасно обновлять систему через «Центр обновлений» и выполнять другие действия в интернете, например обмениваться данными без опасения, что на ПК попадут подозрительные утилиты или файлы. В Windows 10 предусмотрен «Диспетчер сертификатов», через который можно посмотреть зашифрованные данные:
- Отыщите через «Пуск» диспетчер, прописав
certmgr.msc
. Запустите приложение от имени администратора. - На панели слева отобразятся разделы с различными типами цифровых сертификатов.
- В каталоге «Личное» по умолчанию сертификатов нет, поскольку пользователь самостоятельно их устанавливает с токена или делает импорт данных. «Доверенные корневые центры сертификации» позволяют посмотреть данные от крупнейших издательств, которые представлены во внушительном списке. Благодаря им используемый браузер доверяет сертификатам большинства сайтов. Это обеспечивает безопасное пребывание в сети.
- Чтобы посмотреть содержимое корневого сертификата, дважды щелкните левой кнопкой мыши по его названию. В дополнительном окне есть общая информация, подробный состав и свойства каждого элемента, а также путь сертификации.
- С помощью «Мастера экспорта» можно скопировать сертификаты в самых распространенных форматах на другой компьютер. Чтобы запустить средство, нажмите на нужный объект правой кнопкой мыши, наведите курсор на «Все задачи», затем кликните по строке «Экспорт…».
- Для просмотра сертификатов в Windows 10 изучите разделы — их название говорит о содержимом. Зная название зашифрованных данные, можно отыскать их, если использовать вкладку «Действие» и функцию «Поиск сертификатов…».
Способ 2: Оснастка «MMC»
Штатный инструмент «Microsoft Management Console» («MMC») представляет собой графический интерфейс, предназначенный для настройки различных программ. Оснастка является компонентом «MMC», в которую встроен набор параметров модуля ОС или приложения. Просматривать и редактировать сертификаты Windows 10 можно, используя оснастку:
- Через «Пуск» Windows 10 найдите средство и запустите его с расширенными правами: это позволит вручную вносить изменения.
- В открывшемся окне нажмите на вкладку «Файл» и выберите пункт «Добавить или удалить оснастку…».
- Отобразится окно, разделенное на две части. Слева нужно выбрать тип оснастки. Отыщите в списке строку «Сертификаты» и кликните по ней левой кнопкой мыши. Нажмите на кнопку «Добавить».
- В новом окне выберите, какой сертификат будет редактироваться. Если вы не администратор, то управление данными может быть только для учетки пользователя, который выполнил вход в систему. В другом случае выберите пункт «учетной записи компьютера». Кликните по кнопке продолжения.
- В следующем шаге настройки отметьте то, чем будет управлять оснастка – «локальным компьютером». Нажмите на «Готово».
- В окне добавления и удаления оснасток в правой части появится пункт «Сертификаты». Нажмите по кнопке «ОК», чтобы закрыть окошко.
- На панели слева в интерфейсе «MMC» дважды кликните по строке с сертификатами, чтобы посмотреть доступные данные.
Визуально оснастка станет такая же, как и в Способе 1, когда напрямую открывался «Диспетчер сертификатов».
Способ 3: «Панель управления»
Следующий способ подойдет, если никаких изменений в сертификаты вноситься не будет, то есть для визуального просмотра зашифрованных данных. В этом случае перейдите в раздел со свойствами интернета в классической «Панели управления»:
- Запустите «Панель управления» через кнопку меню «Пуск».
- Для удобства просмотра разделов выберите крупные или мелкие значки. Кликните по «Свойства браузера».
- В системном окне перейдите на вкладку «Содержание» и нажмите на кнопку «Сертификаты».
- Все типы данных разделены по вкладкам. Для просмотра их состава дважды кликните левой кнопкой мыши по названию сертификата.
В этом способе просмотр данных доступен без прав администратора.
Способ 4: Браузер Microsoft Edge
Еще один способ открыть окно с информацией о добавленных сертификатах – это использовать настройки фирменного браузера Microsoft Edge.
- Запустите обозреватель и откройте главное меню, кликнув по трем точкам в верхнем правом углу. Выберите «Настройки».
- На левой панели страницы с параметрами перейдите в раздел «Конфиденциальность, поиск и службы». В главном окне отыщите блок «Безопасность» и щелкните по строке «Управление сертификатами».
После этого запустится системное окно, где можно посмотреть сертификаты Windows 10.
Еще статьи по данной теме:
Помогла ли Вам статья?
Из нашей статьи вы узнаете:
Электронную цифровую подпись владелец может использовать на различных компьютерах одновременно, но для начала её необходимо предварительно перенести (скопировать).
Для этого важно сначала найти сертификат как самой ЭЦП, так и аккредитованного УЦ, который ее сгенерировал и выдал. В нем сохранены:
- данные о владельце и УЦ, который оформил сертификат;
- срок действия;
- наименование ЭЦП;
- ключ для проверки;
- сведения об ограничениях в использовании.
Где на жестком диске находится сертификат
Необходимые для копирования файлы могут находиться в следующих местах:
- На персональном компьютере либо ноутбуке (для его обнаружения при установке по умолчанию на OS Windows версии Vista и старше перейдите по адресу: C:/Users/Пользователь/AppData/Roaming/Microsoft/System/Certificates. Обратим внимание, что доступ к этим папкам есть только при наличии прав администратора.
- В реестре OS Windows (для версии 32 бита это папка HKEY_LOCАL_MАCHINESOFTWARE CryptoPrоSettingUsers(имя пользователя ПК)Keys, а для версии 64 бита это директория HKEY_LOCAL_MАCHINESOFTWAREWow6432NodeCryptoPrоSettingUsers(имя пользователя ПК)Keys.
- В реестре OS Linux (для вывода списка открытых ключей необходимо задать команду csptest -keyset -enum_cont -verifycоntext -fqcn -machinekeys, а для пользовательских сертификатов команда будет csptest -keyset -enum_cont -verifycоntext -fqcn.
Еще одна копия файлов сертификата находится непосредственно в папке Windows в зашифрованном виде, поэтому получить к ней доступ или скопировать невозможно из-за отсутствия прав.
Непосредственно файл сертификата имеет в зависимости от вида кодировки расширение .csr либо .cer, а по объему занимает всего несколько килобайт. На жестком диске вашего компьютера хранится только открытый сертификат. Закрытый же находится на защищенном токене, и доступ к нему возможен только после ввода пользовательского пароля, выданного в удостоверяющем центре.
Как посмотреть сертификат
Просмотреть перечень сертификатов, скопировать их, удалить можно с использованием следующих инструментов;
- панель управления операционной системы;
- браузер Internet Explorer;
- специальные утилиты типа «КриптоПро»;
- менеджер Certmgr.
При использовании браузера Internet Explorer выполните следующие действия:
- запустите браузер;
- выберите в настройках пункт «Свойства браузера»;
- перейдите в раздел «Содержание» в открывшемся окне;
- кликните по графе «Сертификаты».
После этого появится окошко, где будет перечислен весь перечень установленных на компьютере открытых сертификатов. Дополнительно будет указан список сторонних поставщиков ПО.
Преимущество использования браузера Internet Explorer — в возможности просмотра списка ключей, даже если нет прав администратора. Недостатком же будет невозможность удаления устаревших или ненужных уже сертификатов с жесткого диска компьютера.
При использовании панели управления OS Windows для просмотра открытых сертификатов, установленных на компьютере, выполните следующие действия с правами администратора:
- открываем командную строку с помощью Win + R;
- введите команду cmd и нажмите «enter»;
- перейдите по команде mmc в терминал
- откройте в окне вкладку «Файл» и выберите пункт «Добавить изолированную оснастку»;
- кликните по разделу «Сертификат».
Для просмотра перечня установленных ранее сертификатов на ПК с помощью приложения «КриптоПРО» достаточно выбрать раздел «Сертификаты». Использование данного ПО позволит при наличии прав администратора не только просматривать, но и копировать открытые сертификаты, удалять их.
В OS Windows есть стандартный менеджер Certmgr для работы с установленными ранее сертификатами. С его помощью можно увидеть информацию об открытых ключах, данные об УЦ. Для использования менеджера выполните следующие действия:
- откройте меню «Пуск»;
- введите в командной строке certmgr.msc;
- выберите в меню вкладки «Личное», «Корневые сертификаты УЦ».
В итоге откроется окно со списком проверочных ключей. Специфика менеджера — в необходимости запуска с правами администратора. Важный минус сервиса — в некорректности отображения ЭЦП, что важно учитывать при просмотре.
В интернете можно скачать и другие программы для просмотра и работы с открытыми сертификатами операционной системы. Использовать их не рекомендовано из-за отсутствия гарантии безопасности и защиты от утечки данных на сторонние серверы. Сегодня Минкомсвязи РФ сертифицировано только приложение «КриптоПРО», и возможно использование встроенных инструментов операционной системы.
Где оформить сертификат и ЭЦП
Если для ведения электронного документооборота, работы на государственных порталах, сдачи отчетности или раскрытия информации вам необходима электронная цифровая подпись, то оформите ее в УЦ «Астрал-М». Наш удостоверяющий центр имеет аккредитацию Минкомсвязи на оформление ЭЦП и предлагает каждому клиенту:
- возможность оформления цифровых подписей любого типа;
- широкий выбор тарифных планов под конкретные задачи;
- расширение возможности ЭЦП с помощью дополнительных опций для учета специфики работы компании;
- доступную цену на оформление цифровых подписей;
- любую форму оплаты.
Для приобретения электронной цифровой подписи оставьте заявку на сайте или свяжитесь с сотрудниками по телефону. После согласования тарифного плана вам будет направлен перечень необходимых документов и счет на оплату оформления ЭЦП. На выполнение всех действий уйдет 1—2 рабочих дня, но при желании возможно открытие подписи в ускоренном формате.
Электронную подпись можно использовать на сколь угодно компьютерах, в том числе и одновременно. Но для того же переноса сертификата необходимо понимать, где он хранится на самом компьютере и каким образом его можно найти. К тому же, для переноса ЭЦП потребуется не только сам личный сертификат, но и удостоверяющего доверенного центра, который электронную подпись и выдал. Так где хранятся сертификаты ЭЦП на компьютере?
Файлы сертификатов в проводнике
Где находятся сертификаты ЭЦП на компьютере?
В среде Windows (начиная с Vista и в более поздних версиях операционной системы) абсолютно все пользовательские сертификаты хранятся по адресу C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates, где вместо ПОЛЬЗОВАТЕЛЬ – имя учетной записи, по которой сейчас и работает операционная система. Но там хранятся только открытые сертификаты, доступные только для чтения.
А вот закрытый сертификат ЭЦП не копируется на жесткий диск – он хранится исключительно на защищенном USB-рутокене и используется как раз для генерации открытых ключей (при этом нужно ещё вводить секретный пароль, который предоставляет удостоверяющий центр). Если же физически скопировать открытый сертификат на другой компьютер, то пользоваться им можно будет лишь в том случае, если там же установлен корневой сертификат удостоверяющего центра, выдавшего ЭЦП. В противном случае – сертификат не пройдет проверку подлинности.
Где ещё на компьютере хранится сертификат электронной подписи? Ещё одна копия, для программного использования, хранится в шифрованном виде в папке Windows, но получить доступ туда или даже скопировать сам файл сертификата не получится – операционная система не предоставит таких прав доступа.
Ещё следует учесть, что для просмотра файлов сертификатов пользователь должен обладать правами администратора. Если же он вошел в систему как «Гость», то к системным папкам на диске С (или другом, где установлена сама система) он не сможет получить доступ.
Сам файл сертификата имеет расширение .cer или .csr (в зависимости от кодировки), занимает буквально несколько килобайт памяти. Точно такие же файлы используются в дистрибутивах Linux, в MacOS – это уже стандартизированный формат электронных подписей. Также нередко в вышеуказанных папках можно найти файлы сертификатов стандарта .x509, однако в РФ такие для личного использования не применяются.
Просмотр сертификатов через КриптоПРО
Как найти сертификат ЭЦП на компьютере через КриптоПРО (программа-дистрибутив, который используется для работы с электронными подписями)? Для этого необходимо:
- открыть меню «Пуск»;
- перейти на вкладку «Все программы», далее – «КриптоПРО»;
- кликнуть на «Сертификаты».
После этого появится диалоговое окно со списком всех установленных сертификатов на жестком диске. Там же можно посмотреть информацию по каждому из них, удалить из системы, скопировать весь контейнер (связка открытого ключа и сертификата удостоверяющего центра – это позволит пользоваться ЭЦП на другом компьютере).
Опять же, для доступа к данному меню необходимо, чтобы у пользователя имелись права администратора (или предоставлена возможность пользоваться программой от администратора ПК). В противном случае – программа выдаст сообщение о невозможности получить доступ к списку установленных в системе сертификатов.
Можно редактировать список сертификатов и непосредственно из программы КриптоПРО (запустить можно из «Панели управления»). Там доступен более широкий функционал для работы с ЭЦП, а также сертификатами удостоверяющих центров.
Просмотр сертификатов через Certmgr
В операционных системах семейства Windows также имеется встроенный менеджер для работы с установленными сертификатами. Через него можно просмотреть и личные ключи, и сертификаты удостоверяющих центров, партнеров Microsoft (для предоставления привилегий определенным программам).
Где на компьютере найти сертификат цифровой подписи при помощи менеджера? Для этого необходимо:
- открыть меню «Пуск»;
- ввести команду «certmgr.msc» (без кавычек) и нажать клавишу «Enter»;
- в левой части появившегося окна будут вкладки «Личное» и «Корневые сертификаты удостоверяющего центра» — вот там и можно найти все необходимые ключи.
Для запуска менеджера, а также удаления или копирования файлов сертификатов необходимо обладать правами администратора. В противном случае – программа даже не запустится, ссылаясь на недостаточный уровень прав доступа.
Данное приложение также имеет ряд ограничений по работе с шифрованными сертификатами (со специальной кодировкой данных). Поэтому она не всегда корректно отображает все установленные пользовательские цифровые подписи.
Доступ к сертификатам через Internet Explorer
Как найти электронную подпись на компьютере при помощи Internet Explorer? Данный веб-обозреватель имеется в Windows XP и более старших версиях, но может отсутствовать в определенных редакциях Windows 10. При необходимости – его можно бесплатно скачать с официального сайта Microsoft по ссылке https://www.microsoft.com/uk-ua/download/internet-explorer.aspx (необходимо будет указать используемую версию Windows).
Где хранится сертификат ЭЦП и как его найти через Internet Explorer? Необходимо запустить сам веб-обозреватель, далее:
- открыть «Меню», далее – «Свойства браузера»;
- в появившемся окне перейти на вкладку «Содержание»;
- кликнуть на «Сертификаты».
После – появится окно со списком всех установленных в системе сертификатов, в том числе и от сторонних поставщиков программного обеспечения (в отдельной вкладке). Из данного меню можно удалить открытые ключи, но не корневые сертификаты удостоверяющих центров.
Доступ к списку сертификатов в Internet Explorer также можно получить из меню «Центр управления сетями и общим доступом» из «Панели управления» (в левой колонке внизу будет пункт «Свойства обозревателя»).
Этот вариант найти файлы сертификатов на компьютере удобен тем, что позволяет просмотреть их список даже без наличия прав администратора. Но вот удалять их уже не получится (но в большинстве случаев этого и не требуется).
Просмотр сертификатов через консоль управления
Это ещё один встроенный в Windows инструмент, позволяющий на компьютере найти ключ ЭЦП.
Для просмотра сертификатов через консоль управления необходимо выполнить:
- запустить командную строку (нажать комбинацию клавиш Win+R, ввести «cmd» и нажать клавишу Enter);
- ввести в терминале команду mmc и нажать Enter;
- кликнуть на «Файл» и выбрать «Добавить или удалить оснастку»;
- выбрать «Добавить», затем «Добавить изолированную оснастку»;
- выбрать «Сертификаты».
Затем также можно выбрать просмотр сертификатов по определенной учетной записи, зарегистрированной в Windows. Чтобы таким методом найти ЭЦП на компьютере также нужно обладать правами администратора.
Через MMC (Просмотр сертификатов в консоли управления) также можно добавлять, удалять, копировать контейнеры с электронной подписью (включая сертификат удостоверяющего центра), но далеко не всем такой метод покажется удобным, так как некоторые команды также придется вводить именно через командную строку. Данный инструмент больше подходит для использования системными администраторами, когда через сервер выполняется настройка прав доступа всех подключенных компьютеров.
Другие варианты
Есть ещё масса других сторонних программ, которые точно так же позволяют работать с сертификатами, установленными в операционной системе. Но вот пользоваться ими не рекомендуется – никто не может гарантировать, что в исходном коде подобного приложения нет команды отправки сертификата на внешний сервер. Единственная сертифицированная в Минкомсвязи программа для работы с электронными подписями – это именно КриптоПРО CSP (на текущий момент актуальны версии 3.5 или старше). Её использование – это своего рода гарантия защиты от возможной компрометации ЭЦП.
Итого, где находится сертификат электронной подписи на компьютере? В системной папке пользователя, а удобней всего с ключами работать при помощи программы КриптоПРО CSP. С её помощью можно совершить быстрый перенос электронной подписи с одного компьютера на другой даже без использования USB-рутокена. А для быстрого просмотра самих ключей или удаления некоторых из них удобней всего использовать Internet Explorer.
Участие в торгах, сдача отчетности, маркировка товаров невозможны без электронной подписи (ЭП или ЭЦП), которая заменяет реальную подпись человека при дистанционной подготовке документов.
Если вы еще не получили электронную подпись, оформите ЭП в удостоверяющем центре, который прошел аккредитацию. В УЦ Контура есть подписи для сотрудников и руководителей, торгов, отчетности и личных дел.
Заказать
Чаще всего владельцы электронной подписи сталкиваются с сертификатом, когда подписывают контракт на торговой площадке или отчет для налоговой. Тогда система, где подписывается документ, предлагает «Выбрать сертификат», которым будет подписан документ.
Сертификат — это электронное свидетельство, которое подтверждает, кому ЭП принадлежит. В нем содержатся сведения:
- Срок действия;
- Статус: действителен или нет;
- Кому он выдан и каким удостоверяющим центром (УЦ);
- Наличие закрытого ключа;
- Значение открытого ключа;
- Уникальный номер сертификата.
Сертификат получают в удостоверяющем центре. Для этого нужно обратиться в УЦ, сообщить свои данные, показать паспорт и подтвердить личность. Сотрудники УЦ сообщат, как пользователю сгенерировать ключи электронной подписи, а потом выдадут на них сертификат — он подтвердит, что ключи принадлежат вам и позволит использовать их для подписания документов. Вы сможете записать его на токен (защищенный носитель, похожий на флешку) или сохранить на компьютер.
Файл сертификата имеет расширение.cer. Иконка файла — выглядит как конверт с ключом и печатью.
Как выглядит файл с сертификатом ЭП
Сертификат, открытый и закрытый ключи хранятся вместе на внешнем носителе или в компьютере. Вместе эти три компонента обеспечивают работу ЭП. Сертификат без ключей не позволит подписать электронный документ.
Повреждение или удаление файлов приведет к необходимости перевыпуска ЭП.
Тариф «Марафон» от Удостоверяющего центра Контура позволяет перевыпускать сертификат столько, сколько нужно без доплат. Также тариф избавляет от ежегодной подготовки документов для новой ЭП
Заказать
При первом получении сертификата и ключей ЭП пользователь выбирает, на каком носителе будет их хранить. Это возможно, если правила системы или УЦ, где он получает сертификат, разрешает выбрать разные носители.
Всего есть четыре возможных носителя для сертификата:
- Токен — специальный защищенный носитель, который внешне похож на флешку. Содержимое носителя защищено пин-кодом, поэтому просто так файл с закрытым ключом с токена не скопировать. Купить такой носитель можно в УЦ или у производителя токенов.
- Флешка — обычный носитель, на нем контейнер с сертификатом и ключами будет храниться, как папка с файлами.
- Обычная папка на компьютере — или ее также называют «директория».
- Реестр компьютера — база с информацией о настройках и параметрах компьютера.
В дальнейшем пользователь может сделать копию ключа и сертификата и записать их на второй носитель. Это возможно, если в сертификате нет запрета на копирование. Например, не удастся скопировать сертификат УЦ ФНС или сертификат для ЕГАИС Алкоголь, так как они защищены от копирования. При этом другие квалифицированные сертификаты — например, подпись для торгов или налоговой отчетности — можно дублировать и хранить на нескольких носителях.
Подробнее разберем хранение сертификата на компьютере: в папке (директории) и в реестре.
Папка в операционной системе
При сохранении сертификата на компьютере программа КриптоПро CSP сама определяет конкретную папку, куда запишет ключи и сертификат. Выбрать другой путь сохранения файла пользователю не удастся.
В этом случае файл закрытого ключа проще найти и скопировать — это будет обычная папка с файлами. Путь к папке будет таким:
- в Windows — %localappdata%/crypto prо;
- в Linux, Unix, MacOS — /var/opt/cprocsp/keys/{username}, где username — это название учетной записи.
Реестр
Реестр компьютера — это список настроек и параметров ПК. Увидеть реестр компьютера можно, набрав в строке поиска на панели «Пуск» — «regedit». Поиск позволит открыть служебную программу — редактора реестра.
Путь к сертификату через реестр
Найти сертификат на ПК можно несколькими путями:
- с помощью программы КриптоПро CSP;
- программы CertMgr;
- браузера;
- консоли MMC.
Все четыре способа позволят открыть сертификат, выгрузить его в виде файла, просмотреть сведения об ЭП, а при необходимости и удалить сертификат. Когда не нужно удалять сертификат.
В КриптоПро CSP и браузере также можно скопировать сертификат вместе с закрытым ключом, в программе CertMgr и консоли ММС — только файл сертификата. Для такого копирования сертификата и его ключа рекомендуем использовать сервис копирования сертификатов на Установочном диске, где пользователю не требуется детально погружаться в механизмы работы ЭП.
Поиск сертификата через КриптоПро CSP
КриптоПро CSP — это программа для работы с электронной подписью. Она есть у большинства пользователей, работающих с квалифицированной ЭП.
Чтобы найти сертификат через КриптоПро CSP на ПК:
- Открываем программу: Пуск → Все программы — КриптоПро CSP.
- В программе переходим по вкладкам: Сертификаты пользователя → Личное → Сертификаты.
- Выбираем нужный сертификат и делаем с ним то, что планировали: смотрим информацию в сертификате, экспортируем его или удаляем.
Поиск сертификата через КриптоПро CSP
После открытия сертификата через КриптоПро CSP, вкладка с ним появится в меню «Пуск». В следующий раз сертификат можно будет открыть быстрее — сразу из этого меню.
При удалении сертификата через КриптоПро CSP, программа сотрет с компьютера все компоненты ЭП вместе с корневым сертификатом УЦ. После этого восстановить их невозможно. Что такое корневой сертификат.
Поиск сертификата через CertMgr
CertMgr — это программа для работы с сертификатами на ПК. Также через программу можно посмотреть справочную информацию о консоли управления Microsoft Management Console (MMC) и о том, как настроить удаленное подключение к компьютеру.
Поиск сертификатов на ПК с помощью CertMgr аналогичен поиску через КриптоПро CSP:
- Открываем меню «Пуск» и в поисковой строке пишем название диспетчера сертификатов — «CertMgr», запускаем программу CertMgr.
- В программе — выбираем папку «Личное», тип объекта — «Сертификаты». Диспетчер выдаст перечень сертификатов, которые установлены на компьютер.
- Выбираем из списка нужный сертификат и открываем его.
Поиск сертификата через CertMgr
Поиск сертификата через Internet Explorer
Internet Explorer — один из наиболее популярных браузеров для работы с сертификатами ЭП. Долгое время только его можно было использовать для сертификатов. Другие браузеры начали поддерживать работу сертификатов позже — в 2015-2017 годах. Но до сих пор использовать сертификат на некоторых ресурсах можно только в Internet Explorer.
Как найти сертификат с помощью браузера Internet Explorer:
- Открываем браузер и нажимаем: Настройки → Свойства браузера → Содержание → Сертификаты
- Появится окно с сертификатами, установленными на компьютер. Можно будет просмотреть информацию о них.
Поиск сертификата через Internet Explorer
Полностью удалить сертификат из браузера Internet Explorer невозможно — только открытый ключ. Поэтому если сертификат удалили из браузера по ошибке, то его можно восстановить с помощью программы КриптоПро CSP.
В браузере Chrome и основанных на нем браузерах (Яндекс.Браузер, Opera) сертификаты также можно найти:
Настройки браузера → Приватность и защита → Безопасность и защита → Сертификаты → Просмотр сертификатов.
В браузере Firefox найти сертификат не получится. Этот браузер не работает с российскими сертификатами и отечественными криптографическими алгоритмами.
Поиск сертификата через консоль управления
Консоль MMC (Microsoft Management Console) — это место для хранения инструментов и программ, которые предназначены для обслуживания компьютера. Эти средства называются оснастками и служат для управления оборудованием, программным обеспечением и сетевыми компонентами Windows.
Что именно находится в консоли, выбирает пользователь. Перед тем, как пользоваться инструментами консоли, сначала их нужно туда добавить, то есть «Добавить оснастку».
Рассказываем, как запустить консоль и добавить оснастку:
- Открываем меню «Пуск» и в поисковой строке указываем — «MMC».
- В результатах поиска выбираем консоль управления Windows MMC и запускаем ее.
- Нажимаем на вкладку «Файл» и выбираем функцию «Добавить или удалить оснастку». Система выдаст список доступных оснасток.
- Выбираем строку «Сертификаты» в перечне оснасток и нажимаем кнопку «Добавить».
- Указываем, для какой учетной записи выбираем оснастку — «Моей учетной записи пользователя» и нажимаем «Готово». После этого список сертификатов перейдет из перечня доступных оснасток в окне слева в перечень выбранных оснасток в окне справа.
- Подтверждаем выбор: в окне выбранных оснасток выбираем инструмент «Сертификаты» и нажимаем «Ок».
- Прописываем название консоли и выбираем, куда ее сохранить.
Добавление сертификата в консоль управления Windows
После добавления сертификатов в консоль управления Windows, с ними можно будет работать напрямую через эту консоль.
Как запустить консоль, в которую добавлены сертификаты:
- Открываем меню «Пуск» и в поисковой строке указываем название консоли. Например, «Консоль1».
- Выбираем консоль, запускаем ее и нажимаем: Корень консоли → Сертификаты → Личное → Сертификаты.
- Нажимаем на иконку сертификата и открываем его.
Просмотр сертификата в консоли управления Windows
Сертификат на компьютере можно найти несколькими путями. Наиболее простые через программу КриптоПро CSP или браузер. Чуть более сложные — через диспетчер сертификатов CertMgr или консоль управления Windows.
Если поиск не дал результатов, значит сертификата на компьютере нет. Это значит, что файл сертификата удален. Восстановить его можно только в случае, если закрытый ключ не тронут. В противном случае нужно использовать копию сертификата, если заранее ее сделали, или обратиться в удостоверяющий центр за новым сертификатом.
Если у вас оформлен тариф «Марафон» от Удостоверяющего центра Контура, платить за перевыпуск не придется. Тариф не только избавляет от ежегодной подготовки документов для новой ЭП, но и позволяет перевыпускать сертификат столько, сколько нужно
Заказать