Установка цифровых сертификатов в Windows 10 Mobile Install digital certificates on Windows 10 Mobile

Опубликовано: 03.11.2019Категория: Инструкции windowsАвтор: myWEBpc

Цифровые сертификаты – это небольшие файлы, которые содержат ряд личной и частной информации, как наши данные, учетные данные для доступа и т. п. Цифровые сертификаты используется для идентификации нас через Интернет, чтобы мы могли подтвердить свою личность и выполнять все виды запросов и Интернет-менеджменте. Когда мы устанавливаем сертификат в Windows 10, он устанавливается в защищенном разделе операционной системы, и когда приложение будет нуждаться в каком-либо сертификате, то оно будет запрашивать доступ к нему, чтобы использовать его.

Как посмотреть установленные цифровые сертификаты в Windows 10

1. Посмотрим сертификаты для оборудования, сгенерированными Microsoft и другими разработчиками для правильного функционирования компьютера. Они доступны для всех пользователей.

Нажмите сочетание клавиш Win + R и введите certlm.msc, чтобы открыть сертификаты.

Далее вы увидите сертификаты и разные категории. В зависимости от назначения каждого сертификата они будут храниться в том или ином каталоге.

2. Если вы хотите просмотреть личные сертификаты, которые доступны только текущему пользователю на данной учетной записи, то нажмите Win + R и введите certmgr.msc, чтобы открыть этот персональный менеджер сертификатов. Мы найдем все личные сертификаты, которые являются эксклюзивными для нашего пользователя. В частности, в папке “Личное” мы найдем все это.

Как удалить сертификат в Windows 10

Если вам нужно удалить какой-либо сертификат, что я не рекомендую, то просто найдите его и нажмите на нем правой кнопкой мыши, после чего “Удалить”. Иногда бывает так, что сертификаты становятся криво или повреждаются, в этом случае нужно будет удалить и заново установить.

Смотрите еще:

• Как посмотреть и удалить данные отправленные в Microsoft
• WinSxS – Что это за папка в Windows 10/7 и как ее очистить
• Уменьшить размер файла Гибернации (hiberfil.sys) 
• Поменять сочетание клавиш для смены языка в Windows 10 
• Исправить ошибку 0xc0000906 при запуске приложения

Загрузка комментариев

Политика конфиденциальности

Где хранятся сертификаты в windows системах

Для чего знать где хранятся сертификаты в windows

Давайте я вам приведу основные причины, по которым вы захотите обладать этим знанием:

• Вам необходимо посмотреть или установить корневой сертификат
• Вам необходимо посмотреть или установить личный сертификат
• Любознательность

Ранее я вам рассказывал какие бывают сертификаты и где вы их можете получить и применять, советую ознакомиться с данной статьей, так как информация изложенная в ней является фундаментальной в этой теме.

Во всех операционных системах начиная с Windows Vista и вплоть до Windows 10 Redstone 2 сертификаты хранятся в одном месте, неком таком контейнере, который разбит на две части, один для пользователя, а второй для компьютера.

В большинстве случаев в Windows поменять те или иные настройки вы можете через mmc оснастки, и хранилище сертификатов не исключение. И так нажимаем комбинацию клавиш WIN+R и в открывшемся окне выполнить, пишем mmc.

Вы конечно можете ввести команду certmgr.msc, но таким образом вы сможете открыть только личные сертификаты

Теперь в пустой mmc оснастке, вы нажимаете меню Файл и выбираете Добавить или удалить оснастку (сочетание клавиш CTRL+M)

В окне Добавление и удаление оснасток, в поле Доступные оснастки ищем Сертификаты и жмем кнопку Добавить.

Тут в диспетчере сертификатов, вы можете добавить оснастки для:

• моей учетной записи пользователя
• учетной записи службы
• учетной записи компьютера

Я обычно добавляю для учетной записи пользователя

и компьютера

У компьютера есть еще дополнительные настройки, это либо локальный компьютер либо удаленный (в сети), выбираем текущий и жмем готово.

В итоге у меня получилось вот такая картина.

Сразу сохраним созданную оснастку, чтобы в следующий раз не делать эти шаги. Идем в меню Файл > Сохранить как.

Задаем место сохранения и все.

Как вы видите консоль хранилище сертификатов, я в своем примере вам показываю на Windows 10 Redstone, уверяю вас интерфейс окна везде одинаковый. Как я ранее писал тут две области Сертификаты – текущий пользователь и Сертификаты (локальный компьютер)

Сертификаты – текущий пользователь

Данная область содержит вот такие папки:

1. Личное > сюда попадают личные сертификаты (открытые или закрытые ключи), которые вы устанавливаете с различных рутокенов или etoken
2. Доверительные корневые центры сертификации > это сертификаты центров сертификации, доверяя им вы автоматически доверяете всем выпущенным ими сертификатам, нужны для автоматической проверки большинства сертификатов в мире. Данный список используется при цепочках построения доверительных отношений между CA, обновляется он в месте с обновлениями Windows.
3. Доверительные отношения в предприятии
4. Промежуточные центры сертификации
5. Объект пользователя Active Directory
6. Доверительные издатели
7. Сертификаты, к которым нет доверия
8. Сторонние корневые центры сертификации
9. Доверенные лица
10. Поставщики сертификатов проверки подлинности клиентов
11. Local NonRemovable Certificates
12. Доверительные корневые сертификаты смарт-карты

В папке личное, по умолчанию сертификатов нет, если вы только их не установили. Установка может быть как с токена или путем запроса или импорта сертификата.

В мастере импортирования вы жмете далее.

далее у вас должен быть сертификат в формате:

• PKCS # 12 (.PFX, .P12)
• Стандарт Cryprograhic Message Syntax – сертификаты PKCS #7 (.p7b)
• Хранилище сериализованных сертификатов (.SST)

На вкладке доверенные центры сертификации, вы увидите внушительный список корневых сертификатов крупнейших издателей, благодаря им ваш браузер доверяет большинству сертификатов на сайтах, так как если вы доверяете корневому, значит и всем кому она выдал.

Двойным щелчком вы можете посмотреть состав сертификата.

Из действий вы их можете только экспортировать, чтобы потом переустановить на другом компьютере.

Экспорт идет в самые распространенные форматы.

Еще интересным будет список сертификатов, которые уже отозвали или они просочились.

Список пунктов у сертификатов для компьютера, слегка отличается и имеет вот такие дополнительные пункты:

• AAD Token Issue
• Windows Live ID Token
• Доверенные устройства
• Homegroup Machine Certificates

Ноя 23, 2016 14:52

• На данный момент работа через защищённое соединение c устройств Apple не поддерживается.

На данный момент работа через защищённое соединение c Android-устройств не поддерживается.

Установка сертификатов — для Windows 10 (Vista, 7, 8)

Шаг 1. Загрузите сертификаты КриптоПро CSP

ssl.croinform.cer [1,1 кБ] — (обновлен 21 сентября 2020 г.) основной сертификат, необходим для устранения ошибки сертификата безопасности для веб-узла croinform.ru.

cacer.p7b [4 кБ] — (обновлен 29 сентбяря 2020 г.) контейнер с сертификатами удостоверяющего центра ООО КРИПТО-ПРО, необходимыми для функционирования сертификата ssl.croinform.cer.

Шаг 2. Установка основного сертификата ssl.croinform.cer

Для установки сертификата веб-узла ssl.croinform.ru выполните следующие действия. Щелкните правой клавишей мыши по файлу ssl.croinform.cer. В открывшемся контекстном меню выберите команду «Установить сертификат».

При запуске может быть открыто окно предупреждения системы безопасности. Нажмите кнопку «Открыть».

Откроется окно «Мастер импорта сертификатов».

В последующих шагах установки нажимайте на кнопку «Далее», не меняя параметров установки. После завершения установки, на экран будет выведено окно оповещения.

Нажмите на кнопку «ОК», окно будет закрыто. Поздравляем! Вы установили основной сертификат ssl.croinform.cer.

Шаг 3. Установка сертификатов из контейнера cacer.p7b

Щелкните правой клавишей мыши по файлу cacer.p7b. В открывшемся контекстном меню выберите команду «Установить сертификат».

При запуске может быть открыто окно предупреждения системы безопасности. Нажмите кнопку «Открыть».

Откроется окно «Мастер импорта сертификатов».

Нажмите кнопку «Далее». Мастер перейдет к выбору хранилища для размещения сертификатов

Установите переключатель в положение «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор». Появится окно «Выбор хранилища сертификатов».

Выберите в списке пункт «Доверенные корневые центры сертификации» и нажмите кнопку «ОК». Окно «Выбор хранилища сертификатов» будет закрыто, и Вы вернетесь в окно «Мастер импорта сертификатов». В поле «Хранилище сертификатов» появится выбранное хранилище сертификатов.

Нажмите кнопку «Далее». Окно «Мастер импорта сертификатов» откроется на шаге «Завершение мастера импорта сертификатов».

Нажмите кнопку «Готово». На экране появится окно предупреждения системы безопасности.

Нажмите на кнопку «ОК», кно будет закрыто. Во всех последующих окнах предупреждения системы безопасности (они будут аналогичны первому) также нажмите кнопку «ОК». После завершения установки всех сертификатов на экран будет выведено окно оповещения.

Нажмите на кнопку «ОК», окно будет закрыто. Сертификаты из контейнера cacer.p7b успешно установлены.

Вы установили все требуемые сертификаты!

–>

Относится кApplies to

• Windows 10 MobileWindows 10 Mobile

Цифровые сертификаты привязывают удостоверение пользователя или компьютера к паре ключей, которую можно использовать для шифрования и подписания цифровой информации.Digital certificates bind the identity of a user or computer to a pair of keys that can be used to encrypt and sign digital information.Сертификаты выдаются центром сертификации (ЦС), подтверждающим удостоверение владельца сертификата, и обеспечивают безопасную связь клиента с веб-сайтами и службами.Certificates are issued by a certification authority (CA) that vouches for the identity of the certificate holder, and they enable secure client communications with websites and services.

В Windows 10 Mobile сертификаты применяются преимущественно для следующих целей:Certificates in Windows 10 Mobile are primarily used for the following purposes:

• Создание безопасного канала между телефоном и веб-сервером или службой с использованием протокола SSL.To create a secure channel using Secure Sockets Layer (SSL) between a phone and a web server or service.
• Проверка подлинности пользователя на обратном прокси-сервере, используемом для включения Microsoft Exchange ActiveSync (EAS) для электронной почты.To authenticate a user to a reverse proxy server that is used to enable Microsoft Exchange ActiveSync (EAS) for email.
• Установка и лицензирование приложений (из Microsoft Store или настраиваемого сайта распространения организации).For installation and licensing of applications (from the Windows Phone Store or a custom company distribution site).

Предупреждение

В Windows10 версии 1607, если у вас есть несколько сертификатов, подготовленных на устройстве, а в подготовленном профиле Wi-Fi отсутствуют строгие критерии фильтрации, то при подключении к сети Wi-Fi могут наблюдаться сбои сетевого подключения.In Windows 10, Version 1607, if you have multiple certificates provisioned on the device and the Wi-Fi profile provisioned does not have a strict filtering criteria, you may see connection failures when connecting to Wi-Fi.Подробнее об этой известной проблеме в версии 1607Learn more about this known issue in Version 1607

Установка сертификатов с помощью Microsoft EdgeInstall certificates using Microsoft Edge

Сертификат можно разместить на веб-сайте и сделать доступным для пользователей посредством URL-адреса, перейдя по которому на устройстве, они смогут скачать сертификат.A certificate can be posted on a website and made available to users through a device-accessible URL that they can use to download the certificate.Когда пользователь заходит на страницу и касается сертификата, сертификат открывается на устройстве.When a user accesses the page and taps the certificate, it opens on the device.Пользователь может проверить сертификат, и в случает подтверждения сертификат устанавливается на устройство с Windows 10 Mobile.The user can inspect the certificate, and if they choose to continue, the certificate is installed on the Windows 10 Mobile device.

Установка сертификатов с помощью электронной почтыInstall certificates using email

Установщик сертификатов Windows 10 Mobile поддерживает файлы CER, P7B, PEM и PFX.The Windows 10 Mobile certificate installer supports .cer, .p7b, .pem, and .pfx files.Некоторые почтовые программы блокируют CER-файлы из соображений безопасности.Some email programs block .cer files for security reasons.Если в вашей организации существует такая практика, воспользуйтесь альтернативным способом развертывания сертификата.If this is the case in your organization, use an alternative method to deploy the certificate.Сертификаты, отправляемые по электронной почте, отображаются в виде вложений сообщения.Certificates that are sent via email appear as message attachments.После получения сертификата пользователь может коснуться один раз для просмотра содержимого и еще раз — для установки сертификата.When a certificate is received, a user can tap to review the contents and then tap to install the certificate.Как правило, после установки сертификата удостоверения пользователю предлагается ввести пароль (или парольную фразу), который используется для его защиты.Typically, when an identity certificate is installed, the user is prompted for the password (or passphrase) that protects it.

Установка сертификатов с помощью системы управления мобильными устройствами (MDM)Install certificates using mobile device management (MDM)

Windows 10 Mobile поддерживает настройку через систему MDM корневых и клиентских сертификатов, а также сертификатов ЦС.Windows 10 Mobile supports root, CA, and client certificate to be configured via MDM.С помощью MDM администратор может напрямую добавлять, удалять или запрашивать корневые сертификаты и сертификаты ЦС, а также настроить устройство для регистрации клиентского сертификата на сервере регистрации сертификатов, поддерживающем протокол SCEP.Using MDM, an administrator can directly add, delete, or query root and CA certificates, and configure the device to enroll a client certificate with a certificate enrollment server that supports Simple Certificate Enrollment Protocol (SCEP).Зарегистрированные SCEP сертификаты клиента используются Wi-Fi, VPN, электронной почтой и браузером для проверки подлинности клиента на основе сертификатов.SCEP enrolled client certificates are used by Wi-Fi, VPN, email, and browser for certificate-based client authentication.Сервер MDM также может запрашивать и удалять зарегистрированные SCEP сертификаты клиента (включая установленные пользователем) и инициировать новый запрос на регистрацию до истечения срока действия текущего сертификата.An MDM server can also query and delete SCEP enrolled client certificate (including user installed certificates), or trigger a new enrollment request before the current certificate is expired.

Предупреждение

Не используйте SCEP для сертификатов шифрования для S/MIME.Do not use SCEP for encryption certificates for S/MIME.Для поддержки S/MIME в Windows 10 Mobile необходимо использовать профиль сертификата PFX.You must use a PFX certificate profile to support S/MIME on Windows 10 Mobile.Инструкции по созданию профиля сертификат PFX в Microsoft Intune см. в разделе Разрешение доступа к ресурсам компании с помощью Microsoft Intune.For instructions on creating a PFX certificate profile in Microsoft Intune, see Enable access to company resources using certificate profiles with Microsoft Intune.

Процесс установки сертификатов с помощью MDMProcess of installing certificates using MDM

1. Сервер MDM создает первоначальный запрос на регистрацию сертификата, который содержит пароль вызова, URL-адрес сервера SCEP и другие связанные с регистрацией параметры.The MDM server generates the initial cert enroll request including challenge password, SCEP server URL, and other enrollment related parameters.

2. Политика преобразовывается в запрос OMA DM и отправляется на устройство.The policy is converted to the OMA DM request and sent to the device.

3. Сертификат доверенного ЦС устанавливается непосредственно во время запроса MDM.The trusted CA certificate is installed directly during MDM request.

4. Устройство принимает запрос на регистрацию сертификата.The device accepts certificate enrollment request.

5. Устройство создает пару из закрытого и открытого ключей.The device generates private/public key pair.

6. Устройство подключается к предоставленной MDM-сервером точке доступа в Интернете.The device connects to Internet-facing point exposed by MDM server.

7. Сервер MDM создает сертификат, подписанный соответствующим ЦС, и возвращает его на устройство.MDM server creates a certificate that is signed with proper CA certificate and returns it to device.

   Примечание

   Устройство поддерживает функцию ожидания, которая позволяет провести на стороне сервера дополнительную проверку перед выдачей сертификата. В этом случае устройству отправляется состояние ожидания.The device supports the pending function to allow server side to do additional verification before issuing the cert. In this case, a pending status is sent back to the device.Устройство периодически связывается с сервером с учетом заданных параметров количества и периода повторений.The device will periodically contact the server, based on preconfigured retry count and retry period parameters.Повторные попытки прекращаются в любом из следующих случаев:Retrying ends when either:

   • Сертификат успешно получен от сервераA certificate is successfully received from the server
   • Сервер возвращает ошибкуThe server returns an error
   • Число повторных попыток достигло предварительно настроенного ограниченияThe number of retries reaches the preconfigured limit

8. Сертификат установлен на устройство.The cert is installed in the device.Браузер, Wi-Fi, VPN, электронная почта и другие основные приложения имеют доступ к этому сертификату.Browser, Wi-Fi, VPN, email, and other first party applications have access to this certificate.

   Примечание

   Если MDM запрашивает сохранение закрытого ключа в доверенном платформенном модуле (TPM) (настраивается в ходе запроса на регистрацию), закрытый ключ будет сохранен в TPM.If MDM requested private key stored in Trusted Process Module (TPM) (configured during enrollment request), the private key will be saved in TPM.Обратите внимание, что зарегистрированные SCEP сертификаты, защищенные TPM, не защищаются ПИН-кодом.Note that SCEP enrolled cert protected by TPM isn’t guarded by a PIN.При этом сертификаты, импортированные в поставщик хранилища ключей (KSP) службы Windows Hello для бизнеса, защищены ПИН-кодом Hello.However, if the certificate is imported to the Windows Hello for Business Key Storage Provider (KSP), it is guarded by the Hello PIN.

Статьи по темеRelated topics

Настройка S/MIMEConfigure S/MIME

–>

Чтобы добавить сертификаты в хранилище доверенных корневых центров сертификации локального компьютера, выполните следующие действия.

1. Первый шаг. Откройте мастер импорта сертификатов одним из описанных далее способом и нажмите «Далее >».

Установка через Internet Explorer:

• Запустите iexplorer. В главном меню выберите Сервис / Свойства обозревателя.
• Откройте «Свойства обозревателя» через Пуск / Панель управления.
• Переключитесь на вкладку «Содержание».
• Откроется окно «Сертификаты». Переключитесь на вкладку «Доверенные корневые центры сертификации».
• Нажмите кнопку «Импорт».
• Запустите файл сертификата как программу. Появится окно «Сертификат».
• Нажмите кнопку «Установить сертификат».

Через консоль MS Windows

Внимание! Данный вариант — ЕДИНСТВЕННЫЙ работоспособный для Windows 7!

1. • Запустите консоль mmc, для этого выполните следующие действия: Войти в «Пуск / Выполнить», в строке «Найти программы и файлы» пропишите mmc, Разрешите внести изменения — кнопка Да.
   • Появится окно консоли. В главном меню выберите Консоль / Добавить или удалить оснастку
   • Появится окно «Добавить или удалить оснастку». Нажмите кнопку «Добавить…»
   • В списке оснастки выберите «Сертификаты» и нажмите «Добавить».
   • В окне «Оснастка диспетчера сертификатов» оставьте значения по умолчанию и нажмите «Готово»
   • Закройте окно «Добавить изолированную оснастку» (кнопка «Закрыть»)
   • В окне «Добавить или удалить оснастку» нажмите «ОК»
   • В дереве консоли появится запись «Сертификаты». Раскройте ее и найдите раздел «Доверенные корневые центры сертификации», «Сертификаты»
   • На строке «Сертификаты» нажмите правую кнопку мыши и в контекстном меню выберите Все задачи / Импорт
2. На шаге «Импортируемый файл» (Шаг может быть пропущен, в зависимости от варианта запуска мастера) с помощью кнопки «Обзор…» выберите корневой сертификат и нажмите «Далее >».
3. На шаге «Хранилище сертификатов» установите опцию «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор».
4. В окне выбора хранилища установите флаг «Показать физические хранилища», раскройте «ветку» (+) «Доверенные корневые центры сертификации» и выберите место хранения сертификата:
   • «Реестр» — для пользования корневым сертификатом только текущим пользователем под данной операционной системой.
   • «Локальный компьютер» — для пользования корневым сертификатом всеми пользователями операционной системой.

   

5. После нажатия кнопок «Ок», «Далее >» и «Готово» может появиться предупреждение о безопасности (зависит от внутренних настроек операционной системы) с вопросом «Установить данный сертификат?», нажмите «Да».
6. Появится сообщение — «Импорт успешно выполнен», корневой сертификат добавлен в доверенные корневые центры сертификации для вашей или для всех учетных записей.

Используемые источники:

• https://mywebpc.ru/windows/digital-certificates-windows-10/
• http://pyatilistnik.org/gde-hranyatsya-sertifikatyi-v-windows-sistemah/
• http://croinform.ru/support/win_10sert
• https://docs.microsoft.com/ru-ru/windows/security/identity-protection/installing-digital-certificates-on-windows-10-mobile
• https://mfoc.ru/information/adding-certificates-in-storage/