قم تلقائيًا بتحديث مخزن شهادات "المراجع المصدقة لشهادات الجذر الموثوق بها" على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows والتي ليس لديها وصول مباشر إلى الإنترنت. تعذر إنشاء سلسلة شهادات لمرجع جذر موثوق به. كيفية إضافة شهادة إلى شهادة

  • "المستخدمون الآخرون" - تخزين شهادات السلطات التنظيمية ؛
  • "المراجع المصدقة الجذر الموثوق بها" و "المراجع المصدقة المتوسطة" - مخازن الشهادات للمرجع المصدق.

تثبيت الشهادات الشخصيةإنه مصنوع فقط بمساعدة برنامج Crypto Pro.

لبدء تشغيل وحدة التحكم ، اتبع هذه الخطوات

1. حدد القائمة "ابدأ"> "تشغيل" (أو على لوحة المفاتيح ، اضغط في نفس الوقت على مفتاحي "Win + R").

2. حدد الأمر mmc وانقر فوق الزر "موافق".

3. حدد قائمة ملف> إضافة أو إزالة أداة إضافية.

4. حدد الأداة الإضافية "الشهادات" من القائمة وانقر فوق الزر "إضافة".

5. في النافذة التي تفتح ، حدد زر الاختيار "حساب المستخدم الخاص بي" وانقر فوق الزر "إنهاء".

6. حدد المعدات المضافة من القائمة الموجودة على اليمين وانقر فوق الزر "موافق".

تركيب الشهادات

1. افتح المتجر المطلوب (على سبيل المثال ، المراجع المصدقة لشهادات الجذر الموثوق بها). للقيام بذلك ، افتح "الشهادات - المستخدم الحالي"> "المراجع المصدقة لشهادات الجذر الموثوق بها"> فرع "الشهادات".

2. حدد القائمة "الإجراء"> "جميع المهام"> "استيراد".

4. بعد ذلك ، انقر فوق الزر "استعراض" وحدد ملف الشهادة للاستيراد (يمكن تنزيل الشهادات الجذرية للمرجع المصدق من موقع الويب الخاص بالمرجع المصدق ، وتقع شهادات السلطات التنظيمية على موقع الويب الخاص بـ Kontur.Extern. النظام). بعد اختيار الشهادة ، يجب النقر فوق الزر "فتح" ، ثم النقر فوق الزر "التالي".

5. في النافذة التالية ، انقر فوق الزر "التالي" (يتم تحديد التخزين المطلوب تلقائيًا).

6. انقر فوق الزر "إنهاء" لإكمال الاستيراد.

إزالة الشهادات

لحذف الشهادات باستخدام وحدة التحكم mmc (على سبيل المثال ، من مساحة تخزين المستخدمين الآخرين) ، يجب عليك القيام بما يلي:

قم بتوسيع الفرع "الشهادات - المستخدم الحالي"> "المستخدمون الآخرون"> "الشهادات". سيتم عرض جميع الشهادات المثبتة في متجر المستخدمين الآخرين في الجزء الأيمن من النافذة. قم بتمييز الشهادة المطلوبة ، وانقر عليها بزر الماوس الأيمن واختر "حذف".

يعد تثبيت الشهادات الموقعة ذاتيًا مهمة شائعة جدًا لمسؤول النظام. عادة ما يتم ذلك يدويًا ، ولكن إذا كان هناك أكثر من عشرة آلات؟ وماذا عن إعادة تثبيت النظام أو شراء جهاز كمبيوتر جديد ، فقد يكون هناك أكثر من شهادة. اكتب تذكيرات أوراق الغش؟ لماذا ، عندما يكون هناك طريقة أبسط وأكثر ملاءمة - سياسات مجموعة ActiveDirectory. بمجرد تكوين السياسة ، لا داعي للقلق بشأن ما إذا كان المستخدمون لديهم الشهادات اللازمة.

سننظر اليوم في توزيع الشهادات باستخدام شهادة جذر Zimbra كمثال ، والتي قمنا بالتصدير إليها. ستكون مهمتنا على النحو التالي - توزيع الشهادة تلقائيًا على جميع أجهزة الكمبيوتر المضمنة في الوحدة (OU) - مكتب. سيسمح لك ذلك بعدم تثبيت الشهادة حيث لا تكون هناك حاجة إليها: في الشمال ، والمخازن والمكاتب النقدية ، وما إلى ذلك.

افتح الأداة وأنشئ سياسة جديدةفي وعاء كائنات نهج المجموعةللقيام بذلك ، انقر بزر الماوس الأيمن على الحاوية وحدد خلق. تسمح لك السياسة بتثبيت كل من شهادة واحدة وعدة شهادات في نفس الوقت ، ما يجب فعله متروك لك ، لكننا نفضل إنشاء سياستنا الخاصة لكل شهادة ، وهذا يسمح لك بتغيير القواعد الخاصة بتطبيقهم بشكل أكثر مرونة. يجب عليك أيضًا إعطاء السياسة اسمًا مألوفًا حتى لا تضطر إلى تذكر الغرض منه بشكل مؤلم عند فتح وحدة التحكم في غضون ستة أشهر.

ثم اسحب السياسة إلى الحاوية مكتب، مما سيسمح لك بتطبيقه على هذه الوحدة.

الآن انقر بزر الماوس الأيمن على السياسة وحدد يتغيرون. في محرر نهج المجموعة الذي يفتح ، قم بتوسيع تكوين الكمبيوتر - تكوين Windows - خيارات الأمان - سياسات المفتاح العام-. في الجزء الأيمن من النافذة ، في القائمة ، انقر بزر الماوس الأيمن ، وحدد يستوردواستيراد الشهادة.

تم إنشاء السياسة ، والآن حان الوقت للتحقق من تطبيقها بشكل صحيح. في لحظة إدارة نهج المجموعةيختار نمذجة نهج المجموعةوتشغيل عند النقر بزر الماوس الأيمن معالج المحاكاة.

يمكن ترك معظم الإعدادات كإعدادات افتراضية ، والشيء الوحيد الذي تحتاج إلى تحديده هو المستخدم والكمبيوتر الذي تريد التحقق من السياسة الخاصة بهما.

بعد الانتهاء من المحاكاة ، يمكننا التأكد من تطبيق السياسة بنجاح على الكمبيوتر المحدد ، وإلا فإننا نقوم بتوسيع العنصر الأشياء المرفوضةوإلقاء نظرة على سبب عدم تطبيق السياسة على هذا المستخدم أو الكمبيوتر.

بعد ذلك ، سوف نتحقق من تشغيل السياسة على جهاز الكمبيوتر العميل ، لذلك سنقوم بتحديث السياسات يدويًا باستخدام الأمر:

gpupdate

لنفتح الآن متجر الشهادات. أسهل طريقة للقيام بذلك هي من خلال متصفح الانترنت: خيارات الإنترنت -محتوى -الشهادات. يجب أن تكون شهادتنا موجودة في الحاوية المراجع المصدقة الجذر الموثوقة.

كما ترى ، كل شيء يعمل وصداع أقل للمسؤول ، سيتم توزيع الشهادة تلقائيًا على جميع أجهزة الكمبيوتر الموضوعة في القسم مكتب. إذا لزم الأمر ، يمكنك تعيين شروط أكثر تعقيدًا لتطبيق السياسة ، ولكن هذا بالفعل خارج نطاق هذه المقالة.

عند ملء المستندات أو تسجيل مؤسسة ، يواجه المستخدمون خطأً - "يتعذر إنشاء سلسلة شهادات لسلطة جذر موثوق بها". إذا حاولت مرة أخرى ، سيظهر الخطأ مرة أخرى. ماذا تفعل في هذه الحالة ، اقرأ المزيد في المقالة.

أسباب حدوث خطأ في سلسلة الشهادات

يمكن أن تحدث الأخطاء لأسباب مختلفة - مشاكل مع الإنترنت من جانب العميل ، والحظر البرمجيات Windows Defender أو برامج مكافحة الفيروسات الأخرى. علاوة على ذلك ، فإن عدم وجود شهادة الجذر من المرجع المصدق ، مشاكل في العملية التوقيع المشفرو اخرين.

إصلاح خطأ عند إنشاء سلسلة شهادات لسلطة جذر موثوق بها

بادئ ذي بدء ، تأكد من عدم وجود مشكلات في اتصالك بالإنترنت. قد يظهر الخطأ عندما لا يكون هناك وصول. يجب توصيل كبل الشبكة بجهاز كمبيوتر أو جهاز توجيه.

  1. انقر فوق الزر "ابدأ" واكتب "موجه الأوامر" في مربع البحث.
  2. حدده بزر الفأرة الأيمن وانقر على "تشغيل كمسؤول".
  3. أدخل الأمر التالي في نافذة DOS "ping google.ru".

مع اتصال الإنترنت ، يجب أن ترى بيانات حول الحزم المرسلة وسرعات النقل والمعلومات الأخرى. إذا لم يكن هناك إنترنت ، فسترى أن الحزم لم تصل إلى وجهتها.

الآن دعنا نتحقق من توفر الشهادة الجذرية للمرجع المصدق. لهذا:


إذا لم تكن هناك شهادة ، فأنت بحاجة إلى تنزيلها. في معظم الحالات ، يكون موجودًا في شهادات الجذر ويحتاج المستخدم فقط إلى تثبيته. وتجدر الإشارة أيضًا إلى أنه من الأفضل استخدام متصفح Internet Explorer بحيث تحدث أخطاء وإخفاقات أقل أثناء العمل. حاول العثور على المرجع المصدق (CA) في الشهادات الجذرية ، وبعد ذلك عليك فقط النقر فوق الزر "تثبيت" ، وإعادة تشغيل المتصفح ، وسوف تحل المشكلة مع الخطأ - "تعذر إنشاء سلسلة شهادات للسلطة الجذر الموثوق بها. "

التحقق من شهادة CA الجذر في المستعرض

يمكن إجراء الفحص في المتصفح.

  1. حدد "الخدمة" من القائمة.
  2. بعد ذلك ، انقر فوق سطر "خيارات الإنترنت".
  3. انقر فوق علامة التبويب المحتوى.
  4. هنا تحتاج إلى تحديد "الشهادات".
  5. علامة التبويب التالية " مراكز موثوقةشهادة". يجب أن تكون شهادة جذر المرجع المصدق (CA) هنا ، وعادة ما تكون في أسفل القائمة.

حاول الآن مرة أخرى لتنفيذ الخطوات التي حدث فيها الخطأ. للحصول على شهادة جذر ، يجب عليك الاتصال بالمركز المناسب حيث تلقيت EP UPC.

طرق أخرى لإصلاح خطأ سلسلة الشهادات

ضع في اعتبارك كيفية تنزيل CryptoPro وتثبيته واستخدامه بشكل صحيح. للتأكد من عدم تثبيت البرنامج على جهاز الكمبيوتر الخاص بك (إذا كان هناك العديد من مستخدمي الكمبيوتر) ، تحتاج إلى فتح قائمة ابدأ. ثم حدد "البرامج" وابحث في قائمة "CryptoPro". إذا لم يكن موجودًا ، فسنقوم بتثبيته. يمكنك تحميل البرنامج من الرابط https://www.cryptopro.ru/downloads. هنا تحتاج " CryptoPro CSP»- حدد الإصدار.

في النافذة التالية ، سترى رسالة التسجيل المسبق.

تثبيت CryptoPro

بمجرد تنزيل ملف الإعداد ، ستحتاج إلى تشغيله لتثبيته على جهاز الكمبيوتر الخاص بك. سيعرض النظام تحذيرًا بأن البرنامج يطلب الإذن بتعديل الملفات الموجودة على جهاز الكمبيوتر ، والسماح له بذلك.

قبل تثبيت البرنامج على جهاز الكمبيوتر الخاص بك ، يجب استخراج جميع الرموز الخاصة بك. يجب تكوين المتصفح للعمل ، باستثناء ملفات متصفح Opera، فقد قام بالفعل بإجراء جميع الإعدادات الافتراضية. الشيء الوحيد المتبقي للمستخدم هو تنشيط مكون إضافي خاص للعمل. في هذه العملية ، سترى نافذة مقابلة حيث يعرض Opera تنشيط هذا المكون الإضافي.

بعد بدء البرنامج ، ستحتاج إلى إدخال المفتاح في النافذة.

سيكون من الممكن العثور على برنامج يعمل على المسار التالي: "ابدأ" ، "كافة البرامج" ، "CryptoPro" ، "CryptoPro CSP". في النافذة التي تفتح ، انقر فوق الزر "إدخال الترخيص" وأدخل المفتاح في العمود الأخير. مستعد. الآن يحتاج البرنامج إلى التهيئة وفقًا لمهامك. في بعض الحالات ، ل التوقيع الإلكترونياستخدام أدوات مساعدة إضافية - CryptoPro Office Signature و CryptoAKM. يمكنك إصلاح الخطأ - لا توجد طريقة لإنشاء سلسلة شهادات لمركز جذر موثوق - ببساطة عن طريق إعادة تثبيت CryptoPro. جرب هذا إذا لم تساعدك النصائح الأخرى.

هل لا يزال الخطأ يظهر؟ أرسل طلب دعم مع لقطات شاشة لخطواتك واشرح موقفك بالتفصيل.

مع مشكلة استحالة النشر الصحيح للبرنامج نظرًا لحقيقة أن مخزن الشهادات الخاص بسلطات التصديق الجذرية الموثوقة لا يتم تحديثه على أجهزة الكمبيوتر المستهدفة التي تعمل بنظام OC Windows (فيما يلي ، للإيجاز ، سنسمي هذا المتجر TrustedRootCA). في ذلك الوقت ، تمت إزالة المشكلة عن طريق نشر الحزمة rootupd.exeمتوفر في المقال KB931125المتعلقة بنظام التشغيل ويندوز إكس بي. الآن تمت إزالة نظام التشغيل هذا تمامًا من دعم Microsoft ، وقد يكون هذا هو السبب في أن مقالة قاعدة المعارف هذه لم تعد متوفرة على موقع Microsoft على الويب. إلى كل هذا ، يمكننا أن نضيف حقيقة أنه حتى في ذلك الوقت ، لم يكن الحل بنشر حزمة قديمة بالفعل من الشهادات في ذلك الوقت هو الأفضل ، منذ ذلك الحين الأنظمة التي تعمل بنظام التشغيل نظام التشغيل Windows Vistaو ويندوز 7حيث كانت الآلية الجديدة موجودة بالفعل تحديث أوتوماتيكيمخزن شهادات TrustedRootCA. فيما يلي إحدى مقالات Windows Vista القديمة التي تصف بعض جوانب كيفية عمل هذه الآلية -دعم الشهادة والاتصال الناتج عبر الإنترنت في نظام التشغيل Windows Vista . واجهت مؤخرًا المشكلة الأصلية مرة أخرى وهي الاضطرار إلى تحديث مخزن شهادات TrustedRootCA على مجموعة من أجهزة الكمبيوتر والخوادم العميلة التي تعمل بنظام Windows. كل هذه الحواسيب ليس لديها وصول مباشر إلى الإنترنت وبالتالي فإن آلية تجديد الشهادة التلقائي لا تؤدي مهمتها كما نرغب. خيار فتح الوصول المباشر إلى الإنترنت لجميع أجهزة الكمبيوتر ، حتى لو عناوين معينة، تم اعتباره في البداية متطرفًا ، وقادني البحث عن حل أكثر قبولًا إلى المقالةتكوين الجذور الموثوقة والشهادات غير المسموح بها(RU ) ، والذي أجاب على الفور على جميع أسئلتي. حسنًا ، بشكل عام ، بناءً على هذه المقالة ، في هذه المذكرة ، سأوضح بإيجاز مثال محددكيف يمكنك إعادة التهيئة مركزيًا على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows Vista وأجهزة الكمبيوتر الأعلى ، هذه الآلية نفسها للتحديث التلقائي لمخزن شهادات TrustedRootCA بحيث يستخدم مشاركة ملف أو موقع ويب على شبكة الشركة المحلية كمصدر للتحديثات.

بادئ ذي بدء ، ما تحتاج إلى الانتباه إليه هو أنه في سياسات المجموعة المطبقة على أجهزة الكمبيوتر ، يجب عدم تمكين الإعداد الذي يمنع تشغيل آلية التحديث التلقائي. هذه هي المعلمة قم بإيقاف تشغيل التحديث التلقائي لشهادات الجذرفي الفصل تكوين الكمبيوتر > القوالب الإدارية > نظام > إدارة الاتصال عبر الإنترنت > إعدادات الاتصال بالإنترنت. نحن بحاجة إلى أن تكون هذه المعلمة مغلق، أو فقط غير مهيأ.

إذا نظرت إلى متجر شهادات TrustedRootCA تحت الكمبيوتر المحلي، إذن في الأنظمة التي ليس لديها وصول مباشر إلى الإنترنت ، ستكون مجموعة الشهادات ، دعنا نقول ، صغيرة:

هذا الملف مناسب للاستخدام ، على سبيل المثال ، عندما تحتاج إلى تحديد مجموعة معينة فقط من المجموعة الفرعية الكاملة للشهادات المتاحة وتحميلها إلى ملف SST منفصل لمزيد من التنزيل ، على سبيل المثال ، باستخدام وحدة تحكم إدارة الشهادات المحلية أو استخدام وحدة التحكم في إدارة نهج المجموعة (للاستيراد إلى بعض أو سياسة المجال عبر المعلمة تكوين الكمبيوتر > سياسات > إعدادات Windows > اعدادات الامان > سياسات المفاتيح العامة > المراجع المصدقة الجذر الموثوقة).

ومع ذلك ، بالنسبة للطريقة التي نهتم بها بتوزيع شهادات الجذر ، من خلال تعديل تشغيل آلية التحديث التلقائي على أجهزة الكمبيوتر العميلة ، نحتاج إلى تمثيل مختلف قليلاً لمجموعة شهادات الجذر الفعلية. يمكنك الحصول عليه باستخدام نفس الأداة سيرتوتيل، ولكن بمجموعة مختلفة من المفاتيح.

في مثالنا ، مثل مصدر محليسيستخدم التوزيع مجلد شبكة مشترك على خادم الملفات. وهنا من المهم الانتباه إلى حقيقة أنه عند إعداد مثل هذا المجلد ، من الضروري تقييد الوصول للكتابة حتى لا يحدث أن يتمكن أي شخص من تعديل مجموعة شهادات الجذر ، والتي سيتم "سكبها" بعد ذلك على العديد من أجهزة الكمبيوتر.

سيرتوتيل-المزامنة معWU -f -f \\ خادم الملفات \ SHARE \ RootCAupd \ GPO-Deployment \

مفاتيح -f -f تُستخدم لفرض تحديث كافة الملفات في الدليل الوجهة.

نتيجة لتنفيذ الأمر ، ستظهر في مجلد الشبكة الذي حددناه الكثير من الملفات بحجم إجمالي يبلغ حوالي نصف ميغا بايت:

بحسب ما سبق ذكرهمقالات ، والغرض من الملفات هو كما يلي:

  • ملف authrootstl.cabيحتوي على قوائم الشهادات الموثوق بها لجهات خارجية ؛
  • ملف disallowedcertstl.cabيحتوي على قائمة الشهادات الموثوق بها بشهادات غير موثوق بها ؛
  • ملف disallowedcert.sstيحتوي على مخزن من الشهادات المتسلسلة ، بما في ذلك الشهادات غير الموثوق بها ؛
  • الملفات بأسماء الأنواع بصمة الإبهامتحتوي على شهادات جذر لجهات خارجية.

لذلك ، تم استلام الملفات اللازمة لعمل آلية التحديث التلقائي ، ونحن الآن ننتقل إلى تنفيذ تغيير في مخطط تشغيل هذه الآلية بالذات. لهذا ، كما هو الحال دائمًا ، تأتي سياسات مجموعة المجال لمساعدتنا. الدليل النشط (GPO) ، على الرغم من أنه يمكنك استخدام أدوات إدارة مركزية أخرى ، فكل ما نحتاج إلى القيام به على جميع أجهزة الكمبيوتر هو تغيير ، أو بالأحرى إضافة ، إعداد تسجيل واحد فقط RootDirURLفي فرع HKLM \ Software \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate، والذي سيحدد المسار إلى دليل الشبكة ، والذي وضعنا فيه مسبقًا مجموعة من ملفات الشهادات الجذرية.

بالحديث عن إعداد GPO ، مرة أخرى ، يمكنك استخدام خيارات مختلفة لتحقيق هدفك. على سبيل المثال ، هناك خيار "المدرسة القديمة" لإنشاء قالب سياسة المجموعة الخاص بك ، كما هو موضح في النموذج المألوف لدينا بالفعلمقالة - سلعة . للقيام بذلك ، سننشئ ملفًا بتنسيق القالب الإداري GPO ( ADM) ، على سبيل المثال ، باسم RootCAUpdateLocalPath.adm والمحتوى:

صف دراسي MACHINE CATEGORY !! SystemCertificates KEYNAME " البرامج \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate"POLICY !! RootDirURL EXPLAIN !! RootDirURL_help PART !! RootDirURL EDITTEXT VALUENAME" RootDirURL "END PART END POLICY END CATEGORY RootDirURL =" عنوان URL الذي سيتم استخدامه بدلاً من ctldl.windowsupdate.com الافتراضي لاستخدامها كموقع تنزيل لملفات CTL. "SystemCertificates =" إعدادات التحديث التلقائي لـ Windows "

لنقم بنسخ هذا الملف إلى وحدة التحكم بالمجال في الدليل٪ SystemRoot٪ \ inf (عادةً ما يكون دليل C: \ Windows \ inf). بعد ذلك ، دعنا ننتقل إلى محرر سياسة مجموعة المجال وننشئ سياسة جديدة منفصلة ، ثم نفتحها للتحرير. في الفصل تكوين الكمبيوتر > قوالب إدارية ...افتح قائمة السياق وحدد الخيار لتوصيل نموذج سياسة جديد إضافة / إزالة القوالب

في النافذة التي تفتح ، استخدم زر الاستعراض لتحديد الملف المضاف مسبقًا ٪ SystemRoot٪ \ inf \ RootCAUpdateLocalPath.adm، وبعد ظهور القالب في القائمة ، اضغط على أغلق.

بعد الإجراء في القسم ترتيب > القوالب الإدارية > القوالب الإدارية الكلاسيكية (ADM) ستظهر مجموعة إعدادات التحديث التلقائي لـ Windows، حيث ستتوفر المعلمة الوحيدة عنوان URL الذي سيتم استخدامه بدلاً من ctldl.windowsupdate.com الافتراضي

لنفتح هذا الخيار وندخل المسار إلى المورد المحلي حيث حددنا ملفات التحديث التي تم تنزيلها مسبقًا ، بالتنسيق http: // server1 / folder أو file: // \\ server1 \ folder ،
فمثلا ملف: // \\ FILE-SERVER \ SHARE \ RootCAupd \ GPO-Deployment

لنحفظ التغييرات ونطبق السياسة التي تم إنشاؤها على حاوية المجال حيث توجد أجهزة الكمبيوتر الهدف. ومع ذلك ، فإن طريقة إعداد GPO التي تمت مناقشتها لها عدد من العيوب ، ولهذا السبب أطلقت عليها اسم "المدرسة القديمة".

طريقة أخرى أكثر حداثة وأكثر تقدمًا لإعداد سجل العميل هي استخدام تفضيلات نهج المجموعة (GPP). باستخدام هذا الخيار ، يمكننا إنشاء كائن GPP المقابل في قسم سياسة المجموعة تكوين الكمبيوتر > التفضيلات > التسجيلمع تحديث المعلمة ( عمل: تحديث) التسجيل RootDirURL(نوع القيمة REG_SZ)

إذا لزم الأمر ، يمكننا تمكين آلية استهداف مرنة لمعلمة GPP التي تم إنشاؤها (Tab مشترك> خيار الاستهداف على مستوى العنصر) على جهاز كمبيوتر معين أو مجموعة من أجهزة الكمبيوتر للاختبار الأولي لما ننتهي إليه بعد تطبيق سياسات المجموعة.

بالطبع ، تحتاج إلى اختيار خيار واحد ، أو ربط الخيار الخاص بك ADM-قالب أو باستخدام GPP.

بعد تكوين سياسات المجموعة على أي كمبيوتر عميل تجريبي ، سنقوم بالتحديث بالأمر gpupdate / القوةمتبوعًا بإعادة التشغيل. بعد تشغيل النظام ، سوف نتحقق في التسجيل من وجود المفتاح الذي تم إنشاؤه ونحاول التحقق من تحديث مخزن الشهادات الجذر. للتحقق ، نستخدم مثالًا بسيطًا ولكنه فعال موصوف في الملاحظةالجذور الموثوقة والشهادات غير المسموح بها .

على سبيل المثال ، دعنا نرى ما إذا كان مخزن شهادات الكمبيوتر يحتوي على شهادة الجذر المستخدمة لإصدار الشهادة ، والتي يتم تثبيتها على الموقع باسم buypass.no (لكننا لم ننتقل إلى الموقع نفسه حتى الآن :)).

أسهل طريقة للقيام بذلك هي باستخدام بوويرشيل:

شهادة Get-ChildItem: \ localmachine \ root | حيث ($ _ .fri friendlyname -like "* Buypass *")

مع درجة عالية من الاحتمالية ، لن يكون لدينا مثل هذه الشهادة الجذرية. إذا كان الأمر كذلك ، فافتح متصفح الانترنتوالرجوع إلى عنوان URL https://buypass.no . وإذا كانت آلية التجديد التلقائي لشهادات الجذر التي قمنا بتكوينها تعمل بنجاح ، فعندئذٍ في سجل أحداث Windows طلبسيؤدي هذا إلى حدث مع مصدر ( مصدر) CAPI2، مشيرًا إلى أنه تم تحميل شهادة الجذر الجديدة بنجاح:

اسم السجل: التطبيق

إذا تم فتح نافذة أمان المتصفح عند محاولة إنشاء اتصال بخزانة الويب (الشكل 1) ، فأنت بحاجة إلى إضافة شهادة الجذر من moex.cer بورصة موسكوإلى القائمة شهادات موثوقة.

الشكل 1 - نافذة أمان المتصفح

لهذا تحتاج:

  1. أدخل في مربع البحث اسم ملف Windows certmgr.msc(الصورة 2). ثم انقر بزر الماوس الأيسر على الملف الموجود. نتيجة لذلك ، سيتم فتح دليل نظام الشهادة (الشكل 3) ؛

    الشكل 2 - ابحث عن دليل نظام الشهاداتالشكل 3 - دليل نظام الشهادات
  2. اذهب الى القسم الشهاداتالقائمة الجانبية (الشكل 4). ثم انقر بزر الماوس الأيمن على المجلد الشهاداتوفي قائمة السياق التي تفتح ، حدد العنصر → استيراد جميع المهام(الشكل 5).

    الشكل 4 - الأدلة الموثوقة الشكل 5 - استيراد الشهادة

    نتيجة لذلك ، سيتم فتحه معالج استيراد الشهادة(الشكل 6) ، حيث يجب الضغط على الزر إضافيللذهاب إلى اختيار ملف الشهادة moex.cer(الشكل 7) ؛

    الشكل 6 - معالج استيراد الشهادة الشكل 7 - مربع حوار لاختيار ملف مستورد

  3. اضغط الزر إعادة النظر(انظر الشكل 7 ، 1) وحدد شهادة الجذر من moex.cer بورصة موسكو.نتيجة لذلك ، في الميدان اسم الملفسيتم عرض المسار إلى هذا الملف (انظر الشكل 7.2). ثم يجب عليك الضغط على الزر إضافي(انظر الشكل 7.3) ؛
  4. اضغط الزر إضافيفي مربع الحوار مخزن الشهادات، دون تغيير المعلمات الافتراضية (الشكل 8) ، ثم الزر مستعدلإتمام استيراد الشهادة (الشكل 9).



    الشكل 8 - مخزن الشهادات الشكل 9 - اكتمال الاستيراد

بمجرد اكتمال الاستيراد ، سيتم فتح نافذة أمان النوافذ (الشكل 10).تحقق من بصمة المفتاح. يجب أن يتطابق رقمها مع الرقم الموضح في الشكل (10.1). إذا تطابقت البيانات ، انقر فوق نعم(الشكل 10.2).



الشكل 10 - نافذة الأمانشبابيك

نتيجة لذلك ، سيتم فتح إشعار حول الاستيراد الناجح. شهادة moex.cer من بورصة موسكوإلى قائمة الشهادات الموثوقة (الشكل 11) ، حيث يجب النقر فوق الزر نعم.


الشكل 11 - اكتمال الاستيراد