قم تلقائيًا بتحديث مخزن شهادات المراجع المصدقة الجذرية الموثوقة على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows والتي لا تتمتع بإمكانية الوصول المباشر إلى الإنترنت. لا يمكن إنشاء سلسلة شهادات للمرجع الجذر الموثوق به. قم بإضافة شهادة الجذر

عند استكمال المستندات أو تسجيل مؤسسة، يواجه المستخدمون خطأً - "لا يمكن إنشاء سلسلة من الشهادات لمؤسسة موثوقة". مركز الجذر" إذا حاولت مرة أخرى، يظهر الخطأ مرة أخرى. ما يجب القيام به في هذه الحالة، اقرأ المزيد في المقال.

أسباب الأخطاء في سلسلة الشهادات

يمكن أن تحدث الأخطاء لأسباب مختلفة - مشاكل في الإنترنت من جانب العميل، والحظر برمجة Windows Defender أو برامج مكافحة الفيروسات الأخرى. التالي الغياب شهادة الجذرمركز التصديق، مشاكل في هذه العملية توقيع التشفيرو اخرين.

إصلاح خطأ عند إنشاء إنشاء سلسلة شهادات لمرجع جذر موثوق به

أولاً، تأكد من عدم وجود مشكلات في اتصالك بالإنترنت. قد يظهر الخطأ إذا لم يكن هناك وصول. يجب أن يكون كابل الشبكة متصلاً بالكمبيوتر أو جهاز التوجيه.

  1. انقر فوق الزر "ابدأ" وابحث عن "موجه الأوامر".
  2. حدده بزر الفأرة الأيمن وانقر على "تشغيل كمسؤول".
  3. أدخل الأمر التالي في نافذة DOS "ping google.ru".

عند الاتصال بالإنترنت، يجب أن تشاهد البيانات المتعلقة بالحزم المرسلة وسرعة الإرسال والمعلومات الأخرى. إذا لم يكن هناك إنترنت، سترى أن الحزم لم تصل إلى وجهتها.

الآن دعونا نتحقق من وجود الشهادة الجذرية للمرجع المصدق. لهذا:


إذا لم تكن هناك شهادة، فأنت بحاجة إلى تنزيلها. وفي معظم الحالات، يكون موجودًا في الشهادات الجذرية ويحتاج المستخدم فقط إلى تثبيته. ومن الجدير بالذكر أيضًا أنه من الأفضل استخدام متصفح Internet Explorer لتقليل عدد الأخطاء والإخفاقات التي تحدث أثناء عملية العمل. حاول العثور على CA في شهادات الجذر، وبعد ذلك كل ما عليك فعله هو النقر فوق الزر "تثبيت"، وإعادة تشغيل المتصفح، وسوف تحل المشكلة بالخطأ - "لا يمكن إنشاء سلسلة شهادات للمرجع الجذر الموثوق به" ".

التحقق من شهادة جذر CA في المتصفح

يمكن إجراء الاختبار في المتصفح.

  1. اختر "الخدمة" من القائمة.
  2. بعد ذلك، انقر فوق سطر "خيارات الإنترنت".
  3. انقر فوق علامة التبويب المحتويات.
  4. هنا تحتاج إلى تحديد "الشهادات".
  5. علامة التبويب التالية " مراكز موثوقةشهادة". يجب أن تكون هناك شهادة جذر CA هنا، وعادةً ما تكون في أسفل القائمة.

حاول الآن مرة أخرى تنفيذ الخطوات التي تسببت في الخطأ. للحصول على شهادة الجذر، يجب عليك الاتصال بالمركز المناسب الذي تلقيت فيه UPC ES.

طرق أخرى لإصلاح خطأ سلسلة الشهادات

دعونا نلقي نظرة على كيفية تنزيل CryptoPro وتثبيته واستخدامه بشكل صحيح. للتأكد من عدم تثبيت البرنامج على جهاز الكمبيوتر الخاص بك (إذا كان هناك العديد من المستخدمين على جهاز الكمبيوتر)، فأنت بحاجة إلى فتح القائمة "ابدأ". ثم حدد "البرامج" وابحث عن "CryptoPro" في القائمة. إذا لم يكن موجودا، فسنقوم بتثبيته. يمكنك تنزيل البرنامج من الرابط https://www.cryptopro.ru/downloads. هنا تحتاج " كريبتو برو CSP» - حدد الإصدار.

في النافذة التالية، سترى رسالة التسجيل المسبق.

تثبيت CryptoPro

بمجرد تنزيل ملف التثبيت، ستحتاج إلى تشغيله لتثبيته على جهاز الكمبيوتر الخاص بك. سيعرض النظام تحذيرًا بأن البرنامج يطلب الإذن لتغيير الملفات الموجودة على جهاز الكمبيوتر، فاسمح له بذلك.

قبل تثبيت البرنامج على جهاز الكمبيوتر الخاص بك، يجب استخراج جميع الرموز المميزة الخاصة بك. يجب تكوين المتصفح للعمل، والاستثناء هو متصفح اوبرا، تم بالفعل إجراء جميع الإعدادات الافتراضية فيه. الشيء الوحيد الذي يبقى للمستخدم هو تفعيل مكون إضافي خاص للعمل. أثناء العملية، سترى النافذة المقابلة حيث يعرض Opera تنشيط هذا المكون الإضافي.

بعد بدء البرنامج، سوف تحتاج إلى إدخال المفتاح في النافذة.

يمكنك العثور على البرنامج المراد تشغيله في المسار التالي: "ابدأ"، "كافة البرامج"، "CryptoPro"، "CryptoPro CSP". في النافذة التي تفتح، انقر فوق الزر "إدخال الترخيص" وأدخل المفتاح في العمود الأخير. مستعد. الآن يجب تكوين البرنامج وفقًا لاحتياجاتك. في بعض الحالات ل التوقيع الالكترونياستخدم أدوات مساعدة إضافية - CryptoPro Office Signature وCryptoAKM. يمكنك إصلاح الخطأ - ليس من الممكن إنشاء سلسلة من الشهادات لمركز جذر موثوق به - وذلك ببساطة عن طريق إعادة تثبيت CryptoPro. جرب هذا إذا لم تساعد النصائح الأخرى.

هل مازال الخطأ يظهر؟ أرسل طلبًا إلى خدمة الدعم، حيث تحتاج إلى نشر لقطات شاشة لإجراءاتك المتسلسلة وشرح موقفك بالتفصيل.

  • "المستخدمون الآخرون" هو مستودع للشهادات الصادرة عن السلطات التنظيمية؛
  • "المراجع المصدقة الجذرية الموثوقة" و"المراجع المصدقة المتوسطة" هي مستودعات لشهادات المرجع المصدق.

يتم تثبيت الشهادات الشخصية فقط باستخدام برنامج Crypto Pro.

لتشغيل وحدة التحكم، عليك القيام بما يلي:

1. حدد قائمة "ابدأ" > "تشغيل" (أو اضغط في نفس الوقت على مفاتيح "Win + R" على لوحة المفاتيح).

2. حدد أمر mmc وانقر على زر "موافق".

3. حدد ملف > إضافة أو إزالة الأداة الإضافية.

4. حدد الأداة الإضافية "الشهادات" من القائمة وانقر على زر "إضافة".

5. في النافذة التي تفتح، حدد زر الاختيار "حساب المستخدم الخاص بي" وانقر فوق الزر "إنهاء".

6. حدد المعدات المضافة من القائمة الموجودة على اليمين وانقر على زر "موافق".

تثبيت الشهادات

1. افتح المستودع المطلوب (على سبيل المثال، المراجع المصدقة الجذرية الموثوقة). للقيام بذلك، قم بتوسيع الفرع "الشهادات - المستخدم الحالي" > "المراجع المصدقة الجذرية الموثوقة" > "الشهادات".

2. حدد قائمة الإجراء > جميع المهام > استيراد.

4. بعد ذلك، انقر فوق الزر "استعراض" وحدد ملف الشهادة للاستيراد (يمكن تنزيل الشهادات الجذرية لمركز الشهادات من موقع مركز الشهادات على الويب، وتوجد شهادات السلطات التنظيمية على موقع الويب الخاص بنظام Kontur.Extern) . بعد اختيار الشهادة، يجب النقر على زر "فتح"، ثم على زر "التالي".

5. في النافذة التالية، يجب النقر فوق الزر "التالي" (يتم تحديد مساحة التخزين المطلوبة تلقائيًا).

6. انقر على زر "إنهاء" لإكمال عملية الاستيراد.

إزالة الشهادات

لإزالة الشهادات باستخدام وحدة تحكم MMC (على سبيل المثال، من متجر المستخدمين الآخرين)، يجب عليك القيام بما يلي:

قم بتوسيع الفرع "الشهادات - المستخدم الحالي" > "المستخدمون الآخرون" > "الشهادات". سيعرض الجانب الأيمن من النافذة جميع الشهادات المثبتة في متجر المستخدمين الآخرين. حدد الشهادة المطلوبة، وانقر عليها بزر الماوس الأيمن واختر "حذف".

مع مشكلة استحالة النشر الصحيح للبرامج نظرًا لحقيقة أن مخزن شهادات سلطات التصديق الجذرية الموثوقة لا يتم تحديثه على أجهزة الكمبيوتر المستهدفة التي تعمل بنظام التشغيل Windows (فيما يلي، للإيجاز، سنسمي هذا المتجر TrustedRootCA). في ذلك الوقت، تم حل المشكلة عن طريق نشر الحزمة rootupd.exe، متوفر في المقال KB931125، والتي تتعلق بنظام التشغيل ويندوز إكس بي. الآن تم سحب نظام التشغيل هذا بالكامل من دعم Microsoft، وقد يكون هذا هو السبب وراء عدم توفر مقالة قاعدة المعارف هذه على موقع Microsoft على الويب. إلى كل هذا يمكننا أن نضيف أنه حتى في ذلك الوقت، لم يكن الحل المتمثل في نشر حزمة من الشهادات التي عفا عليها الزمن بالفعل في ذلك الوقت هو الحل الأمثل، لأنه في ذلك الوقت كانت الأنظمة التي تعمل بنظام التشغيل ويندوز فيستاو ويندوز 7، والتي تضمنت بالفعل آلية جديدة لتحديث مخزن شهادات TrustedRootCA تلقائيًا. فيما يلي إحدى المقالات القديمة حول نظام التشغيل Windows Vista، والتي تصف بعض جوانب كيفية عمل هذه الآلية -دعم الشهادة والاتصال عبر الإنترنت الناتج في نظام التشغيل Windows Vista . لقد واجهت مؤخرًا المشكلة الأصلية مرة أخرى وهي الحاجة إلى تحديث مخزن شهادات TrustedRootCA على عدد من أجهزة الكمبيوتر والخوادم العميلة التي تعمل بنظام Windows. جميع هذه الحواسيب لا تتمتع بإمكانية الوصول المباشر إلى الإنترنت وبالتالي فإن آلية تجديد الشهادة التلقائية لا تؤدي مهمتها على النحو المطلوب. خيار فتح الوصول المباشر إلى الإنترنت لجميع أجهزة الكمبيوتر، حتى لو عناوين محددة، كان يعتبر في البداية حلاً متطرفًا، وقادني البحث عن حل أكثر قبولًا إلى المقالتكوين الجذور الموثوقة والشهادات غير المسموح بها(رو )، الذي أجاب على الفور على جميع أسئلتي. حسنًا، بشكل عام، بناءً على هذه المقالة، في هذه المذكرة سألخص بإيجاز مثال محددكيف يمكنك إعادة التكوين مركزيًا لـ أجهزة كمبيوتر ويندوزيتمتع نظام التشغيل Vista والإصدارات الأحدث بنفس الآلية للتحديث التلقائي لمخزن شهادات TrustedRootCA، بحيث يستخدم مصدر ملف أو موقع ويب على شبكة الشركة المحلية كمصدر للتحديث.

بادئ ذي بدء، ما تحتاج إلى الانتباه إليه هو أنه في سياسات المجموعة المطبقة على أجهزة الكمبيوتر، لا ينبغي تمكين المعلمة التي تمنع تشغيل آلية التحديث التلقائي. هذه معلمة قم بإيقاف تشغيل التحديث التلقائي لشهادات الجذرفي الفصل تكوين الكمبيوتر > القوالب الادارية > نظام > إدارة الاتصالات عبر الإنترنت > إعدادات الاتصال بالإنترنت. سنحتاج إلى أن تكون هذه المعلمة مغلق، أو فقط لم يتم تكوينه.

إذا نظرت إلى مخزن شهادات TrustedRootCA ضمن الكمبيوتر المحلي ، ثم في الأنظمة التي ليس لديها إمكانية الوصول المباشر إلى الإنترنت، ستكون مجموعة الشهادات صغيرة:

يعد هذا الملف مناسبًا للاستخدام، على سبيل المثال، عندما تحتاج إلى تحديد مجموعة معينة فقط من المجموعة الفرعية الكاملة للشهادات المتاحة وتحميلها إلى ملف SST منفصل لمزيد من التحميل، على سبيل المثال، باستخدام وحدة تحكم إدارة الشهادات المحلية أو استخدام وحدة التحكم في إدارة نهج المجموعة (للاستيراد إلى بعض أو سياسة المجال من خلال المعلمة تكوين الكمبيوتر > سياسات > إعدادات ويندوز > اعدادات الامان > سياسات المفاتيح العامة > المراجع المصدقة الجذرية الموثوقة).

ومع ذلك، بالنسبة لطريقة توزيع شهادات الجذر التي تهمنا، من خلال تعديل تشغيل آلية التحديث التلقائي على أجهزة الكمبيوتر العميلة النهائية، سنحتاج إلى تمثيل مختلف قليلاً لمجموعة شهادات الجذر الحالية. يمكنك الحصول عليه باستخدام نفس الأداة المساعدة سيرتوتيلولكن مع مجموعة مختلفة من المفاتيح.

في مثالنا، كما مصدر محليسيستخدم التوزيع مجلد شبكة مشترك على خادم الملفات. وهنا من المهم الانتباه إلى حقيقة أنه عند إعداد مثل هذا المجلد، من الضروري تقييد الوصول للكتابة حتى لا يحدث أن يتمكن أي شخص من تعديل مجموعة شهادات الجذر، والتي سيتم بعد ذلك "انتشارها" عبر العديد من أجهزة الكمبيوتر.

سيرتوتيل-syncWithWU -f -f \\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment\

مفاتيح يتم استخدام -f -f لفرض تحديث لجميع الملفات الموجودة في الدليل الوجهة.

نتيجة لتنفيذ الأمر، ستظهر العديد من الملفات التي يبلغ حجمها الإجمالي حوالي نصف ميغابايت في مجلد الشبكة الذي حددناه:

بحسب ما ذكر سابقامقالات ، والغرض من الملفات هو كما يلي:

  • ملف authrootstl.cabيحتوي على قوائم الثقة لشهادات الطرف الثالث؛
  • ملف disallowedcertstl.cabيحتوي على قائمة شهادات موثوقة بشهادات غير موثوقة؛
  • ملف disallowedcert.sstيحتوي على مخزن من الشهادات المتسلسلة، بما في ذلك الشهادات غير الموثوق بها؛
  • الملفات بأسماء مثل بصمة الإبهام.crtتحتوي على شهادات الجذر لجهة خارجية.

وبذلك تم استلام الملفات اللازمة لتشغيل آلية التحديث التلقائي، وننتقل الآن إلى تنفيذ التغييرات في مخطط تشغيل هذه الآلية ذاتها. لهذا، كما هو الحال دائمًا، تأتي سياسات مجموعة المجال لمساعدتنا. الدليل النشط (كائن نهج المجموعة)، على الرغم من أنه يمكنك استخدام أدوات إدارة مركزية أخرى، إلا أن كل ما نحتاج إلى فعله على جميع أجهزة الكمبيوتر هو تغيير معلمة تسجيل واحدة فقط أو بالأحرى إضافتها RootDirURLفي الخيط HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate، والذي سيحدد المسار إلى دليل شبكتنا، والذي وضعنا فيه مسبقًا مجموعة من ملفات الشهادات الجذرية.

عند الحديث عن إعداد كائن نهج المجموعة (GPO)، يمكنك مرة أخرى استخدام خيارات مختلفة لإنجاز المهمة. على سبيل المثال، يوجد خيار "المدرسة القديمة" لإنشاء قالب سياسة المجموعة الخاص بك، كما هو موضح في ما هو مألوف بالفعلشرط . للقيام بذلك، قم بإنشاء ملف بتنسيق القالب الإداري GPO ( أ.م.)، على سبيل المثال، بالاسم RootCAUpdateLocalPath.adm والمحتوى:

فصل فئة الجهاز!!SystemCertificates KEYNAME " البرامج\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" السياسة !!RootDirURL شرح !!RootDirURL_help PART !!RootDirURL EDITTEXT VALUENAME "RootDirURL " END PART END POLICY END CATEGORY RootDirURL="عنوان URL الذي سيتم استخدامه بدلاً من ctldl.windowsupdate.com الافتراضي" RootDirURL_help="أدخل ملفًا أو عنوان URL لـ HTTP لاستخدامه كموقع تنزيل ملفات CTL." SystemCertificates="إعدادات التحديث التلقائي لـ Windows"

لننسخ هذا الملف إلى وحدة تحكم المجال في الدليل %SystemRoot%\inf (عادةً الدليل C:\Windows\inf). بعد ذلك، دعنا ننتقل إلى محرر سياسة مجموعة المجال ونقوم بإنشاء ملف منفصل سياسة جديدة، ثم فتحه للتحرير. في الفصل تكوين الكمبيوتر > النماذج الإدارية...افتح قائمة السياق وحدد خيار توصيل قالب سياسة جديد إضافة/إزالة القوالب

في النافذة التي تفتح، استخدم زر التصفح لتحديد الملف المضاف مسبقًا %SystemRoot%\inf\RootCAUpdateLocalPath.adm، وبعد ظهور القالب في القائمة، انقر فوق يغلق.

بعد الانتهاء من الإجراء في القسم إعدادات > القوالب الادارية > القوالب الإدارية الكلاسيكية (أ.م.) ستظهر مجموعة إعدادات التحديث التلقائي لنظام التشغيل Windows، حيث ستكون المعلمة الوحيدة متاحة عنوان URL الذي سيتم استخدامه بدلاً من ctldl.windowsupdate.com الافتراضي

لنفتح هذه المعلمة وندخل المسار إلى المورد المحلي الذي حددنا عليه ملفات التحديث التي تم تنزيلها مسبقًا، بالتنسيق http://server1/folder أو file://\\server1\folder ،
على سبيل المثال ملف://\\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment

لنحفظ التغييرات التي تم إجراؤها ونطبق السياسة التي تم إنشاؤها على حاوية المجال التي توجد بها أجهزة الكمبيوتر المستهدفة. ومع ذلك، فإن الطريقة المدروسة لإعداد كائنات نهج المجموعة لها عدد من العيوب ولهذا السبب أسميتها "المدرسة القديمة".

هناك طريقة أخرى أكثر حداثة وتقدمًا لإعداد سجل العميل وهي الاستخدام تفضيلات سياسة المجموعة (جي بي بي). باستخدام هذا الخيار، يمكننا إنشاء كائن GPP المقابل في قسم "نهج المجموعة". تكوين الكمبيوتر > التفضيلات > التسجيلمع تحديث المعلمة ( فعل: تحديث) التسجيل RootDirURL(نوع القيمة REG_SZ)

إذا لزم الأمر، يمكننا تمكين آلية استهداف مرنة لمعلمة GPP التي تم إنشاؤها (علامة التبويب شائع> الخيار الاستهداف على مستوى العنصر) على جهاز كمبيوتر معين أو مجموعة أجهزة كمبيوتر لإجراء اختبار أولي لما سنحصل عليه في النهاية بعد تطبيق سياسات المجموعة.

بالطبع، تحتاج إلى اختيار خيار واحد، إما عن طريق توصيل الخيار الخاص بك أ.م.-قالب، أو باستخدام جي بي بي.

بعد إعداد سياسات المجموعة على أي كمبيوتر عميل تجريبي، سنقوم بالتحديث باستخدام الأمر gpupdate /forceتليها إعادة التشغيل. بعد تشغيل النظام، تحقق من وجود المفتاح الذي تم إنشاؤه في السجل وحاول التحقق مما إذا كان قد تم تحديث مخزن الشهادات الجذر. للتحقق، سوف نستخدم مثالاً بسيطًا ولكنه فعال موضح في الملاحظة.الجذور الموثوقة والشهادات غير المسموح بها .

على سبيل المثال، دعونا نرى ما إذا كانت هناك شهادة جذر في مخزن شهادات الكمبيوتر، والتي تم استخدامها لإصدار شهادة مثبتة على موقع يسمى buypass.no (لكننا لم ننتقل إلى الموقع نفسه بعد :)).

الطريقة الأكثر ملاءمة للقيام بذلك هي بمساعدة الأدوات بوويرشيل:

الحصول على شهادة ChildItem:\localmachine\root | حيث ( $_ .Friendlyname -like " *Buypass* " )

مع وجود درجة عالية من الاحتمال، لن يكون لدينا مثل هذه الشهادة الجذرية. إذا كان الأمر كذلك، فسوف نفتحه متصفح الانترنتوالوصول إلى عنوان URL https://buypass.no . وإذا كانت الآلية التي قمنا بتكوينها لتحديث شهادات الجذر تلقائيًا تعمل بنجاح، فعندئذٍ في سجل أحداث Windows طلبحدث مع مصدر ( مصدر) CAPI2، للإشارة إلى أنه تم تنزيل شهادة الجذر الجديدة بنجاح:

اسم السجل: التطبيق

لتثبيت الشهادات، تحتاج إلى توصيل محرك أقراص فلاش USB بتوقيع إلكتروني وفتحه وتثبيت الشهادات

1. قم بتثبيت شهادة المرجع المصدق الرئيسي في المراجع الجذرية الموثوقة، ولهذا تحتاج إلى:

1.1. انقر نقرًا مزدوجًا فوق شهادة رئيس CA - الملف "Head Certification Authority.cer".

1.2. في النموذج الذي يفتح، انقر فوق الزر "تثبيت الشهادة...".

1.3. حدد "وضع جميع الشهادات في المتجر التالي" (ضع علامة في المربع قبل النقش) وانقر فوق الزر "استعراض".


1.4. في القائمة التي تفتح، حدد "المراجع الموثوقة لشهادات الجذر" وانقر على "موافق".

2. تثبيت شهادة شخصية

يتم تثبيت الشهادة الشخصية باستخدام برنامج CryptoPro CSP
2.1. أنت بحاجة إلى تشغيل برنامج CryptoPro CSP (زر البدء -> CryptoPro CSP أو زر البدء -> كافة البرامج -> CRYPTO-PRO -> CryptoPro CSP).

2.2. في النافذة التي تفتح، حدد علامة التبويب "الخدمة" وانقر على زر "تثبيت". شهادة شخصية…».

2.3. في النافذة التي تفتح، تحتاج إلى النقر فوق الزر "استعراض"، وتحديد شهادة المنظمة على محرك الأقراص المحمول - الملف الثاني بالملحق "cer" (وليس ملف شهادة CA (في المثال - "adicom.cer" )) وانقر على "التالي".




2.4. في النموذج الذي يفتح، انقر فوق "التالي"


2.5. في النموذج الذي يفتح، انقر فوق مربع الاختيار "البحث عن الحاوية تلقائيًا". ونتيجة لذلك، سيتم ملء "اسم حاوية المفتاح" وانقر على "التالي"


2.6. في النموذج الذي يفتح، انقر فوق "التالي"


2.7. في النموذج الذي يفتح، انقر فوق "إنهاء"


يتم تثبيت كل ما هو ضروري لإنشاء توقيع إلكتروني على الجهاز المحلي للمستخدم - ويمكنك توقيع النماذج المطبوعة.

3. قم بتثبيت الامتداد (الوظيفة الإضافية) CryptoPro Extension for Cades Browser Plug-in في المتصفح

لتثبيت ملحق المتصفح (الوظيفة الإضافية) CryptoPro Extension for Cades Browser Plugin، افتح متجر الإضافات في متصفحك وابحث عن الإضافات باستخدام كلمة Cades / للحصول على رابط Yandex.Browser -

© 2024 استخراج. المواطنين الأجانب. استلام جواز السفر. تسجيل. محاسبة التسجيل