Când completează documente sau înregistrează o organizație, utilizatorii întâmpină o eroare - „Nu este posibil să construiești un lanț de certificate pentru o persoană de încredere. centrul rădăcinii" Dacă încercați din nou, eroarea apare din nou. Ce trebuie să faceți în această situație, citiți mai departe în articol.
Cauzele erorilor în lanțul de certificate
Erorile pot apărea din diverse motive - probleme cu Internetul pe partea clientului, blocare software Windows Defender sau alte antivirusuri. În continuare, absența certificat rădăcină Centru de certificare, probleme în proces semnătură criptografică si altele.
Remedierea unei erori la crearea unui lanț de certificate pentru o autoritate rădăcină de încredere
În primul rând, asigură-te că nu ai probleme cu conexiunea la internet. Eroarea poate apărea dacă nu există acces. Cablul de rețea trebuie să fie conectat la computer sau la router.
- Faceți clic pe butonul „Start” și căutați „Prompt de comandă”.
- Selectați-l cu butonul din dreapta al mouse-ului și faceți clic pe „Run ca administrator”.
- Introduceți următoarea comandă în fereastra DOS „ping google.ru”.
Când internetul este conectat, ar trebui să vedeți date despre pachetele trimise, viteza de transmisie și alte informații. Dacă nu există Internet, veți vedea că pachetele nu au ajuns la destinație.
Acum să verificăm prezența certificatului rădăcină al autorității de certificare. Pentru a face acest lucru:
Dacă nu există certificat, trebuie să îl descărcați. În cele mai multe cazuri, acesta se află în certificatele rădăcină și utilizatorul trebuie doar să îl instaleze. De asemenea, merită să ne amintim că cel mai bine este să utilizați browserul Internet Explorer, astfel încât să apară mai puține erori și eșecuri în timpul procesului de lucru. Încercați să găsiți CA în certificatele rădăcină, după aceea tot ce trebuie să faceți este să faceți clic pe butonul „Instalare”, reporniți browserul și veți rezolva problema cu eroarea - „Nu se poate construi un lanț de certificate pentru autoritatea rădăcină de încredere. .”
Verificarea certificatului rădăcină CA în browser
Testul poate fi efectuat într-un browser.
- Selectați „Service” din meniu.
- Apoi, faceți clic pe linia „Opțiuni Internet”.
- Faceți clic pe fila „Conținut”.
- Aici trebuie să selectați „Certificate”.
- Fila următoare " Centre de încredere certificare." Aici ar trebui să existe un certificat rădăcină CA, de obicei este în partea de jos a listei.
Acum încercați din nou pașii care au cauzat eroarea. Pentru a obține un certificat rădăcină, trebuie să contactați centrul corespunzător unde ați primit UPC ES.
Alte modalități de a remedia eroarea lanțului de certificate
Să vedem cum să descărcați, să instalați și să utilizați corect CryptoPro. Pentru a vă asigura că programul nu este instalat pe computer (dacă există mai mulți utilizatori pe computer), trebuie să deschideți meniul Start. Apoi selectați „Programe” și căutați „CryptoPro” în listă. Dacă nu există, îl vom instala. Puteți descărca programul de la linkul https://www.cryptopro.ru/downloads. Aici ai nevoie de " CSP CryptoPro» - selectați versiunea.
În fereastra următoare ar trebui să vedeți un mesaj de preînregistrare.
Instalarea CryptoPro
Odată ce fișierul de instalare este descărcat, trebuie să îl rulați pentru a-l instala pe computer. Sistemul va afișa un avertisment că programul cere permisiunea de a schimba fișierele de pe computer, permiteți-i să facă acest lucru.
Înainte de a instala programul pe computer, toate jetoanele trebuie extrase. Browserul trebuie configurat să funcționeze, excepția este browser Opera, toate setările implicite sunt deja făcute în el. Singurul lucru care îi rămâne utilizatorului este să activeze un plugin special pentru muncă. În timpul procesului, veți vedea o fereastră corespunzătoare în care Opera vă oferă să activeze acest plugin.
După pornirea programului, va trebui să introduceți cheia în fereastră.
Puteți găsi programul de lansat în următoarea cale: „Start”, „Toate programele”, „CryptoPro”, „CryptoPro CSP”. În fereastra care se deschide, faceți clic pe butonul „Introduceți licența” și introduceți cheia în ultima coloană. Gata. Acum programul trebuie configurat în consecință pentru a se potrivi nevoilor dvs. În unele cazuri pentru semnătură electronică utilizați utilități suplimentare - CryptoPro Office Signature și CryptoAKM. Puteți remedia eroarea - nu este posibil să construiți un lanț de certificate pentru un centru rădăcină de încredere - prin simpla reinstalare a CryptoPro. Încercați acest lucru dacă alte sfaturi nu vă ajută.
Mai apare eroarea? Trimiteți o solicitare către serviciul de asistență, în care trebuie să postați capturi de ecran ale acțiunilor dvs. secvențiale și să explicați situația în detaliu.
- „Alți utilizatori” este un depozit de certificate de la autoritățile de reglementare;
- „Autoritățile de certificare rădăcină de încredere” și „Autoritățile de certificare intermediare” sunt depozite de certificate ale autorității de certificare.
Instalarea certificatelor personale se realizează numai folosind programul Crypto Pro.
Pentru a lansa consola, trebuie să faceți următoarele:
1. Selectați meniul „Start” > „Run” (sau apăsați simultan tastele „Win+R” de pe tastatură).
2. Specificați comanda mmc și faceți clic pe butonul „OK”.
3. Selectați Fișier > Adăugați sau eliminați Snap-in.
4. Selectați snap-in-ul „Certificate” din listă și faceți clic pe butonul „Adăugați”.
5. În fereastra care se deschide, selectați butonul radio „Contul meu de utilizator” și faceți clic pe butonul „Terminare”.
6. Selectați echipamentul adăugat din lista din dreapta și faceți clic pe butonul „OK”.
Instalarea certificatelor
1. Deschideți depozitul necesar (de exemplu, Trusted Root Certification Authorities). Pentru a face acest lucru, extindeți ramura „Certificate - utilizator curent” > „Autorități de certificare rădăcină de încredere” > „Certificate”.
2. Selectați meniul Acțiune > Toate sarcinile > Import.
4. Apoi, faceți clic pe butonul „Răsfoiți” și specificați fișierul certificat pentru import (certificatele rădăcină ale Centrului de Certificare pot fi descărcate de pe site-ul Centrului de Certificare, certificatele autorităților de reglementare se află pe site-ul web al sistemului Kontur.Extern) . După selectarea certificatului, trebuie să faceți clic pe butonul „Deschide”, apoi pe butonul „Următorul”.
5. În fereastra următoare, trebuie să faceți clic pe butonul „Următorul” (stocarea necesară este selectată automat).
6. Faceți clic pe butonul „Finish” pentru a finaliza importul.
Eliminarea certificatelor
Pentru a elimina certificatele utilizând consola mmc (de exemplu, din magazinul Alți utilizatori), trebuie să faceți următoarele:
Extindeți ramura „Certificate - utilizator curent” > „Alți utilizatori” > „Certificate”. În partea dreaptă a ferestrei se vor afișa toate certificatele instalate în magazinul Alți utilizatori. Selectați certificatul necesar, faceți clic dreapta pe el și selectați „Șterge”.
cu problema imposibilității implementării corecte a software-ului din cauza faptului că stocul de certificate ale autorităților de certificare rădăcină de încredere nu este actualizat pe computerele țintă care rulează sistemul de operare Windows (în continuare, pentru concizie, vom numi acest magazin TrustedRootCA). La acel moment, problema a fost rezolvată prin implementarea pachetului rootsupd.exe, disponibil în articol KB931125, care se referă la sistemul de operare Windows XP. Acum, acest sistem de operare a fost complet retras din suportul Microsoft și acesta poate fi motivul pentru care acest articol KB nu mai este disponibil pe site-ul Microsoft. La toate acestea putem adăuga că nici la acea vreme soluția cu implementarea unui pachet de certificate care era deja depășit la acel moment nu era cea mai optimă, întrucât la acea vreme sistemele cu OS Windows VistaŞi Windows 7, care includea deja un nou mecanism pentru actualizarea automată a depozitului de certificate TrustedRootCA. Iată unul dintre articolele vechi despre Windows Vista, care descrie câteva aspecte ale modului în care funcționează un astfel de mecanism -Asistență pentru certificat și comunicarea prin Internet rezultată în Windows Vista . Recent, m-am confruntat din nou cu problema inițială de a necesita actualizarea depozitului de certificate TrustedRootCA pe o serie de computere și servere client bazate pe Windows. Toate aceste computere nu au acces direct la Internet și, prin urmare, mecanismul de reînnoire automată a certificatelor nu își îndeplinește sarcina așa cum se dorește. Opțiunea de deschidere a accesului direct la Internet pentru toate computerele, chiar dacă adrese specifice, a fost considerat inițial ca o soluție extremă, iar căutarea unei soluții mai acceptabile m-a condus la articolConfigurați rădăcini de încredere și certificate nepermise(RU ), care mi-a răspuns imediat la toate întrebările. Ei bine, în general, pe baza acestui articol, în această notă voi sublinia pe scurt exemplu concret cum puteți reconfigura central la calculatoare Windows Vista și versiuni ulterioare au același mecanism pentru actualizarea automată a depozitului de certificate TrustedRootCA, astfel încât să folosească o resursă de fișiere sau un site web din rețeaua corporativă locală ca sursă de actualizare.Pentru început, la ce trebuie să fii atent este că în politicile de grup aplicate computerelor, parametrul care blochează funcționarea mecanismului de actualizare automată nu ar trebui să fie activat. Acesta este un parametru Dezactivați Actualizarea automată a certificatelor rădăcină in sectiune Configurarea computerului > Șabloane administrative > Sistem > Managementul comunicațiilor prin Internet > Setări de comunicare prin Internet. Vom avea nevoie de acest parametru Oprit, sau doar Neconfigurat.
Dacă vă uitați la magazinul de certificate TrustedRootCA sub Computer local , apoi pe sistemele care nu au acces direct la Internet, setul de certificate va fi, să spunem, mic:
Acest fișier este convenabil de utilizat, de exemplu, atunci când trebuie să selectați doar un anumit set din întregul subset de certificate disponibile și să le încărcați într-un fișier SST separat pentru încărcare ulterioară, de exemplu, folosind consola locală de gestionare a certificatelor sau folosind Consolă de gestionare a politicii de grup (pentru importarea în anumite politici sau în domeniul domeniului prin intermediul parametrului Configurarea computerului > Politici > Setări Windows > Setări de securitate > Politicile cheii publice > Autorități de certificare rădăcină de încredere).
Totuși, pentru metoda de distribuire a certificatelor rădăcină care ne interesează, prin modificarea funcționării mecanismului de actualizare automată pe computerele clientului final, vom avea nevoie de o reprezentare puțin diferită a setului de certificate rădăcină actuale. Îl puteți obține folosind același utilitar Certitil, dar cu un set diferit de chei.
În exemplul nostru, ca sursă locală distribuția va folosi un folder de rețea partajat pe serverul de fișiere. Și aici este important să acordați atenție faptului că, atunci când pregătiți un astfel de folder, este necesar să restricționați accesul la scriere, astfel încât să nu se întâmple ca cineva să poată modifica setul de certificate rădăcină, care vor fi apoi „împrăștiate” în multe calculatoare.
Certitil-syncWithWU -f -f \\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment\Chei -f -f sunt folosite pentru a forța actualizarea tuturor fișierelor din directorul de destinație.
Ca urmare a executării comenzii, multe fișiere cu un volum total de aproximativ jumătate de megaoctet vor apărea în folderul de rețea pe care l-am specificat:
Conform celor menționate anterior
articole , scopul dosarelor este următorul:- Fişier authrootstl.cab conține liste de încredere pentru certificate de la terți;
- Fişier disallowedcertstl.cab conține o listă de încredere a certificatelor cu certificate nesigure;
- Fişier disallowedcert.sst conține un depozit de certificate serializate, inclusiv certificate nede încredere;
- Fișiere cu nume precum amprenta.crt conțin certificate rădăcină terță parte.
Deci, fișierele necesare funcționării mecanismului de actualizare automată au fost primite, iar acum trecem la implementarea modificărilor în schema de funcționare a acestui mecanism. Pentru aceasta, ca întotdeauna, politicile de grup de domenii ne vin în ajutor. Active Directory (GPO), deși puteți folosi alte instrumente de management centralizat, tot ce trebuie să facem pe toate computerele este să modificăm, sau mai degrabă să adăugăm, doar un parametru de registry RootDirURLîn fir HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate, care va determina calea către directorul nostru de rețea, în care am plasat anterior un set de fișiere de certificat rădăcină.
Vorbind despre configurarea unui GPO, puteți utiliza din nou diferite opțiuni pentru a realiza sarcina. De exemplu, există o opțiune „veche” cu crearea propriului șablon de politică de grup, așa cum este descris în deja familiar
articol . Pentru a face acest lucru, creați un fișier în formatul șablonului administrativ GPO ( A.D.M.), de exemplu, cu numele RootCAUpdateLocalPath.adm și conținutul: CLASĂ CATEGORIA MAȘINĂ !!SystemCertificates KEYNAME " Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" POLICY !!RootDirURL EXPLAIN !!RootDirURL_help PART !!RootDirURL EDITTEXT VALUENAME "RootDirURL" END PART END POLICY END CATEGORY RootDirURL="Adresă URL care va fi folosită în loc de ctldl.windowsupdate.com implicită" RootDirILE_help="Enter URL_help="Enter URL pentru a utiliza ca locație de descărcare a fișierelor CTL." SystemCertificates="Setări de actualizare automată Windows"Să copiem acest fișier în controlerul de domeniu din directorul %SystemRoot%\inf (de obicei, directorul C:\Windows\inf). După aceea, să mergem la editorul de politici de grup de domenii și să creăm un separat noua politica, apoi deschizându-l pentru editare. In sectiunea Configurarea computerului > Șabloane administrative... deschideți meniul contextual și selectați opțiunea pentru a conecta un nou șablon de politică Adăugați/Eliminați șabloane
În fereastra care se deschide, utilizați butonul de răsfoire pentru a selecta fișierul adăugat anterior %SystemRoot%\inf\RootCAUpdateLocalPath.adm, iar după ce șablonul apare în listă, faceți clic Aproape.
După finalizarea acțiunii din secțiune Configurare > Șabloane administrative > Șabloane administrative clasice (A.D.M.) va apărea un grup Setări Windows AutoUpdate, în care singurul parametru va fi disponibil Adresă URL care trebuie utilizată în locul ctldl.windowsupdate.com implicit
Să deschidem acest parametru și să introducem calea către resursa locală pe care am localizat fișierele de actualizare descărcate anterior, în formatul http://server1/folder sau file://\\server1\folder .
De exemplu file://\\FILE-SERVER\SHARE\RootCAupd\GPO-Deployment
Să salvăm modificările făcute și să aplicăm politica creată containerului de domeniu în care se află computerele țintă. Cu toate acestea, metoda considerată de creare a GPO-urilor are o serie de dezavantaje și de aceea am numit-o „vechea școală”.
O altă metodă, mai modernă și mai avansată de a configura un registru de clienți este utilizarea Preferințele politicii de grup (GPP). Cu această opțiune, putem crea obiectul GPP corespunzător în secțiunea Politică de grup Configurarea computerului > Preferințe > Registru cu actualizare a parametrilor ( Acţiune: Actualizare) registru RootDirURL(tipul valorii REG_SZ)
Dacă este necesar, putem activa un mecanism de direcționare flexibil pentru parametrul GPP creat (Tab Comun>Opțiune Direcționare la nivel de articol) pe un anumit computer sau grup de computere pentru testarea preliminară a ceea ce vom obține în cele din urmă după aplicarea politicilor de grup.
Desigur, trebuie să alegeți o opțiune, fie prin conectarea propriei opțiuni A.D.M.-șablon, sau folosind GPP.
După configurarea politicilor de grup pe orice computer client experimental, vom actualiza cu comanda gpupdate /force urmată de o repornire. După ce sistemul pornește, verificați registrul pentru prezența cheii create și încercați să verificați dacă depozitul de certificate rădăcină a fost actualizat. Pentru a verifica, vom folosi un exemplu simplu, dar eficient, descris în notă.
Rădăcini de încredere și certificate nepermise .De exemplu, să vedem dacă depozitul de certificate al computerului conține un certificat rădăcină folosit pentru a emite un certificat care este instalat pe un site numit buypass.no (dar nu mergem încă pe site-ul în sine :)).
Cel mai convenabil mod de a face acest lucru este cu ajutorul instrumentelor PowerShell:
Get-ChildItem cert:\localmachine\root | Unde ( $_ .friendlyname -cum ar fi " *Buypass* " )Cu un grad mare de probabilitate, nu vom avea un astfel de certificat de rădăcină. Dacă da, îl vom deschide Internet Explorerși accesați URL-ul https://buypass.no . Și dacă mecanismul pe care l-am configurat pentru actualizarea automată a certificatelor rădăcină funcționează cu succes, atunci în jurnalul de evenimente Windows Aplicație un eveniment cu o sursă ( Sursă) CAPI2, indicând că noul certificat rădăcină a fost descărcat cu succes:
Nume jurnal: AplicațiePentru a instala certificate, trebuie să conectați o unitate flash USB cu o semnătură electronică, să o deschideți și să instalați certificatele
1. Instalați certificatul autorității principale de certificare în autoritățile rădăcină de încredere, pentru aceasta trebuie să:
1.1. Faceți dublu clic pe certificatul șefului CA - fișierul „Head Certification Authority.cer”.
1.2. În formularul care se deschide, faceți clic pe butonul „Instalare certificat...”. 
1.3. Selectați „Plasați toate certificatele în următorul magazin” (bifați caseta înainte de înscriere) și faceți clic pe butonul „Răsfoiți”. 
1.4. În lista care se deschide, selectați „Autorități de certificare rădăcină de încredere” și faceți clic pe „OK”. 
2. Instalați un certificat personal
Instalarea unui certificat personal se realizează folosind programul CryptoPro CSP
2.1. Trebuie să lansați programul CryptoPro CSP (butonul Start -> CryptoPro CSP sau butonul Start -> Toate programele -> CRYPTO-PRO -> CryptoPro CSP). 
2.2. În fereastra care se deschide, selectați fila „Service” și faceți clic pe butonul „Instalare”. certificat personal…». 
2.3. În fereastra care se deschide, trebuie să faceți clic pe butonul „Răsfoiți”, selectați certificatul organizației pe unitatea flash - al doilea fișier cu extensia „cer” (nu fișierul certificat CA (în exemplu - „adicom.cer” )) și faceți clic pe „Următorul”. 
2.4. În formularul care se deschide, faceți clic pe „Următorul” 
2.5. În formularul care se deschide, faceți clic pe caseta de selectare „Găsiți containerul automat”. Ca rezultat, „Numele containerului de chei” va fi completat și faceți clic pe „Următorul” 
2.6. În formularul care se deschide, faceți clic pe „Următorul” 
2.7. În formularul care se deschide, faceți clic pe „Terminare” 
Pe mașina locală a utilizatorului este instalat tot ceea ce este necesar pentru a genera o semnătură electronică - puteți semna formulare tipărite.
3. Instalați extensia (suplimentul) CryptoPro Extension for Cades Browser Plug-in în browser
Pentru a instala extensia de browser (supliment) CryptoPro Extension for Cades Browser Plugin, deschideți magazinul de extensii în browser și căutați extensii folosind cuvântul Cades / For Yandex.Browser link -