Как сделать сертификат доверенным

Как сделать сертификат доверенным

Установка корневого сертификата на клиентский компьютер (Windows 10).

Вступление

Сертификаты используются для организации безопасного соединения между серверам и клиентскими компьютерами — они позволяют клиенту надёжно идентифицировать сервер, удостоверяя, что сервер — тот самый, за который себя выдаёт. Обычно сертификаты для общения между клиентом и сервером в интернете выдаются третьей стороной, которой доверяют и клиент, и сервер. В случае со службами Stormway Consulting сертификат для почтового сервера выпущен нашей собственной службой сертификации, StormCert — эта служба выпускает сертификаты и для других наших служб, в частности, сервера управления услугами (клиентская поддержка), почтовых серверов Stormway и т.д. Сертификат службы StormCert называется «корневым», так как он не зависит ни от одного другого сертификата. Остальные сертификаты служб stormway.ru подписаны сертификатом StormCert, поэтому могут быть проверены на достоверность, если Вы сами доверяете нашему центру сертификации.

Установка корневого сертификата на Ваш компьютер не является необходимой, а лишь рекомендуемой, так как облегчает Вашу работу с почтовыми службами stormway.ru. Установка корневого сертификата обязательна в том случае, если Вы используете защищённое соединение между Вашей программой Outlook ( или Outlook Mobile) и нашим сервером через HTTPS -прокси или Outlook Anywhere .

Если служба технической поддержки stormway.ru прислала Вам ссылку на данную страницу, выполните прилагаемую инструкцию.

Внимание! Инструкция верна для Windows 10. Вариант для Windows XP находится здесь.

Инструкция

1. Загрузите архив, содержащий сертификат, с официального сайта stormway.ru по адресу: http://files.stormway.ru/hosting/stormway/certificate/StormwayConsulting-CA.zip . Если Ваш браузер по умолчанию Microsoft Edge, Вы увидите следующее сообщение: «Загрузка StormwayConsulting-CA.zip завершена». Нажмите кнопку «Открыть».
   
2. Откройте загруженный архив: По умолчанию Windows открывает окно «Средства работы со сжатыми папками». Щёлкните правой кнопкой мыши на по файлу » StormwayConsulting-CA.cer » и выберите пункт «Открыть» в появившемся меню.
   
   Примечание: В зависимости от настроек системы поле «Имя» может не содержать расширение » .cer «, но тип файла должен быть указан как «Сертификат безопасности».
   Примечание: Некоторые приложения, работающие с архивами, такие как WinRAR или 7-Zip также могут использоваться для открытия файлов архивов. В этом случае открывайте файл » StormwayConsulting-CA.cer » двойным нажатием на имени файла.
3. Откройте файл сертификата. В окне «Открыть файл — предупреждение системы безопасности» нажмите кнопку «Открыть». Система откроет программу просмотра сертификатов .
   
   Примечание: строка «Из:» может содержать другое значение, указывающее на папку временных файлов пользователя.
4. Проверьте срок действия сертификата и начните его установку. Убедитесь, что поле «Действителен с. по. » содержит верные значения (текущий корневой сертификат действителен до 2022 года), нажмите кнопку «Установить сертификат. «, запустится Мастер импорта сертификатов.
   
5. Установите сертификат в хранилище. В открывшемся окне Мастера импорта сертификатов на первой странице в пункте «Расположение хранилища» убедитесь, что выбран пункт «Текущий пользователь» нажмите кнопку «Далее»,
   

на следующей странице выберите пункт «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор. «,

В появившемся окне «Выбор хранилища сертификата» выберите пункт «Доверенные корневые центры сертификации» и нажмите кнопку «ОК» для возврата в предыдущее окно ,

Убедитесь, что поле «Хранилище сертификатов» содержит значение «Доверенные корневые центры сертификации» и нажмите кнопку «Далее».

На последней странице мастера импорта нажмите кнопку «Готово» для запуска процесса импорта сертификата


Дождитесь сообщения об успешном импорте сертификата. Возможно, система покажет следующее сообщение с заголовком «Предупреждение системы безопасности», с текстом » Windows не удаётся проверить, что сертификат действительно получен от » StormwayConsulting-CA » . Нажмите «Да» для продолжения.

Мастер импорта сертификатов должен завершить свою работу, выдав сообщение «Импорт успешно выполнен» .

Типичные коды ошибок

В ряде случаев установка корневого сертификата в систему может закончиться неудачно. Ниже приведены часто встречающиеся ошибки и рекомендации по их исправлению.

• Отсутствие прав доступа к хранилищу сертификатов . На 6-ом шаге Мастер импорта сертификатов может сообщить об ошибке доступа. Чаще всего такая ошибка возникает, если пользователь пытается установить сертификат не в своё личной хранилище, а в хранилище сертификатов компьютера, и при этом права на данную операцию у него отсутствуют. В этом случае администратору домена пользователя надо связаться со службой технической поддержки Stormway Consulting для согласования процедуры централизованной установки сертификатов на компьютеры пользователей.

Дополнительно

В FAQ’ е есть раздел по работе с почтой .

Ошибка «Сертификат безопасности сайта не является доверенным». Как ее исправить?

Доброго дня!

Я думаю, что почти каждый пользователь (особенно в последнее время) сталкивался с ошибкой в браузере о том, что сертификат такого-то сайта не является доверенным, и рекомендацией не посещать его.

С одной стороны это хорошо (все-таки и браузер, и вообще популяризация подобных сертификатов — обеспечивает нашу безопасность), но с другой — подобная ошибка иногда всплывает даже на очень известных сайтах (на том же Google).

Суть происходящего, и что это значит?

Дело в том, что когда вы подключаетесь к сайту, на котором установлен протокол SSL, то сервер передает браузеру цифровой документ ( сертификат ) о том, что сайт является подлинным (а не фейк или клон чего-то там. ). Кстати, если с таким сайтом все хорошо, то браузеры их помечают «зеленым» замочком: на скрине ниже показано, как это выглядит в Chrome.

Однако, сертификаты могут выпускать, как всем известные организации (Symantec, Rapidssl, Comodo и др.) , так и вообще кто-угодно. Разумеется, если браузер и ваша система «не знает» того, кто выпустил сертификат (или возникает подозрение в его правильности) — то появляется подобная ошибка.

Т.е. я веду к тому, что под раздачу могут попасть как совсем белые сайты, так и те, которые реально опасно посещать. Поэтому, появление подобной ошибки это повод внимательно взглянуть на адрес сайта.

Ну а в этой статье я хочу указать на несколько способов устранения подобной ошибки, если она стала появляться даже на белых и известных сайтах (например, на Google, Яндекс, VK и многих других. Их же вы не откажетесь посещать?).

Как устранить ошибку

1) Обратите внимание на адрес сайта

Первое, что сделайте — просто обратите внимание на адрес сайта (возможно, что вы по ошибке набрали не тот URL). Также иногда такое происходит по вине сервера, на котором расположен сайт (возможно, вообще, сам сертификат просто устарел, ведь его выдают на определенное время). Попробуйте посетить другие сайты, если с ними все OK — то вероятнее всего, что проблема не в вашей системе, а у того конкретного сайта.

Пример ошибки «Сертификат безопасности сайта не является доверенным»

Однако, отмечу, что если ошибка появляется на очень известном сайте, которому вы (и многие другие пользователи) всецело доверяете — то высока вероятность проблемы в вашей системе.

2) Проверьте дату и время, установленные в Windows

Второй момент — подобная ошибка может выскакивать, если у вас в системе неверно задано время или дата. Для их корректировки и уточнения достаточно щелкнуть мышкой по «времени» в панели задач Windows (в правом нижнем углу экрана). См. скрин ниже.

Настройка даты и времени

После установки правильного времени, перезагрузите компьютер и попробуйте заново открыть браузер и сайты в нем. Ошибка должна исчезнуть.

Также обращаю внимание на то, что, если у вас постоянно сбивается время — вероятно у вас села батарейка на материнской плате. Представляет она из себя небольшую «таблетку», благодаря которой компьютер помнит введенные вами настройки, даже если вы его отключаете от сети (например, те же дата и время как-то высчитываются?).

Батарейка на материнской плате ПК

3) Попробуйте провести обновление корневых сертификатов

Еще один вариант, как можно попробовать решить эту проблему — установить обновление корневых сертификатов. Обновления можно скачать на сайте Microsoft для разных ОС. Для клиентских ОС (т.е. для обычных домашних пользователей) подойдут вот эти обновления: https://support.microsoft.com/

4) Установка «доверенных» сертификатов в систему

Этот способ хоть и рабочий, но хотелось бы предупредить, что он «может» стать источником проблем в безопасности вашей системы. По крайней мере, прибегать к этому советую только для таких крупных сайтов как Google, Яндекс и т.д.

Для избавления от ошибки, связанной с недостоверностью сертификата, должен подойти спец. пакет GeoTrust Primary Certification Authority .

Кстати, на этой страничке расположено еще несколько сертификатов, их также можно до-установить в систему.

Кстати, чтобы скачать GeoTrust Primary Certification Authority:

нажмите правой кнопкой мышки по ссылке download и выберите вариант «сохранить ссылку как. «;

Сохранить ссылку как.

далее укажите папку на диске, куда будет скачан сертификат. Это будет файл формата PEM.

Файл с расширением PEM

Теперь необходимо скачанный сертификат установить в систему. Как это делается, по шагам расскажу чуть ниже:

1. сначала нажимаем сочетание кнопок Win+R, и вводим команду certmgr.msc, жмем OK;
2. должен открыться центр сертификатов в Windows. Необходимо раскрыть вкладку «Доверенные корневые центры сертификации/сертификаты», щелкнуть по ней правой кнопкой мышки и выбрать «Все задачи — импорт».

далее запустится мастер импорта сертификатов. Просто жмем «Далее».

Мастер импорта сертификатов

после нажмите кнопку «Обзор» и укажите ранее загруженный нами сертификат. Нажмите «Далее» (пример показан ниже);

Указываем сертификат, который загрузили

в следующем шаге укажите, что сертификаты нужно поместить в доверенные центры сертификации и нажмите «Далее».

Поместить сертификаты в доверенные. Далее

5) Обратите внимание на антивирусные утилиты

В некоторых случаях эта ошибка может возникать из-за того, что какая-нибудь программа (например, антивирус) проверяет https трафик. Это видит браузер, что пришедший сертификат не соответствует адресу, с которого он получен, и в результате появляется предупреждение/ошибка.

Поэтому, если у вас установлен антивирус/брандмауэр, проверьте и на время отключите настройку сканирования https трафика (см. пример настроек AVAST на скрине ниже).

Avast — основные настройки (отключение сканирование https трафика)

На этом у меня всё.

За дополнения по теме — отдельное мерси!

Как сделать сертификат доверенным

Установка корневого сертификата на клиентский компьютер (Windows 10).

Вступление

Сертификаты используются для организации безопасного соединения между серверам и клиентскими компьютерами — они позволяют клиенту надёжно идентифицировать сервер, удостоверяя, что сервер — тот самый, за который себя выдаёт. Обычно сертификаты для общения между клиентом и сервером в интернете выдаются третьей стороной, которой доверяют и клиент, и сервер. В случае со службами Stormway Consulting сертификат для почтового сервера выпущен нашей собственной службой сертификации, StormCert — эта служба выпускает сертификаты и для других наших служб, в частности, сервера управления услугами (клиентская поддержка), почтовых серверов Stormway и т.д. Сертификат службы StormCert называется «корневым», так как он не зависит ни от одного другого сертификата. Остальные сертификаты служб stormway.ru подписаны сертификатом StormCert, поэтому могут быть проверены на достоверность, если Вы сами доверяете нашему центру сертификации.

Установка корневого сертификата на Ваш компьютер не является необходимой, а лишь рекомендуемой, так как облегчает Вашу работу с почтовыми службами stormway.ru. Установка корневого сертификата обязательна в том случае, если Вы используете защищённое соединение между Вашей программой Outlook ( или Outlook Mobile) и нашим сервером через HTTPS -прокси или Outlook Anywhere .

Если служба технической поддержки stormway.ru прислала Вам ссылку на данную страницу, выполните прилагаемую инструкцию.

Внимание! Инструкция верна для Windows 10. Вариант для Windows XP находится здесь.

Инструкция

1. Загрузите архив, содержащий сертификат, с официального сайта stormway.ru по адресу: http://files.stormway.ru/hosting/stormway/certificate/StormwayConsulting-CA.zip . Если Ваш браузер по умолчанию Microsoft Edge, Вы увидите следующее сообщение: «Загрузка StormwayConsulting-CA.zip завершена». Нажмите кнопку «Открыть».
   
2. Откройте загруженный архив: По умолчанию Windows открывает окно «Средства работы со сжатыми папками». Щёлкните правой кнопкой мыши на по файлу » StormwayConsulting-CA.cer » и выберите пункт «Открыть» в появившемся меню.
   
   Примечание: В зависимости от настроек системы поле «Имя» может не содержать расширение » .cer «, но тип файла должен быть указан как «Сертификат безопасности».
   Примечание: Некоторые приложения, работающие с архивами, такие как WinRAR или 7-Zip также могут использоваться для открытия файлов архивов. В этом случае открывайте файл » StormwayConsulting-CA.cer » двойным нажатием на имени файла.
3. Откройте файл сертификата. В окне «Открыть файл — предупреждение системы безопасности» нажмите кнопку «Открыть». Система откроет программу просмотра сертификатов .
   
   Примечание: строка «Из:» может содержать другое значение, указывающее на папку временных файлов пользователя.
4. Проверьте срок действия сертификата и начните его установку. Убедитесь, что поле «Действителен с. по. » содержит верные значения (текущий корневой сертификат действителен до 2022 года), нажмите кнопку «Установить сертификат. «, запустится Мастер импорта сертификатов.
   
5. Установите сертификат в хранилище. В открывшемся окне Мастера импорта сертификатов на первой странице в пункте «Расположение хранилища» убедитесь, что выбран пункт «Текущий пользователь» нажмите кнопку «Далее»,
   

на следующей странице выберите пункт «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор. «,

В появившемся окне «Выбор хранилища сертификата» выберите пункт «Доверенные корневые центры сертификации» и нажмите кнопку «ОК» для возврата в предыдущее окно ,

Убедитесь, что поле «Хранилище сертификатов» содержит значение «Доверенные корневые центры сертификации» и нажмите кнопку «Далее».

На последней странице мастера импорта нажмите кнопку «Готово» для запуска процесса импорта сертификата


Дождитесь сообщения об успешном импорте сертификата. Возможно, система покажет следующее сообщение с заголовком «Предупреждение системы безопасности», с текстом » Windows не удаётся проверить, что сертификат действительно получен от » StormwayConsulting-CA » . Нажмите «Да» для продолжения.

Мастер импорта сертификатов должен завершить свою работу, выдав сообщение «Импорт успешно выполнен» .

Типичные коды ошибок

В ряде случаев установка корневого сертификата в систему может закончиться неудачно. Ниже приведены часто встречающиеся ошибки и рекомендации по их исправлению.

• Отсутствие прав доступа к хранилищу сертификатов . На 6-ом шаге Мастер импорта сертификатов может сообщить об ошибке доступа. Чаще всего такая ошибка возникает, если пользователь пытается установить сертификат не в своё личной хранилище, а в хранилище сертификатов компьютера, и при этом права на данную операцию у него отсутствуют. В этом случае администратору домена пользователя надо связаться со службой технической поддержки Stormway Consulting для согласования процедуры централизованной установки сертификатов на компьютеры пользователей.

Дополнительно

В FAQ’ е есть раздел по работе с почтой .

Установка корневого сертификата

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Версия 1 Следующий »

Если при попытке установить соединение с Web-кабинетом открывается окно безопасности браузера (рис. 1), необходимо добавить корневой сертификат Московской Биржи moex.cer в список доверенных сертификатов.

Рисунок 1 – окно безопасности браузера

Для этого необходимо:

1. ввести в поле поиска Windows имя файла certmgr.msc (рис. 2). Затем нажать левой кнопкой мыши на найденный файл. В результате откроется системный справочник сертификата (рис. 3);
   
   Рисунок 2 – поиск системного справочника сертификатов Рисунок 3 – системный справочник сертификатов
2. перейти в раздел Сертификаты бокового меню (рис. 4). Затем нажать правой кнопкой мыши на папку Сертификаты и в открывшемся контекстном меню выбрать пункт Все задачи→Импорт (рис. 5).
   
   Рисунок 4 – доверенные справочники Рисунок 5 – импорт сертификата

В результате откроется Мастер импорта сертификатов (рис. 6), в котором следует нажать кнопку Далее для перехода к выбору файла сертификата moex.cer (рис. 7);

Рисунок 6 – мастер импорта сертификатов Рисунок 7 – диалоговое окно выбора импортируемого файла

нажать кнопку Далее в диалоговом окне Хранилище сертификатов, не изменяя параметров по умолчанию (рис. 8), затем – кнопку Готово для завершения импорта сертификата (рис. 9).

Рисунок 8 – хранилище сертификатов Рисунок 9 – завершение импортирования

По завершении импортирования откроется откроется окно безопасности Windows (рис. 10). Проверьте отпечаток ключа. Его номер должен совпадать номеру, указанному на рисунке (10,1). Если данные совпадают нажмите Да (рис. 10,2).

Рисунок 10 – окно безопасности Windows

В результате откроется уведомление об успешном импортирование сертификата Московской Биржи moex.cer в список доверенных сертификатов (рис. 11), в котором следует нажать кнопку ОК.

Рисунок 11 – завершение импортирования

Далее закройте системный справочник сертификатов и перезапустите браузер. После выполненных настроек будет установлено безопасное соединение с Web-кабинетом.

Как сделать браузер доверие сертификата SSL локального?

Хотя, есть аналогичные вопросы , и даже хорошие ответы , они либо не касаются себя с локальным хостом конкретно, или попросить об одной конкретной опции / решения (самозаверяющий против CA).

Какие варианты? Как они соотносятся? Ho я это делаю?

TL; др Генерировать сертификат , выданный собственным CA (см ниже сценарий)

Вот что я нашел. Поправьте меня, где я ошибаюсь.

Есть (свидетельство власти) СА. Они выдают сертификаты (знак КСО) для других СА (промежуточный СА), или сервера (сертификаты конечной сущности). Некоторые из них являются основными органами. Они имеют собственные сертификаты, выданные ими сам. То есть, как правило, есть цепь доверия, которая идет от сертификата сервера для корневого сертификата. И там никто поручиться за корневой certicate. Таким образом, OS’es есть магазин корневого сертификата (или трастовое хранилище политики), а общесистемный список доверенных корневых сертификатов. Браузеры имеют свои собственные списки доверенных сертификатов, которые состоят из общесистемного списка плюс сертификатов доверенного пользователя.

В Chromium вы управлять сертификатами на хроме: // настройки / сертификаты. В Firefox Preferences > Privacy & Security > Certificates > View Certificates . Оба имеют вкладку Authorities, который представляет собой список доверенных корневых сертификатов. И вкладке Серверы, список доверенных сертификатов сервера.

Для получения сертификата вы создаете CSR (запрос на подпись сертификата), отправить его в CA. CA подписывает CSR, превращая его в доверенный сертификат в этом процессе.

Сертификаты и КСО куча полей с информацией плюс открытый ключ. Некоторые из полей называется расширениями. CA сертификат является с basicConstraints = CA:true .

Вы можете проверить ошибки сертификата в Chromium в Developer Tools > Security .

Доверительные сертификаты Systemwide

При смене ОС»корневого хранилища сертификатов, вы должны перезапустить браузер. Вы можете изменить его с:

trust помещает сертификаты CA категории «орган» ( trust list ), или категории «другой-входа» в противном случае. Сертификаты ЦС появляются на вкладке Authorities в браузерах, или же на вкладке Серверы.

Firefox не доверяет сертификатам сервера с OS»корневых хранилища сертификатов, в отличие от хрома. Оба доверия CA сертификаты от OS»корневого хранилища сертификатов.

Доверительные сертификаты в браузере

В Chromium и Firefox вы можете добавить (импортировать) сертификаты на вкладке Authorities. При попытке импортировать сертификат, не CA, вы получите «Не сертификатную» сообщение. После выбора файла, появляется диалоговое окно, в котором можно задать параметры доверия (если доверять сертификату). Соответствующий параметр для создания сайта является работой «Доверять этот сертификат для идентификации веб-сайтов.»

В Chromium, вы можете добавить сертификаты (импорт) на вкладке Серверы. Но они в конечном итоге либо на власти вкладку (сертификаты ЦС, и вы не представлены диалога настроек доверия после выбора файла) или на вкладке Другие (если сертификат не-CA).

В Firefox, вы не можете точно добавить сертификат на вкладке Серверы. Добавление исключений. И вы можете доверять сертификат, без каких-либо расширений на все (плохо) там.

Самоподписанные расширения сертификатов

Моя система поставляется со следующими настройками по умолчанию (расширения, которые будут добавлены) для сертификатов:

Взятые из /etc/ssl/openssl.cnf раздела v3_ca . Подробнее об этом здесь .

Кроме того, хром считает сертификат недействительным, если оно не имеет subjectAltName = DNS:$domain .

Non-самозаверяющие расширения сертификатов

Когда браузеры доверяют самостоятельно подписанный сертификат

Для хрома доверять самозаверяющим сертификат он должен иметь basicConstraints = CA:true , и subjectAltName = DNS:$domain . Для Firefox даже этого не достаточно:

Когда браузеры доверяют сертификат, выданный собственным CA

Firefox не требует расширений, но Chromium требуется subjectAltName .

openssl шпаргалка

openssl genpkey -algorithm RSA -out «$domain».key — генерировать секретный ключ ( человек )

openssl req -x509 -key «$domain».key -out «$domain».crt — генерировать самоподписанный сертификат ( человек )

Без -subj него будет задавать вопросы относительно различающееся имя (DN), как общее имя (CN), организация (O), местонахождение (L). Вы можете ответить на них «заранее»: -subj «/CN=$domain/O=$org» .

Чтобы добавить subjectAltName расширение, вы должны либо иметь конфигурации , где все это указано, или добавить раздел в конфиг и сказать openssl свое имя с -extensions переключателем:

openssl req -new -key «$domain».key -out «$domain».csr — генерировать CSR, он может принять -subj вариант ( человек )

openssl x509 -req -in «$domain».csr -days 365 -out «$domain».crt -CA ca.crt -CAkey ca.key -CAcreateserial — знак КСО ( человек )

Не работает без -CAcreateserial . Это создает ca.srl файл, в котором он хранит серийный номер последнего сгенерированного сертификата. Чтобы добавить subjectAltName , ты собираешься нужно -extfile переключаться:

openssl req -in $domain.csr -text -noout — вид КСО ( человек )

openssl x509 -in $domain.crt -text -noout — посмотреть сертификат ( человек )

Генерирование самоподписанного сертификата

(Вы собираетесь нужно исключение в Firefox для его работы)

Сформировать сертификат, выданный собственным CA

конфигурация веб-сервера

PS Я бегу Chromium 65.0.3325.162, Firefox 59.0 и openssl-1.1.0.g .

Windows

По- видимому, Windows не имеет trust утилиты. В операционной системе Windows один имеет два магазина : Local Machine и текущие хранилища сертификатов пользователя. Нет смысла в использовании локального хранилища сертификатов машины, так как мы делаем это работает только для нашего текущего пользователя. Тогда, есть substores. С двумя предопределенный из них наибольший интерес: Доверенные корневые центры сертификации и Intermediate Certification Authorities Stores. Обычно называют в командной строке в качестве корня и СА .

Вы можете получить доступ диспетчера сертификатов в Chrome с помощью следующего хрома: // Настройки / поиск = Управление% 20certificates, а затем нажав кнопку Управления сертификатов. Наибольший интерес представляют Доверенные корневые центры сертификации и промежуточные вкладки органов сертификации.

Один из способов сертификатов менеджера осуществляется через командную строку :

Результаты таковы (как для локальной машины и текущих магазинов сертификатов пользователя):

Другие варианты будут двойной щелчок на сертификате в проводнике, импорт сертификатов из диспетчера сертификатов Chrome, используя Сертификаты MMC оснастку (бег certmgr.msc ), или с помощью CertMgr.exe .

Для тех , кто grep установил, вот как быстро проверить , где находится сертификат:

Таким образом, установка CA сертификат в текущий пользователь> Trusted Root Certification Authorities магазин кажется, самым лучшим вариантом. И убедитесь , что не забыть перезапустить браузер .