Добавление сертификата в доверенные windows

Root certificates are public key certificates that help your browser determine whether communication with a website is genuine and is based upon whether the issuing authority is trusted and if the digital certificate remains valid.

Suppose a digital certificate is not from a trusted authority. In that case, you’ll get an error message like There is a problem with this website’s security certificate, and the browser might block communication with the website.

Windows 10 has built-in certificates and automatically updates them. However, you can manually add more root certificates to Windows 10 from certificate authorities (CAs).

Where is the Trusted Root Certificate Store in Windows 10?

The Trusted Root Certificate store in Windows 10 is a collection of root certificates for Certificate Authorities (CAs) considered trustworthy by the operating system.

This store is used to validate digital certificates and establish secure connections over the internet.

You must access the Microsoft Management Console to access the Trusted Root Certificate store in Windows 10.

The trusted Root Certificate store is, however, located in the root of the Registry path below:

Computer\HKEY_LOCAL_MACHINE

How do I add a certificate to the trusted root on Windows 10?

1. Install certificates from trusted CAs
2. Install Trusted Root Certificates with the Microsoft Management Console

1. Install certificates from trusted CAs

1. First, you’ll need to download a root certificate from a CA. For example, you could download one from the GeoTrust site.
2. Next, press Win key + R, enter secpol.msc in Run’s text box, and hit Enter (Windows 10 Home edition doesn’t include the Local Security Policy editor. If your Windows key doesn’t work, check our quick guide to fix it).
   
3. Then, click Public Key Policies and Certificate Path Validation Settings to open a Certificate Path Validation Settings Properties window.
   
4. Click the Stores tab and select the Define these policy settings check box, then tick its two checkboxes.
   
5. Select the Third-Party Root CAs and Enterprise Root CAs checkboxes and press the Apply then OK buttons to confirm.
   
6. Press the Win key + R hotkey, type certmgr.msc in Run’s text box, and hit Enter.
7. Click Trusted Root Certification Authorities, right-click Certificates, select All Tasks, and Import.
   
8. Press the Next button, click Browse, and select the digital certificate root file saved to your HDD.
   
9. Press Next again to select Automatically select the certificate store based on the type of certificate option.
10. Then you can press Next and Finish to wrap up the import wizard. A window will open, confirming that the import was successful.

Most Windows 10 users have no idea how to edit the Group Policy. Learn how you can do it by reading our simple article.

If you don’t have the Group Policy Editor on your Windows PC, get it right now in just a couple of easy steps with our guide on installing the Group Policy Editor on Windows 10.

2. Install Trusted Root Certificates with the Microsoft Management Console

1. Press the Win key + R hotkey to open the Run dialog.

2. Input mmc in Run and press Enter to open the window below.

3. Click File and then select Add/Remove Snap-ins to open the window in the snapshot below.

4. Next, you should select Certificates and press the Add button.

5. A Certificates Snap-in window opens from which you can select Computer account >Local Account, and press the Finish button to close the window.

6. Then press the OK button in the Add or Remove Snap-in window.

7. Now you can select Certificates and right-click Trusted Root Certification Authorities on the MMC console window as below.

8. Then you can click All Tasks > Import to open the Certificate Import Wizard window.

9. From the Certificate Import Wizard window, you can add the digital certificate to Windows.

You can also install root certificates on Windows 10/11 with the Microsoft Management Console. The process is easy and simple, and the console can be accessed via the Run dialog.

If Microsoft Management Console can’t create a new document, follow our guide’s easy steps to solve the issue.

Can’t load the Microsoft Management Console? Our step-by-step guide will help you sort things out.

How to add the certificate to Trusted Root Certification Authorities store using the command line?

1. Press Windows + R, type cmd, and hit Ctrl + Shift + Enter.
   
2. Type the script below and hit Enter (Substitute your certificate’s path for C:\Users\Downloads and your certificate’s name for mycertificate):
   certutil -addstore root C:\Users\\Downloads\mycertificate.cer

Now you’ve installed a new trusted root certificate in Windows 10. Similarly, you can add many more digital certificates to that OS and other Windows platforms.

Ensure that the third-party digital certificates come from trusted CAs, such as GoDaddy, DigiCert, Comodo, GlobalSign, Entrust, and Symantec.

If you have any more suggestions or questions, leave them in the comments section below, and we’ll certainly check them out.

В операционной системе Windows 7 пользователи могут столкнуться с ситуацией, когда им необходимо добавить сертификат в список доверенных. Сертификаты используются для проверки подлинности веб-сайтов и программного обеспечения, и добавление доверительного сертификата может быть необходимым для установления безопасного соединения. В этой подробной инструкции мы расскажем, как добавить сертификат в список доверенных на Windows 7.

Шаг 1: Открыть окно Управление сертификатами

Для начала, откройте меню «Пуск» и введите в поисковой строке «certmgr.msc». Нажмите Enter, чтобы открыть окно Управление сертификатами.

Шаг 2: Выбрать «Доверенные корневые центры сертификации»

В окне Управление сертификатами выберите «Доверенные корневые центры сертификации» в левой панели.

Шаг 3: Добавить сертификат

Чтобы добавить сертификат в список доверенных, выберите папку, в которую вы хотите добавить сертификат. Нажмите правой кнопкой мыши на папке и выберите «Все задачи» > «Импортировать». Следуйте инструкциям мастера импорта, чтобы добавить сертификат.

Примечание: перед тем, как добавить сертификат, убедитесь, что вы доверяете источнику сертификата и у вас есть соответствующие права доступа.

После успешного добавления сертификата в список доверенных, вы сможете использовать его для безопасного подключения к веб-сайтам и программному обеспечению. Эта инструкция поможет вам добавить сертификат в список доверенных на Windows 7 и обеспечить безопасность вашей системы.

Важно помнить, что добавление сертификатов должно выполняться с осторожностью и только если вы точно знаете, что сертификат является доверенным и безопасным. Неправильное добавление сертификатов может привести к уязвимостям безопасности вашей системы.

Как добавить сертификат в список доверенных на Windows 7

1. Откройте окно «Управление сертификатами», нажав клавишу Windows + R на клавиатуре, введите «certmgr.msc» и нажмите Enter.
2. В окне «Управление сертификатами» выберите «Доверенные корневые центры сертификации» в левой панели.
3. Щелкните правой кнопкой мыши на пустой области в правой панели и выберите «Все задачи» -> «Импортировать…».
4. Следуйте мастеру импорта сертификатов.
5. Выберите файл сертификата (.cer, .pfx, .p12 и т. д.), который вы хотите добавить в список доверенных.
6. Укажите расположение файла сертификата, нажмите «Открыть».
7. Выберите «Место размещения сертификата» в окне мастера импорта и нажмите «Далее».
8. Выберите «Все сертификаты в следующем хранилище» и нажмите «Далее».
9. Убедитесь, что выбран «Доверенные корневые центры сертификации» в качестве хранилища, и нажмите «Далее».
10. Проверьте настройки импорта сертификата и нажмите «Готово».

После завершения этого процесса выбранный сертификат будет добавлен в список доверенных на вашем компьютере с операционной системой Windows 7.

Подготовка к установке

Перед тем, как добавить сертификат в список доверенных на Windows 7, необходимо выполнить несколько предварительных действий:

После выполнения этих действий, вы будете готовы перейти к установке сертификата.

Установка необходимых программ

Для добавления сертификата в список доверенных на операционной системе Windows 7 необходимо установить несколько программ:

1. Microsoft Management Console (MMC) — это инструмент, который позволяет управлять различными компонентами системы Windows. Вы можете загрузить MMC на официальном веб-сайте Microsoft.
2. Certificate Snap-In — это компонент MMC, который позволяет управлять сертификатами. Чтобы установить Certificate Snap-In, выполните следующие шаги:
• Откройте окно «Запуск» (нажмите на кнопку «Пуск» и выберите «Запуск») или просто нажмите клавишу Windows + R.
• В поле «Открыть» введите «mmc» и нажмите клавишу Enter или нажмите кнопку «ОК».
• В окне MMC выберите «Файл» в верхнем меню, а затем «Добавить или удалить разделы (классы снэп-инов)».
• На вкладке «Доступно» найдите «Сертификаты» и установите флажок рядом с ним.
• Нажмите кнопку «Добавить >» и затем «Закрыть».
• Нажмите кнопку «ОК» в окне «Добавить или удалить разделы» и в окне MMC.
3. Internet Explorer (IE) — браузер, встроенный в операционную систему Windows. Вы можете загрузить последнюю версию IE с официального веб-сайта Microsoft.
4. Adobe Acrobat Reader — программа, которая позволяет просматривать и печатать файлы в формате PDF. Вы можете загрузить Acrobat Reader с официального веб-сайта Adobe.
5. Certificate — файл сертификата, который вы хотите добавить в список доверенных. Убедитесь, что у вас есть копия файла сертификата перед началом процедуры.

Добавление сертификата в список доверенных

Чтобы добавить сертификат в список доверенных на операционной системе Windows 7, следуйте указанным ниже шагам:

1. Нажмите клавишу «Пуск» на панели задач и выберите «Все программы».
2. В меню «Все программы» выберите папку «Аксессуары» и откройте «Системные инструменты».
3. В папке «Системные инструменты» найдите и запустите программу «Управление компьютером».
4. В открывшемся окне «Управление компьютером» выберите «Службы и приложения» и затем «Сертификаты».
5. Дважды щелкните на папке «Доверенные корневые центры сертификации» для ее раскрытия.
6. Щелкните правой кнопкой мыши на пустой области в папке «Доверенные корневые центры сертификации» и выберите «Все задачи», а затем «Импорт».
7. В мастере импорта сертификатов нажмите кнопку «Далее».
8. Выберите файл сертификата, который вы хотите добавить в список доверенных, и нажмите «Открыть».
9. При необходимости укажите пароль доступа к приватному ключу сертификата и нажмите «Далее».
10. Выберите «Разместить все сертификаты в следующем хранилище» и нажмите кнопку «Обзор».
11. Выберите пункт «Доверенные корневые центры сертификации» и нажмите «ОК», а затем «Далее».
12. Нажмите кнопку «Готово» для завершения процесса добавления сертификата в список доверенных.

После выполнения указанных выше шагов выбранный сертификат будет успешно добавлен в список доверенных на операционной системе Windows 7. Теперь вы сможете использовать данный сертификат для различных целей, таких как шифрование данных или авторизация на веб-сайтах.

Проверка установки

После того, как вы добавили сертификат в список доверенных на Windows 7, вам следует проверить, что установка прошла успешно.

Для этого откройте любой веб-браузер и перейдите на веб-сайт, который использует добавленный вами сертификат. Если сертификат был установлен правильно, вы не должны увидеть никаких предупреждений о недоверенности или недействительности сертификата.

Если вы по-прежнему видите предупреждения о сертификате, проверьте, что вы правильно выбрали раздел сертификатов, добавили все необходимые промежуточные сертификаты, а также что у вас нет других проблем с интернет-подключением или с настройками браузера.

Если установка сертификата все еще вызывает проблемы, рекомендуется обратиться за помощью к системному администратору или поставщику сертификатов.

Теперь вы можете быть уверены, что ваш компьютер доверяет и использует добавленный сертификат для безопасного просмотра веб-сайтов.

Skip to content

Введение

Сертификат – это контейнер для открытого ключа. Он включает в себя такую информацию как значение открытого ключа, имя сервера или пользователя, некоторую дополнительную информацию о сервере или пользователе, а также содержит электронную подпись, сформированную издающим центром сертификации (ЦС). Ранее мы уже писали о работе с сертификатами pfx с помощью openssl, теперь рассмотрим использование встроенных средств, а именно powershell.

Что такое сертификат PFX

Файл .pfx, который не следует путать с .cer, представляет собой архив PKCS#12; это пакет, который может содержать несколько объектов с дополнительной защитой паролем. Обычно он содержит сертификат (возможно, со своим набором цепочки сертификатов верхнеуровневых УЦ) и соответствующий закрытый ключ. В то время как PFX может содержать в себе несколько сертификатов, файл .cer содержит один единственный сертификат без пароля и закрытого ключа. В Windows все сертификаты находятся в логических местах хранения, называемых хранилищами сертификатов.

Одним из самых распространенных областей применения сертификатов PFX является подпись кода (code signing). Также, в случае защиты надежным паролем pfx можно передавать по открытым каналам связи.

Логические хранилища

Логические хранилища – это виртуальные месторасположения, в которых которых локально храняться сертификаты как для пользователя так и для компьютера. Powershell использует Cert PSDrive для сопоставления сертификатов с физическими хранилищами. Наименование логических хранилищ Certificates Microsoft Management Console (MMC) отличается от маркировки хранилища Cert PSDrive. В таблице ниже показано сравнение между ними:

Модуль PKI

Утилита MakeCert.exe, входящая в состав Microsoft .NET Framework SDK и Microsoft Windows SDK, используется для создания самоподписанного сертификата. В системе, где не установлен Windows SDK, для управления сертификатами используются команды модуля Powershell PKI.

Чтобы перечислить все команды, доступные в модуле PKI, выполните следующую команду:

Get-Command -Module PKI

Командлеты, используемые в этой статье, описаны ниже:

Export-PfxCertificate

Командлет Export-PfxCertificate экспортирует сертификат или объект PFXData в файл Personal Information Exchange (PFX). По умолчанию экспортируются расширенные свойства и вся цепочка.

Get-Certificate

КомандлетGet-Certificate можно использовать для отправки запроса на сертификат и установки полученного сертификата, установки сертификата из запроса на сертификат, а также для регистрации в службе каталогов протокола LDAP.

Get-PfxData

Командлет Get-PfxData извлекает содержимое файла Personal Information Exchange (PFX) в структуру, содержащую сертификат конечного субъекта, любые промежуточные и корневые сертификаты.

Import-PfxCertificate

КомандлетImport-PfxCertificate импортирует сертификаты и закрытые ключи из файла PFX в локальное хранилище.

New-SelfSignedCertificate

Командлет New-SelfSignedCertificate создает самоподписанный сертификат. С помощью параметра CloneCert указанный сертификат может быть создан на основе существующего сертификата с копированием всех параметров из оригинального сертификата, за исключением открытого ключа.

Поиск и выбор сертификата

В Powershell Cert: PSDrive используется для вывода списка сертификатов в определенном хранилище. Чтобы вывести оба хранилища в Cert: PSDrive, выполните следующую команду:

Get-ChildItem -Path Cert:

Будут показаны месторасположения сертификатов для CurrentUser и LocalMachine. Чтобы перечислить сертификаты для доверенных корневых центров сертификации LocalMachine, выполните следующую команду:

Get-ChildItem -Path Cert:\LocalMachine\Root\

Get-ChildItem -Path Cert:\LocalMachine\Root\ | Where-Object {$_.Subject.Contains("Microsoft")}

New-SelfSignedCertificate -DnsNameitsecforu-test.com -CertStoreLocation cert:\CurrentUser\My

Команда генерирует новый сертификат и устанавливает его в личное хранилище пользователя. При открытии certmgr.msc ( certlm.msc – для локального компьютера соответственно ) сертификат появится в разделе Personal. В выводе будут показаны сведения о только что созданном сертификате, включая его отпечаток:

$expiry_year = (Get-Date).AddYears(5)
New-SelfSignedCertificate -DnsName itsecforu-test.com -notafter $expiry_year -CertStoreLocation Cert:\CurrentUser\My

help New-SelfSignedCertificate -Full

Import-PfxCertificate -FilePath ./itsecforu.pfx -CertStoreLocation Cert:\CurrentUser\My -Password P@sw0rd

Import-PfxCertificate -FilePath ./itsecforu.pfx -CertStoreLocation Cert:\CurrentUser\Root -Password P@sw0rd 

Сертификаты могут быть созданы только в хранилище Cert:\LocalMachine\My или Cert:\CurrentUser\My .  Поскольку любой сертификат в этом месте по умолчанию помечен как недоверенный, чтобы сделать его легитимным, необходимо его переместить из Cert:\LocalMachine\My или Cert:\CurrentUser\My в Cert:\LocalMachine\Root и Cert:\CurrentUser\Root  соответственно.

Move-Item -Path$cert-Destination "Cert:\LocalMachine\Root"

$cert_name = "itsecforu-test.com"
ForEach ($cert in (ls cert:\CurrentUser\My)) {
If ($cert.Subject -eq "CN=$cert_name") {
 //the certificate can be deleted or edited in here 
}
 }

Экспорт сертификата pfx

Для экспорта сертификата pfx необходим пароль для шифрования закрытого ключа. В приведенном ниже примере мы используем значение Subject для поиска экспортируемого сертификата, выбрав сертификат, значение Subject которого равно itsecforu-test.com

$certificate = Get-ChildItem -Path Cert:\CurrentUser\My\ | Where-Object {$_.Subject -match "itsecforu-test.com"}

После выбора сертификата его можно экспортировать из места хранения в папку с помощью приведенной ниже команды:

$pass= "Qwerty123" | ConvertTo-SecureString -AsPlainText -Force
Export-PfxCertificate -Cert $certificate -FilePath $env:USERPROFILE\Documents\itsecforu-test.com.pfx  -Password $pass

Импорт сертификата pfx

Скаченные или экспортированные сертификаты pfx можно установить с помощью команды Import-PfxCertificate. Для импорта требуется пароль для сертификата и местоположение.

Команда ниже импортирует сертификат pfx, который мы экспортировали ранее:

$password= "Qwerty123" | ConvertTo-SecureString -AsPlainText -Force
Import-PfxCertificate -Exportable -Password $password -CertStoreLocation Cert:\CurrentUser\My -FilePath $env:USERPROFILE\Documents\itsecforu-test.com.pfx

Параметр -Exportable отмечает закрытый ключ как экспортируемый.

Как экспортировать сертификат cer из pfx

Для экспорта сертификата из файла pfx используется комбинированная команда Get-PfxCertificate и Export-Certificate. Get-PfxCertificate используется для поиска сертификата pfx, а Export-Certificate – для экспорта указанного сертификата в FilePath. Требуется ввод пароля от pfx контейнера Ниже приведенная команда экспортирует сертификат в кодировке DER (двоичный) из файла pfx.

Get-PfxCertificate -FilePath "C:\certs\Test.pfx" |

Export-Certificate -FilePath "C:\certs\Test.cer" -Type CERT 

Обратите внимание на параметр-Type, который используется для указания типа экспортируемого сертификата, в данном примере это сертификат CERT в кодировке DER (двоичный). Существуют и другие типы, они перечислены ниже.

-Type <CertType>
Указывает тип выходного файла для экспорта сертификатов следующим образом. 
-- SST: формат файла Microsoft serialized certificate store (.sst), который может содержать один или несколько сертификатов. Это значение по умолчанию для нескольких сертификатов. 
-- CERT: формат файла .cer, который содержит один сертификат в DER-кодировке. Это значение по умолчанию для одного сертификата. 
-- P7B: формат файла PKCS#7, который может содержать один или несколько сертификатов.

Удаление сертификата

Для удаления сертификата можно использовать команду Remove-Item в Powershell. Перед удалением сертификата необходимо узнать его значение thumbprint (отпечатка) или определить сам объект сертификата.

Удаление с помощью thumbprint

В приведенном ниже фрагменте для удаления используется отпечаток сертификата…

Get-ChildItem Cert:\CurrentUser\My\7da4d700318ee2a08f96aab9bc71990ca6376053| Remove-Item

Поиск и удаление сертификата с помощью сопоставления значений

Сертификат можно искать в хранилище с помощью команды Where-Object, которая принимает условный оператор, соответствующий искомому сертификату.

Get-ChildItem Cert:\CurrentUser\My |
Where-Object { $_.Subject -match 'itsecforu-test.com' } |
Remove-Item

Обратите внимание, что мы используем значения поля сертификата Subject , другие возможные параметры – Thumbprint и SerialNumber.

Диспетчер сертификатов Windows

Диспетчер сертификатов Windows (certmgr.msc) – это приложение с графическим интерфейсом Windows для управления сертификатами. Найдите certmgr в меню Пуск, чтобы открыть Windows Certificates MMC или введите certmgr.msc в командной строке. Вид консоли предоставляет собой обзор всех локальных хранилищ.

Сертификаты можно устанавливать, удалять, импортировать и экспортировать из диспетчера сертификатов Windows.