Оснастка для сертификатов windows 10

Данный материал является переводом оригинальной статьи «ATA Learning : Michael Soule : Manage Certs with Windows Certificate Manager and PowerShell».

Работа с сертификатами обычно является одной из тех дополнительных задач, которые вынужден брать на себя системный администратор Windows. Диспетчер Сертификатов Windows (Windows Certificate Manager) — это один из основных инструментов, который позволяет выполнять эту работу.

В этой статье мы рассмотрим работу с сертификатами применительно к операционной системе Windows. Если же вы хотите узнать больше о том, как работают сертификаты в целом, ознакомьтесь с сопутствующей статьей «Your Guide to X509 Certificates».

Понимание хранилищ сертификатов

В диспетчере сертификатов Windows все сертификаты находятся в логических хранилищах, называемых «хранилищами сертификатов». Хранилища сертификатов – это «корзины», в которых Windows хранит все сертификаты, которые в настоящее время установлены, и сертификат может находиться более чем в одном хранилище.

К сожалению, хранилища сертификатов — не самая интуитивно понятная концепция для работы. О том, как различать эти хранилища и как с ними работать, вы прочитаете ниже.

Каждое хранилище находится в Реестре Windows и в файловой системе. При работе с сертификатом в хранилище вы взаимодействуете с логическим хранилищем, не изменяя напрямую реестр или файловую систему. Этот более простой способ позволяет вам работать с одним объектом, в то время как Windows заботится о том, как представить этот объект на диске.

Иногда можно встретить хранилища сертификатов, называемые физическими или логическими хранилищами. Физические хранилища ссылаются на фактическую файловую систему или место в реестре, где хранятся разделы реестра и / или файл(ы). Логические хранилища — это динамические ссылки, которые ссылаются на одно или несколько физических хранилищ. С логическими хранилищами намного проще работать, чем с физическими хранилищами для наиболее распространенных случаев использования.

Windows хранит сертификаты в двух разных областях — в контексте пользователя и компьютера. Сертификат помещается в один из этих двух контекстов в зависимости от того, должен ли сертификат использоваться одним пользователем, несколькими пользователями или самим компьютером. В остальной части этой статьи сертификат в контексте пользователя и компьютера будет неофициально называться сертификатами пользователей и сертификатами компьютеров.

Сертификаты пользователей

Если вы хотите, чтобы сертификат использовался одним пользователем, то идеальным вариантом будет хранилище пользовательских сертификатов внутри Диспетчера сертификатов Windows. Это общий вариант использования процессов аутентификации на основе сертификатов, таких как проводной IEEE 802.1x.

Сертификаты пользователей находятся в профиле текущего пользователя и логически отображаются только в контексте этого пользователя. Сертификаты пользователей «сопоставлены» и уникальны для каждого пользователя даже в одних и тех же системах.

Компьютерные сертификаты

Если сертификат будет использоваться всеми пользователями компьютера или каким-либо системным процессом, его следует поместить в хранилище в контексте компьютера. Например, если сертификат будет использоваться на веб-сервере для шифрования связи для всех клиентов, размещение сертификата в контексте компьютера будет подходящим вариантом.

Вы увидите, что хранилище сертификатов компьютера логически сопоставлено для всех пользовательских контекстов. Это позволяет всем пользователям использовать сертификаты в хранилище сертификатов компьютера в зависимости от разрешений, настроенных для закрытого ключа.

Сертификаты компьютера находятся в кусте реестра локального компьютера и в подкаталогах \ProgramData. Сертификаты пользователя находятся в кусте реестра текущего пользователя и в подкаталогах \AppData. Ниже вы можете увидеть, где каждый тип хранилища находится в реестре и файловой системе.

Контекст	Путь реестра	Объяснение
User	HKEY_CURRENT_USER SOFTWARE\Microsoft\SystemCertificates\	Физическое хранилище для пользовательских открытых ключей
User	HKEY_CURRENT_USER SOFTWARE\Policies\Microsoft\SystemCertificates\	Физическое хранилище для пользовательских открытых ключей, установленных объектами групповой политики Active Directory (AD) (GPO)
Computer	HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\SystemCertificates\	Физическое хранилище общедоступных ключей для всей машины
Computer	HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Cryptography\Services\	Физическое хранилище ключей, связанных с определенной службой
Computer	HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\SystemCertificates\	Физическое хранилище открытых ключей для всей машины, установленных объектами групповой политики.
Computer	HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\EnterpriseCertificates\	Физическое хранилище общедоступных ключей, установленных корпоративными контейнерами PKI в домене AD

Контекст	Расположение файла	Объяснение
User	$env:APPDATA\Microsoft\SystemCertificates\	Физическое хранилище для пользовательских открытых ключей и указателей на закрытые ключи
User	$env:APPDATA\Microsoft\Crypto\	Физическое хранилище для контейнеров закрытых ключей для конкретных пользователей
Computer	$env:ProgramData\Microsoft\Crypto\	Физическое хранилище для контейнеров закрытых ключей для всей машины

Предварительные требования

В оставшейся части этой статьи вы найдете несколько примеров, демонстрирующих взаимодействие с хранилищами сертификатов Windows. Чтобы воспроизвести эти примеры, убедитесь, что выполняются следующие требования:

• Windows Vista, Windows Server 2008 или более новая операционная система. В показанных примерах используется Windows 10 Корпоративная версии 1903.
• Знакомство с PowerShell. Хотя это и не обязательно, этот язык будет использоваться для ссылки на сертификаты, где это необходимо. Все показанные примеры были созданы с помощью Windows PowerShell 5.1.
• Вам не потребуется устанавливать какие-либо специальные сертификаты, но использование самозаверяющего сертификата полезно.

Управление сертификатами в Windows

В Windows есть три основных способа управления сертификатами:

• Оснастка консоли управления Microsoft (MMC) сертификатов (certmgr.msc)
• PowerShell
• Инструмент командной строки certutil

В этой статье вы узнаете, как управлять сертификатами с помощью оснастки Certificates MMC и PowerShell. Если вы хотите узнать больше о том, как использовать certutil, ознакомьтесь с документацией Microsoft.

PowerShell против диспетчера сертификатов Windows

Поскольку в Windows можно управлять сертификатами несколькими способами, встаёт вопрос выбора, что лучше использовать — GUI (MMC) или командную строку с PowerShell.

Во-первых, рассмотрим жизненный цикл сертификата. Если вы собираетесь установить или удалить один сертификат только один раз, рассмотрите возможность использования MMC. Но если вы управляете несколькими сертификатами или выполняете одну и ту же задачу снова и снова, использование командной строки может оказаться правильным решением. Даже если вы не умеете писать сценарии PowerShell, вам стоит этому научиться, если у вас есть много разных сертификатов, которыми нужно управлять.

Давайте сначала посмотрим, как обнаружить сертификаты, установленные в Windows, с помощью диспетчера сертификатов и PowerShell.

Использование диспетчера сертификатов Windows (certmgr.msc)

Чтобы просмотреть сертификаты с помощью MMC, откройте Диспетчер сертификатов: откройте меню «Пуск» и введите certmgr.msc. Это вызовет Windows Certificates MMC. Это начальное представление предоставит обзор всех логических хранилищ, отображаемых в левом окне.

На снимке экрана ниже видно, что выбрано логическое хранилище доверенных корневых центров сертификации

Просмотр физических хранилищ

По умолчанию Диспетчер сертификатов Windows не отображает физические хранилища. Чтобы показать их, в верхнем меню оснастки выбирайте «View» > «Options«. Затем вы увидите варианты отображения физических хранилищ сертификатов. Включение этого параметра упрощает определение конкретных путей в Windows.

Теперь вы можете видеть, что дополнительные контейнеры показаны в примере логического хранилища доверенных корневых центров сертификации, показанном ранее. Сертификаты по-прежнему сгруппированы относительно их логических хранилищ, но теперь вы можете увидеть физическое хранилище «Реестр».

Проверка атрибутов в диспетчере сертификатов Windows

Есть много атрибутов сертификата, которые вы можете увидеть при просмотре их с помощью MMC. Например, вы, вероятно, захотите выбрать определенные сертификаты по их атрибутам. Самый простой способ сделать это — указать Serial Number сертификата или значение Thumbprint. Если сертификат был подписан центром сертификации (CA), при выдаче он будет иметь серийный номер. Thumbprint вычисляется каждый раз при просмотре сертификата.

Вы можете увидеть некоторые атрибуты сертификата, открыв его в MMC, как показано ниже.

Следует отметить одну важную особенность — встроенные закрытые ключи. Сертификаты в Windows также могут иметь соответствующий закрытый ключ. Эти закрытые ключи хранятся в соответствующих физических хранилищах в виде зашифрованных файлов.

Чтобы быстро отличать сертификаты с соответствующим закрытым ключом и без него, посмотрите на значок сертификата. В Диспетчере сертификатов Windows, если значок просто выглядит как лист бумаги с лентой, соответствующий закрытый ключ отсутствует. Если у сертификата есть закрытый ключ, вы увидите ключ на значке MMC, и ключ в нижней части вкладки «Общие» при открытии сертификата

Использование PowerShell по физическому хранилищу

Как и в случае с MMC, вы можете просматривать сертификаты и управлять ими с помощью PowerShell. Давайте сначала проверим сертификаты в их физических хранилищах (реестр и файловая система).

Используя PowerShell командлет Get-ChildItem, вы можете перечислить все ключи и значения внутри родительского пути в реестре. Приведенная ниже команда перечислит все сертификаты вошедшего в систему пользователя в логическом хранилище промежуточных центров сертификации.

Get-ChildItem -Path 'HKCU:\Software\Microsoft\SystemCertificates\CA\Certificates'

Каждая запись в кусте реестра, который вы видите, будет соответствовать отпечатку сертификата доверенного центра сертификации и его сертификату в соответствующем свойстве. Вы можете увидеть пример вывода ниже.

Другое распространенное хранилище — это Personal store. Ваши сертификаты для этого хранилища находятся в файловой системе, а не в реестре. В следующих командах мы покажем эти различные физические пути и их цели.

Каждый файл в каталоге, возвращенный приведенной ниже командой, соответствует сертификату, установленному в личном хранилище текущего пользователя.

Get-ChildItem -Path $env:APPDATA\Microsoft\SystemCertificates\My\Certificates\

Каждый файл, возвращаемый в приведенной ниже команде, является ссылкой на объект для закрытого ключа, созданный поставщиком хранилища ключей (KSP). Имя файла соответствует идентификатору ключа субъекта сертификата. К каждому устанавливаемому вами закрытому ключу будет добавлен соответствующий файл.

Get-ChildItem -Path $env:APPDATA\Microsoft\SystemCertificates\My\Keys\

Каждый файл в каталоге, возвращаемый следующей командой, является уникальным контейнером для зашифрованного закрытого ключа, созданного KSP. Нет прямой связи между именем файла и сертификатом, но файл является целью указателя в предыдущей команде.

Get-ChildItem -Path $env:APPDATA\Microsoft\Crypto\Keys

Использование PowerShell по логическому хранилищу

Поскольку работа с сертификатами на их физических путях встречается редко, в остальных примерах вы будете работать с логическими хранилищами.

PowerShell может получить доступ к логическим хранилищам Windows с помощью PSDrive-объекта «Cert:\«, который сопоставляет сертификаты с физическими хранилищами так же, как это делает MMC.

К сожалению, MMC и «Cert:» не маркируют логические хранилища одинаково. Ниже вы можете увидеть сравнительную таблицу общих хранилищ и их названий как в MMC, так и в «Cert:» PSDrive.

Cert:	Certificates MMC
My	Personal
Remote Desktop	Remote Desktop
Root	Trusted Root Certification Authorities
CA	Intermediate Certification Authorities
AuthRoot	Third-Party Root Certification Authorities
TrustedPublisher	Trusted Publishers
Trust	Enterprise Trust
UserDS	Active Directory User Object

Выбор сертификатов

Когда вы работаете с сертификатами, вам понадобится способ фильтрации и выбора сертификатов для выполнения определенных операций. В большинстве случаев вы будете фильтровать и выбирать сертификаты на основе значения определенного расширения.

Для следующих примеров вам нужно начать с перечисления всех установленных сертификатов в хранилище корневого ЦС.

Get-ChildItem -Path 'Cert:\CurrentUser\Root\'

Возвращенные объекты будут объектами сертификатов, которые вы можете использовать в следующих примерах.

Общие расширения уже доступны как свойства объектов сертификата. В приведенном ниже примере вы используете Get-Member для вывода списка всех свойств возвращаемых объектов.

Get-ChildItem -Path 'Cert:\CurrentUser\Root\' | Get-Member -MemberType Properties

Как видим, некоторые из этих расширений, например «Issuer», помогают найти сертификат, который вы ищете. Расширения предоставляют информацию о сертификате, например, кому он выдан, для чего его можно использовать и любые ограничения на него.

В более сложных случаях использования вам может понадобиться найти сертификаты других расширений, таких как используемый шаблон сертификата. Сложность в том, что значения этих расширений возвращаются как массив целых чисел. Эти целые числа соответствуют содержимому в кодировке ASN.1.

Покажем пример взаимодействия с свойствами типа ScriptProperty. В приведенной ниже команде вы извлекаете Key Usages.

((Get-ChildItem -Path 'Cert:\CurrentUser\Root\' | Select -First 1).Extensions | Where-Object {$_.Oid.FriendlyName -eq 'Key Usage'}).format($true)

Новая часть, которую мы вводим в приведенной выше команде, — это метод форматирования, который выполняет декодирование ASN.1. Вы передаете ему логическое значение (например, $true), чтобы определить, хотим ли мы, чтобы возвращаемый объект был однострочным или многострочным.

Попробуем использовать значение Thumbprint из сертификата в приведенной ниже команде. Значение Thumbprint устанавливается как переменная PowerShell и используется для выбора конкретного сертификата в приведенных ниже командах.

$thumb = "cdd4eeae6000ac7f40c3802c171e30148030c072"
Get-ChildItem -Path 'Cert:\CurrentUser\Root\' | Where-Object {$_.Thumbprint -eq $thumb}

Создание самозаверяющих (self-signed) сертификатов с помощью PowerShell

PowerShell может создавать самозаверяющие (self-signed) сертификаты с помощью командлета New-SelfSignedCertificate. Самозаверяющие сертификаты полезны для тестирования, поскольку они позволяют генерировать пару открытого и закрытого ключей без использования центра сертификации.

Теперь давайте создадим самозаверяющий сертификат в хранилищах текущего пользователя и локального компьютера, чтобы использовать его в примерах для следующих шагов.

В приведенном ниже примере PowerShell создает пару открытого и закрытого ключей, самозаверяющий сертификат и устанавливает их все в соответствующие хранилища сертификатов.

New-SelfSignedCertificate -Subject 'User-Test' -CertStoreLocation 'Cert:\CurrentUser\My'
New-SelfSignedCertificate -Subject 'Computer-Test' -CertStoreLocation 'Cert:\LocalMachine\My'

Использование самозаверяющих сертификатов для продуктивных сервисов не рекомендуется, поскольку не существует всех механизмов, основанных на доверии.

Импорт и экспорт сертификатов в MMC

Криптография с открытым ключом основана на широкой доступности открытого ключа. Учитывая это, вам нужны стандартные способы эффективного обмена сертификатами. Не менее важна безопасность ваших личных ключей. Хранение закрытых ключей на недоступных носителях или с материалами для аварийного восстановления — обычная практика для определенных закрытых ключей.

Оба они требуют способов хранения этих криптографических объектов в стандартных форматах. Экспорт предоставляет функции для сохранения этих объектов и обеспечения использования широко распространенных стандартных форматов файлов. Импорт позволяет вам переносить криптографические объекты в операционные системы Windows.

Экспорт сертификатов из MMC относительно прост. Чтобы экспортировать сертификат без закрытого ключа, щелкните сертификат в MMC, выберите меню «Все задачи», а затем «Экспорт».

Во время экспорта вам будет предложено указать формат файла, как показано ниже. Наиболее распространены варианты кодирования — DER или Base-64

Экспорт закрытых ключей

Чтобы экспортировать сертификат с соответствующим закрытым ключом, вы должны соответствовать двум критериям:

• Вошедшая в систему учетная запись должна иметь разрешение на закрытый ключ (только для сертификатов компьютеров);
• Закрытый ключ должен быть помечен как экспортируемый.

Чтобы проверить разрешения для закрытых ключей локального компьютера, вы можете выбрать сертификат с закрытым ключом, выбрать «Все задачи» и «Управление закрытыми ключами» в MMC «Сертификаты». В открывшемся диалоговом окне отображаются записи управления доступом для закрытых ключей.

Когда выше обозначенные условия выполнены, вы можете выбрать сертификат, щелкнуть «Все задачи», а затем «Экспорт», как если бы вы использовали сертификат только с открытым ключом. При экспорте теперь у вас должна присутствовать возможность выбора экспорта закрытого ключа («Yes, export the private key»), как показано ниже.

Когда вы экспортируете закрытый ключ в Windows, вы можете сохранить файл только как PFX. Этот и другие типы файлов и форматы кодирования подробно описаны в этом посте.

Для остальных параметров, отображаемых в мастере экспорта, вы можете использовать значения по умолчанию. В таблице ниже приводится краткое изложение каждого из них.

Настройка	Описание
Including all certificates in the certification path if possible	Помогает с переносимостью эмитентов сертификатов и включает все соответствующие открытые ключи в PFX.
Delete the private key if the export is successful	Удаляет закрытый ключ из файла и имеет несколько распространенных вариантов использования, но одним из примеров является проверка доступа к закрытым ключам.
Export all extended properties	Будет включать любые расширения в текущем сертификате, они относятся к сертификатам [конкретные настройки] для интерфейсов Windows.
Enable certificate privacy	Обычно в экспортируемом PFX-файле шифруется только закрытый ключ, этот параметр шифрует все содержимое PFX-файла.
Group or user names	Вы можете использовать участника безопасности группы или пользователя из Active Directory для шифрования содержимого файла PFX, но пароль является наиболее переносимым вариантом для устаревших систем или компьютеров, не присоединенных к тому же домену.

Импорт сертификатов

Функция импорта одинакова для всех поддерживаемых типов файлов сертификатов. Единственная разница в том, что если файл содержит закрытый ключ, вы можете «Отметить этот ключ как экспортируемый», о чем вы узнаете подробнее ниже. Windows будет использовать мастер импорта сертификатов.

При использовании мастера импорта сертификатов для PFX вам потребуется указать пароль, используемый для шифрования закрытого ключа. Вот еще один обзор вариантов импорта.

Настройка	Описание
Enable strong private key protection	Требуется пароль для каждого доступа к закрытому ключу. Будьте осторожны с новыми функциями, поскольку они не будут поддерживаться во всех программах.
Mark this key as exportable	Вы должны стараться избегать использования этого параметра в любой конечной системе, закрытые ключи следует рассматривать так же, как и хранение паролей.
Protect private key using [virtualization-based security]	Этот параметр обеспечивает дополнительные функции безопасности для защиты закрытых ключей от сложных атак вредоносного ПО.
Include all extended properties	Относится к тем же настройкам Windows, что и при экспорте.

Сертификаты для подписи кода PowerShell — хороший вариант использования надежной защиты закрытого ключа.

С автоматическим размещением сертификатов следует проявлять осторожность. Скорее всего, вы получите наилучшие результаты, выбрав хранилище сертификатов вручную.

Импорт и экспорт сертификатов в PowerShell

Теперь с помощью PowerShell экспортируйте один из самозаверяющих сертификатов, которые вы создали ранее. В этом примере вы выбираете сертификат в личном логическом хранилище CurrentUser, который был самозаверяющим.

$certificate = Get-Item (Get-ChildItem -Path 'Cert:\CurrentUser\My\' | Where-Object {$_.Subject -eq $_.Issuer}).PSPath

Теперь, когда вы выбрали сертификат, вы можете использовать команду Export-Certificate, чтобы сохранить файл в кодировке DER, используя команду ниже.

Export-Certificate -FilePath $env:USERPROFILE\Desktop\certificate.cer -Cert $certificate

Теперь давайте посмотрим на экспорт закрытого ключа. Ниже вы проверяете, что у выбранного сертификата есть закрытый ключ. Если он не возвращает True, то команда Get-Item, скорее всего, выбрала неправильный сертификат.

$certificate.HasPrivateKey

Ниже вы установите пароль, который будет использоваться для шифрования закрытого ключа. Затем экспортируйте выбранный сертификат в файл PFX и используйте пароль, который вы ввели ранее, чтобы зашифровать файл.

$pfxPassword = "ComplexPassword!" | ConvertTo-SecureString -AsPlainText -Force
Export-PfxCertificate -FilePath $env:USERPROFILE\Desktop\certificate.pfx -Password $pfxPassword -Cert $certificate

В случае, если необходимо выполнить импорт, как и при экспорте, есть две команды. Одна команда для импорта сертификатов и одна для импорта файлов PFX.

Ниже команда Import-Certificate импортирует файл в формате DER, который вы экспортировали ранее, в личное хранилище текущего пользователя.

Import-Certificate -FilePath $env:USERPROFILE\Desktop\certificate.cer -CertStoreLocation 'Cert:\CurrentUser\My'

Допустим, вы тоже хотите установить закрытый ключ этого сертификата.

$pfxPassword = "ComplexPassword!" | ConvertTo-SecureString -AsPlainText -Force
Import-PfxCertificate -Exportable -Password $pfxPassword -CertStoreLocation 'Cert:\CurrentUser\My' -FilePath $env:USERPROFILE\Desktop\certificate.pfx

Имейте в виду, что пароль должен быть защищенной строкой. Кроме того, если вы импортируете в хранилище локального компьютера (например, «Cert:\LocalMachine«), вам нужно будет запустить команду из командной строки администратора с повышенными привилегиями.

В приведенном выше примере вы также используете параметр -Exportable с командой, отмечая закрытый ключ как экспортируемый в будущем. По умолчанию (без указания этого параметра) экспорт не используется. Экспортируемые закрытые ключи – отельный аспект информационной безопасности, заслуживающий отдельного внимания.

Удаление сертификатов с помощью PowerShell

При удалении сертификатов помните, что понятие «Корзина Windows» в этом случае отсутствует. Как только вы удалите сертификат, он исчезнет! Это означает, что очень важно подтвердить, что вы удаляете правильный сертификат, путем проверки уникального идентификатора, такого как серийный номер или значение расширения Thumbprint.

Как и выше, в приведенной ниже команде мы выбираем самозаверяющий сертификат из личного хранилища текущего пользователя.

$certificate = Get-Item (Get-ChildItem -Path 'Cert:\CurrentUser\My\' | Where-Object {$_.Subject -eq $_.Issuer}).PSPath

Ниже вы можете увидеть свойства отпечатка, серийного номера и темы для выбранного сертификата, чтобы убедиться, что это именно тот сертификат, который вы собираетесь выбрать.

$certificate.Thumbprint
$certificate.SerialNumber
$certificate.Subject

Убедитесь, что вы выбрали правильный сертификат, который собираетесь удалить.

Приведенная ниже команда удаляет все выбранные объекты сертификата, используйте с осторожностью! Передав объект $certificate через конвейер в командлет Remove-Item в приведенной ниже команде, вы удалите все содержимое сертификата без каких-либо запросов на проверку.

$certificate | Remove-Item

Резюме

На протяжении всей этой статьи вы работали с сертификатами в Windows, изучая, как получить к ним доступ, и некоторые инструменты, которые можно использовать при работе с ними. По этой теме можно изучить гораздо больше, в том числе о том, как связать установленные сертификаты с конкретными службами или даже о том, как реализовать инфраструктуру закрытого открытого ключа (PKI) путем развертывания собственных центров сертификации (CA).

Что такое сертификаты Windows 10

Сертификат — это зашифрованные файлы с личной информацией, посредством которых обеспечивается безопасный обмен данными в сети между сторонами, участвующими в таком обмене. Благодаря сертификатам пользователь или субъект может быть идентифицирован издателем или владельцем. По такому принципу работают сайты государственных услуг. Для подачи запроса на получение какого-либо документа нет необходимости лично ехать в госорган и предоставлять паспорт, ваша личность подтверждается с помощью цифрового сертификата.

Сертификат включает в себя поле открытый ключ владельца, в который пользователем вносятся данные и после чего передаются в зашифрованном виде. Для открытия сообщений и их расшифровки владелец использует закрытый ключ. Сертификаты выдаются центром сертификации (удостоверяющим центром) — органом или организацией которые, как правило, являются сторонними издателями сертификатов.

Где хранятся сертификаты

Для хранения сертификатов используются специальные хранилища. В системе они представлены обычно 2-мя типами:

• хранилище локального компьютера
• хранилище текущего пользователя.

Пользователь с правами администратора имеет возможность просмотра всех хранилищ. Обычные пользователи, не обладающие правами администратора, имеют доступ лишь ко второму типу.

В хранилище локального компьютера содержатся сертификаты глобальные для всех пользователей, а в хранилище текущего пользователя находятся сертификаты для конкретной учетной записи.

В свою очередь хранилища внутри разделяются на вложенные хранилища, т.е. сертификаты группируются в зависимости от назначения сертификата.

Сертификаты для текущего пользователя наследуют содержимое хранилищ с сертификатами локального компьютера.

Просмотр сертификатов

Если в работе с сертификатами перед вами встал вопрос о необходимости их просмотра, проверки каких-либо свойств или просто из любопытства ниже мы рассмотрим доступные для этих целей способы.

С помощью консоли управления

На клавиатуре наберите сочетание клавиш Win+R → в строку открыть введите «MMC» → Ok. Если на экран будет выведено окно контроля учетных записей нажмите кнопку «Да», тем самым дав разрешение на внесение изменений приложением.

После открытия консоли в меню Файл → выберите Добавить или удалить оснастку.

В открывшемся окне справа вы увидите список доступных оснасток. Выберите Сертификаты → нажмите кнопку Добавить.

Далее будет предложено выбрать какими сертификатами нужно управлять. Выберите «учетной записи компьютера» → Далее.

Если вы не являетесь администратором компьютера управление сертификатами можно будет осуществлять только для учетной записи пользователя под которой был выполнен вход в систему.

В следующем окне оставьте выбранным параметр «локальным компьютером» → нажмите кнопку Готово.

Вы вернетесь к окну Добавление и удаление оснасток, где в выбранных оснастках (слева) появятся Сертификаты (локальный компьютер) → нажмите Ok.

В Корне консоли разверните список каталогов. Все установленные сертификаты будут отсортированы по типам. Раскрыв нужный тип можно выполнить просмотр, экспорт, импорт или удаление сертификатов.

Диспетчер сертификатов

Для просмотра сертификатов пользователя можно воспользоваться командой certmgr.msc (сертификаты локального компьютера можно открыть командой certlm.msc) введя ее в диалоговое окно Выполнить. После чего будет открыт диспетчер сертификатов. Для просмотра нужного типа щелкните по сертификату в левой части окна.

Internet Explorer

Запустите браузер Internet Explorer (например, найдя его через кнопку Поиск на панели задач) → щелкните по значку в виде шестеренки Сервис (или Alt+X) → Свойства браузера.

В окне Свойств браузера перейдите ко вкладке Содержание → в разделе Сертификаты щелкните одноименную кнопку.

В открывшемся окне можно управлять установленными сертификатами (! не имея при этом прав администратора в системе). Для удобства просмотра можно отфильтровать их по назначению либо воспользоваться вкладками, группирующими сертификаты по типу.

Окно свойство браузера можно также открыть через Панель управления. Для этого откройте классическую Панель управления → Свойства браузера → Содержание → Сертификаты.

How to View Certificates on Windows 10 (Using Windows 10 Certificate Manager)

Home » How to View Certificates on Windows 10 (Using Windows 10 Certificate Manager)

(1 votes, average: 5.00 out of 5)

This brief guide introduces you to Windows 10 Certificate Manager. This tool allows you to view and manage installed digital certificates on Windows devices as well as view CRLs and CTLs as well

When you install digital certificates onto your computer, there’s one place where they should be imported right away: the Windows 10 Certificate Manager. This tool is an easy-to-use console where you can view installed certificates on your Windows 10 device all in one place. This includes:

• Code signing certificates
• Client authentication certificates
• Document signing certificates.

But the Windows 10 Certificate Manager doesn’t store only your personal or organizational certificates — it’s also where you can view:

• All publicly trusted root certificates that are pre-installed on your device,
• Certificate revocation lists (CRLs), and
• Certificate trust lists (CTLs).

This article will familiarize you with the Windows 10 Certificate Manager tool that’s built into your machine. After that, we’ll walk you through the processes of how to view both organizational and publicly trusted digital certificates that are installed on your device.

What Is the Windows 10 Certificate Manager? It’s How You Can View Installed Certificates

The Certificate Manager is a console that comes installed on every modern Windows computer. It’s a tool that enables you to do many things relating to digital certificates that are installed on your device, including:

• View installed certificates,
• Modify your certificates,
• Export existing certificates,
• Delete existing certificates, and
• Import new certificates.

This is also where you can view your device’s trust store for publicly trusted certificates (i.e., certificates issued by trusted certificate authorities [CAs]) that come pre-installed on your device. More on that toward the end of the article. But first, there’s one other important thing to mention before we move on to how to view certificates in Windows 10.

There are Two Types of Window Certificate Manager Tools (Snap-In vs Command-Line Utility)

Certmgr.msc is a Microsoft Management Console (MMC) snap-in. The snap-in is a handy interface where you can add specific tools to your device’s admin console (e.g., a certificate manager). This differs from the Certmgr.exe, which is a command-line utility certificate manager.

Now that we know what Windows Certificate Manager console is and why it’s useful, let’s get right to how you can use it to view, delete or install certificates onto your device.

How to View Installed Certificates on Windows 10 (Organizational & Individual Certificates)

1. First, open your Windows 10 Certificate Manager. You can do this by typing either Cert or Certificate in the run menu.

2. Select the Manage user certificates option at the top of the menu. This will populate another window title Certmgr. This is the Certificate Manager tool, which allows you to view installed certificates on Windows 10.

3. In the left pane, double-click the Personal folder to display a sub-folder titled Certificates.

4. Select the Certificates folder in the left navigation to view the list of digital certificates you have installed on your machine. These will display in the right pane.

That’s it! Now, you can view any of these individual certificates by simply double-clicking on it. Doing this will open a new window that displays the digital certificate’s information, including:

• The certificate’s intended uses,
• Who it’s assigned to, and
• What trusted certificates it stems from and whether it’s trustworthy.

Now you know how to view installed certificates on Windows 10! Of course, if you’re curious to know what certificates you have installed on your device through Windows, then keep reading.

This will display a folder labeled Certificates, which will display the trusted root certificates that are installed on your device:

That’s it! As you can see, understanding how to view certificates on Windows 10 isn’t complicated at all once you know what it is you’re looking for. There’s really nothing to it.

If you want to learn how to import or install a code signing certificate on Windows, check out our other guide.

В операционной системе Windows 10 используется оснастка для управления сертификатами. Сертификаты играют важную роль в обеспечении безопасности системы, позволяя идентифицировать и проверять подлинность прикладных программ, веб-сайтов и пользовательских данных. Правильное управление сертификатами может быть сложной задачей, но благодаря оснастке Windows 10 она становится проще и удобнее.

Оснастка для управления сертификатами Windows 10 обеспечивает широкий набор возможностей. С ее помощью вы можете просматривать, устанавливать и удалять сертификаты, обновлять их, а также настраивать параметры безопасности. Благодаря оснастке вы сможете контролировать процесс выдачи и использования сертификатов в системе, а также обеспечить их актуальность и безопасность.

Основная функциональность оснастки для сертификатов Windows 10 заключается в управлении доступом к сертификатам и настройке их параметров безопасности. Вы сможете указать, какие программы и службы имеют доступ к сертификатам, а также задать политику безопасности для их использования. Это позволит предотвратить несанкционированное использование сертификатов и защитить систему от угроз безопасности.

Важно отметить, что корректное управление и обеспечение безопасности сертификатов Windows 10 являются критически важными задачами для защиты вашей системы и данных. Неправильное использование и управление сертификатами может привести к подмене их или несанкционированному доступу, что повлечет за собой потерю данных и нарушение безопасности вашей системы.

В заключение, оснастка для сертификатов Windows 10 предоставляет обширный набор возможностей для управления и обеспечения безопасности сертификатов. Корректное использование и настройка сертификатов с помощью оснастки Windows 10 поможет предотвратить несанкционированный доступ и защитить ваши данные. Запомните, что безопасность системы зависит от правильного использования сертификатов, поэтому необходимо уделить должное внимание их управлению.

Оснастка для сертификатов Windows 10: безопасность и управление

Сертификаты в операционной системе Windows 10 играют важную роль в обеспечении безопасности и управлении различными сервисами и приложениями. Оснастка для сертификатов в Windows 10 предоставляет средства для управления сертификатами, включая их инсталляцию, удаление и просмотр.

Оснастка для сертификатов Windows 10 позволяет импортировать сертификаты из различных форматов, включая .pfx, .p12 и .cer. После импорта сертификата он становится доступным для использования в различных приложениях и службах, таких как веб-серверы, электронная почта и VPN.

Кроме того, оснастка для сертификатов Windows 10 позволяет управлять цепочкой доверия сертификатов. Это позволяет устанавливать доверие к корневым сертификатам и промежуточным сертификатам, что обеспечивает безопасное соединение с серверами. Также оснастка позволяет отозвать сертификаты, если они были компрометированы или утеряны.

Оснастка для сертификатов Windows 10 также предоставляет возможности для работы с личными сертификатами. Личные сертификаты используются для аутентификации пользователя в различных системах, таких как учетные записи пользователя, электронная почта и VPN. Оснастка позволяет создавать новые личные сертификаты, экспортировать их для использования на других устройствах и удалить ненужные или устаревшие сертификаты.

Важно отметить, что правильное управление и обеспечение безопасности сертификатов в Windows 10 является критическим аспектом для защиты информации и обеспечения безопасности системы. Регулярное обновление сертификатов, контроль их целостности и правильная настройка цепочки доверия позволяют предотвратить возможные атаки и обеспечить безопасность системы Windows 10.

Установка и настройка оснастки для сертификатов Windows 10

1. Скачайте оснастку для сертификатов Windows 10 с официального сайта Microsoft.
2. Запустите загруженный файл и следуйте указаниям мастера установки.
3. После установки оснастки, откройте «Диспетчер сертификатов» через меню «Пуск».
4. В окне «Диспетчер сертификатов» выберите нужный раздел (например, «Личное»).
5. Нажмите правой кнопкой мыши на пустом месте в окне раздела и выберите «Все задачи» > «Импорт».
6. Выберите файл сертификата, который вы хотите импортировать, и нажмите «Открыть».
7. Следуйте указаниям мастера импорта сертификата, установите необходимые параметры и нажмите «Готово».
8. После успешного импорта сертификата он будет отображаться в окне раздела «Диспетчер сертификатов».

Теперь вы можете управлять своими сертификатами Windows 10 с помощью оснастки. Вы можете добавлять новые сертификаты, удалять ненужные, экспортировать их или устанавливать зависимости для них. Оснастка предоставляет вам все необходимые инструменты для обеспечения безопасности сертификатов в операционной системе Windows 10.

Обеспечение безопасности оснастки для сертификатов Windows 10

В операционной системе Windows 10 оснастка для сертификатов играет важную роль в обеспечении безопасности системы. Оснастка позволяет управлять сертификатами, выполнять задачи аутентификации и шифрования, а также обеспечивает защиту приватности.

Для обеспечения безопасности оснастки для сертификатов Windows 10 необходимо принять ряд мер:

1. Управление сертификатами

Важно регулярно обновлять и управлять сертификатами, чтобы избежать использования устаревших или скомпрометированных сертификатов. Необходимо также проверять подлинность выпущенных сертификатов и отозвать недействительные сертификаты при необходимости. Для управления сертификатами можно использовать инструменты, предоставляемые операционной системой Windows 10 или сторонние программы.

2. Проверка подлинности сертификатов

Оснастка для сертификатов Windows 10 предоставляет возможность проверять подлинность сертификатов. Это позволяет убедиться в том, что сертификаты были выпущены надежными удостоверяющими центрами и не были подделаны. Проверка подлинности сертификатов особенно важна при взаимодействии с непроверенными или незнакомыми устройствами или сервисами.

3. Шифрование данных

Для обеспечения безопасности оснастка для сертификатов Windows 10 предоставляет возможность использования шифрования данных. Шифрование позволяет защитить передаваемую информацию от несанкционированного доступа. В Windows 10 можно использовать различные алгоритмы шифрования, такие как RSA или AES, а также определить параметры шифрования, включая длину ключа.

4. Защита приватности

Оснастка для сертификатов Windows 10 также обеспечивает защиту приватности. Это достигается благодаря использованию сертификатов для аутентификации пользователей, защите личных данных и контролю доступа к информации. В случае утери или компрометации сертификатов можно отозвать их, что поможет предотвратить несанкционированный доступ к защищенной информации.

В целом, обеспечение безопасности оснастки для сертификатов Windows 10 является важной задачей, которая помогает защитить систему от угроз и повысить безопасность передаваемой информации. Правильное управление сертификатами, проверка подлинности, использование шифрования и защита приватности – ключевые меры, которые следует принять для обеспечения безопасности оснастки для сертификатов Windows 10.

Управление сертификатами в Windows 10: функции и возможности

Сертификаты в операционной системе Windows 10 играют важную роль в обеспечении безопасности и защите данных. Оснастка для управления сертификатами предоставляет различные функции и возможности, позволяющие эффективно управлять и контролировать сертификаты.

Одна из главных функций оснастки — это генерация и установка сертификатов. Пользователи могут создавать новые сертификаты либо импортировать уже существующие. Также есть возможность экспортировать сертификаты в другие приложения или на другие компьютеры.

Оснастка для сертификатов также позволяет просматривать и управлять существующими сертификатами. Пользователи могут просмотреть информацию о сертификатах, включая срок действия и список разрешений. Кроме того, можно управлять доверенными корневыми сертификатами и сертификатами промежуточных центров сертификации.

Для обеспечения безопасности и надежности системы, оснастка предоставляет возможность отзыва сертификатов. Пользователи могут отозвать сертификаты, если они были утеряны или скомпрометированы. Это позволяет предотвратить несанкционированное использование сертификатов и защитить данные.

Дополнительные функции оснастки включают проверку цепочек сертификации и управление сертификатами установленных служб. При помощи проверки цепочек сертификации можно убедиться в корректности установленных сертификатов и отследить любые потенциальные проблемы. Управление сертификатами установленных служб позволяет контролировать, какие службы имеют доступ к сертификатам и какие операции они могут выполнять.

В целом, оснастка для управления сертификатами в Windows 10 предоставляет широкий спектр функций и возможностей, позволяющих эффективно управлять и контролировать сертификаты. Это важный аспект обеспечения безопасности и защиты в операционной системе Windows 10.