Все способы:
- Что такое сертификаты ЭЦП
- Способ 1: Использование оснастки «certmgr»
- Способ 2: Через апплет «Свойства браузера»
- Удаление сертификата в Firefox
- Вопросы и ответы: 1
Что такое сертификаты ЭЦП
Сертификат электронной цифровой подписи представляет собой специальный файл, хранящий персональные данные, необходимые для авторизации пользователя на защищенных государственных сайтах, а также сайтах некоторых коммерческих организаций. Сертификаты ЭЦП используются браузерами, однако хранятся они в отдельном хранилище сертификатов Windows. Исключение составляет браузер Mozilla Firefox, который располагает собственным хранилищем сертификатов.
Способ 1: Использование оснастки «certmgr»
Сертификат, сохраненный во встроенное хранилище Windows, может быть удален средствами операционной системы, точнее, средствами оснастки «certmgr».
- Запустите оснастку просмотра и управления сертификатами, для чего вызовите нажатием клавиш Win + R окошко быстрого выполнения команд, введите в него
certmgr.mscи нажмите клавишу Enter. - В правой колонке оснастки найдите раздел, в котором хранятся более ненужные вам сертификаты. Обычно это подраздел «Личное» → «Сертификаты». Кликните правой кнопкой мыши по сертификату и выберите из контекстного меню «Удалить».
- Подтвердите действие в диалоговом окошке.
Способ 2: Через апплет «Свойства браузера»
Удалить ставший ненужным сертификат в Windows 10 можно также из апплета «Свойства браузера», хотя этот способ является менее надежным в том смысле, что при удалении некоторых записей электронных подписей пользователи могут столкнуться с ошибками.
- Откройте классическую «Панель управления» командой
controlиз вызванного нажатием Win + R окошка «Выполнить». - Найдите и запустите апплет «Свойства браузера».
- Переключитесь в открывшемся окне «Свойства: Интернет» на вкладку «Содержание» и нажмите кнопку «Сертификаты».
- Перейдя на нужную вкладку, найдите подлежащий удалению сертификат, выделите его мышкой и нажмите кнопку «Удалить». Чаще всего сторонние сертификаты располагаются на вкладке «Личные».
- Подтвердите действие в диалоговом окошке.
Удаление сертификата в Firefox
Если вы устанавливали сертификат через браузер Firefox, то и удалить его можно будет через Firefox. Также этот браузер поставляется с собственным набором электронных подписей, которые могут потребоваться для входа в учетные записи некоторых специализированных веб-ресурсов.
- Зайдите в общие настройки браузера. Через встроенный поиск Firefox найдите подраздел «Сертификаты» и нажмите кнопку «Просмотр сертификатов».
- Отыщите ненужный сертификат, на вкладке «Ваши сертификаты», выделите его мышкой и нажмите кнопку «Удалить или не доверять».
- Подтвердите действие в открывшемся диалоговом окошке.
Перед удалением сертификатов в Windows 10 желательно создавать их резервные копии на тот случай, если вдруг вы ошибетесь в выборе ЭЦП или захотите восстановить электронную подпись.
Наша группа в TelegramПолезные советы и помощь
В статье представлены несколько способов установки (перепривязки) личного сертификата.
Для КриптоПро CSP 5.0 (Windows, Mac, Linux):
- сертификат записан в контейнер
- сертификат это файл .cer
Для КриптоПро CSP 4.0 (Windows):
- сертификат записан в контейнер
- сертификат это файл .cer
ℹ️Наиболее вероятно, что Удостоверяющий Центр записал ваш сертификат в контейнер и вам подходит этот вариант:
Если сертификат записан в контейнер закрытого ключа (КриптоПро CSP 5.0, любая ОС)
Откройте Пуск — Все программы — КРИПТО-ПРО — Инструменты КриптоПро (или запустите «Инструменты КриптоПро» из меню программ вашей ОС)
Перейдите на вкладку Контейнеры
Выберите контейнер закрытого ключа, нажмите «Установить сертификат».
ℹ️ Если вы не можете определить нужный контейнер, выберите какой-нибудь и нажмите «Протестировать контейнер». В результатах тестирования будут даты, они помогут сориентироваться.
ℹ️Если для выбранного Вами контейнера данная кнопка не активна, значит сертификата нет в контейнере. Если Удостоверяющий Центр предоставил его как файл, используте эту инструкцию.
В случае успеха Вы увидите внизу сообщение «Сертификат был успешно установлен»
Установка завершена.
Установка с использованием файла сертификата .cer (КриптоПро CSP 5.0, любая ОС)
Откройте Пуск — Все программы — КРИПТО-ПРО — Инструменты КриптоПро (или запустите «Инструменты КриптоПро» из меню программ вашей ОС)
Перейдите на вкладку Сертификаты
Нажмите на кнопку «Установить сертификаты» выберите файл сертификата, нажмите Открыть.
После этого появиться сообщение об успешной установке
Рекомендуется нажать на это информационное сообщение и, если в раскрывшемся окне написано, что сертификат установлен в хранилище Личное, значит установка прошла успешно.
ℹ️Если сертификат был установлен в хранилище отличное от Личное, то для него не был найден соответствующий контейнер. Подключите носитель с необходимым контейнером, после чего повторите установку.
Установка из контейнера (КриптоПро CSP 4.0, Windows)
Откройте Пуск-Все программы-КРИПТО-ПРО-КриптоПро CSP.
Перейдите на вкладку Сервис.
Нажмите — Просмотреть сертификаты в контейнере…
В открывшемся окне нажмите Обзор…
В открывшемся окне выберите контейнер закрытого ключа, нажмите ОК.
Важно: Не надо менять значения в пункте «Выберите CSP для поиска ключевых контейнеров»
Вне зависимости от значения, оставляем то что выбралось по умолчанию
Нажмите Далее.
Нажмите кнопку «Установить», нажмите «ОК» (или, если сертификат уже присутствовал в хранилище, согласитесь на замену, нажав Да).
Нажмите Готово.
Установка завершена.
Установка с использованием файла сертификата .cer (КриптоПро CSP 4.0, Windows)
Зайдите Пуск-Все программы-КРИПТО-ПРО-КриптоПро CSP.
Перейдите на вкладку Сервис.
Нажмите — Установить личный сертификат…
Нажмите Обзор и выберите файл сертификата, нажмите Открыть.
Затем нажмите Далее.
Если хотите найти контейнер автоматически, то поставьте галочку Найти контейнер автоматически. При установке этой галочки КриптоПро CSP автоматически найдет контейнер, сответствующий сертификату.
Если Вы хотите выбрать контейнер вручную, то нажмите Обзор-Выберите соответствующий контейнер из списка-Нажмите ОК.
Важно: Не надо менять значения в пункте «Выберите CSP для поиска ключевых контейнеров»
Вне зависимости от значения, оставляем то что выбралось по умолчанию
Нажмите Далее, нажмите Готово (если сертификат уже присутствовал в хранилище, согласитесь на замену, нажав Да).
Установка завершена.
Установка сертификатов — для Windows
Шаг 1. Загрузите сертификаты КриптоПро CSP
croinform.p7b [7 кБ] — (обновлен 14 февраля 2025 г.)
Контейнер с сертификатом веб-узла ИСД Портала МБКИ и сертификатами удостоверяющего центра ООО «КРИПТО-ПРО», выпустившего сертификат веб-узла.
Шаг 2. Установка сертификатов из контейнера p7b
Щелкните правой клавишей мыши по файлу croinform.p7b. В открывшемся контекстном меню выберите команду «Установить сертификат».
Откроется окно «Мастер импорта сертификатов».
Нажмите кнопку «Далее». Мастер перейдет к выбору хранилища для размещения сертификатов
Установите переключатель в положение «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор». Появится окно «Выбор хранилища сертификатов».
Выберите в списке пункт «Доверенные корневые центры сертификации» и нажмите кнопку «ОК». Окно «Выбор хранилища сертификатов» будет закрыто, и Вы вернетесь в окно «Мастер импорта сертификатов». В поле «Хранилище сертификатов» появится выбранное хранилище сертификатов.
Нажмите кнопку «Далее». Окно «Мастер импорта сертификатов» откроется на шаге «Завершение мастера импорта сертификатов».
Нажмите кнопку «Готово». На экране появится окно предупреждения системы безопасности.
Нажмите на кнопку «ОК», кно будет закрыто. Во всех последующих окнах предупреждения системы безопасности (они будут аналогичны первому) также нажмите кнопку «ОК». После завершения установки всех сертификатов на экран будет выведено окно оповещения.
Нажмите на кнопку «ОК», окно будет закрыто. Сертификаты из контейнера croinform.p7b успешно установлены.
Вы установили все требуемые сертификаты!
Начало:
1. Криптография: простейшие термины этой науки
2. Система шифрования с открытым ключом
3. Зачем нужны центры сертификации при асимметричном шифровании
4. Зачем нужны самозаверенные сертификаты открытого ключа
Хранилища сертификатов
В операционных системах «Windows» (у меня установлена «Windows 10», так что речь в основном пойдет про нее) сертификаты хранятся на логическом уровне в так называемых «хранилищах» (по-английски «store» или «storage»).
Под «сертификатами» в этом посте имеются в виду файлы цифровых сертификатов открытого ключа (см. подробнее об этом предыдущие посты).
Я написал «на логическом уровне» потому, что по хранилищу сертификатов непонятно, на каком конкретно жестком диске компьютера хранятся сертификаты, в какой конкретно папке файловой системы они хранятся. (В данном посте не будет разбираться поиск точного местонахождения сертификатов на компьютере. Это отдельная тема, которая мне пока что неинтересна.)
На компьютере под управлением операционной системы «Windows 10» существует два главных хранилища сертификатов:
– хранилище компьютера (локальной машины);
– хранилище текущего пользователя.
Пользователь с правами администратора данной операционной системы может работать с каждым из этих хранилищ. Обычный пользователь имеет доступ только к хранилищу сертификатов текущего пользователя.
Насколько я понимаю, в хранилище компьютера отображаются сертификаты, доступные для всех пользователей данной операционной системы. Доступность этих сертификатов всем пользователям обеспечивается тем, что при открытии хранилища сертификатов обычного пользователя там будут видны все сертификаты из хранилища компьютера (они «наследуются»). Поэтому хранилище текущего пользователя обычно содержит больше сертификатов, чем хранилище компьютера: видны все сертификаты из хранилища компьютера и дополнительно сертификаты, доступные только текущему пользователю.
Таким образом, если пользователь с административными правами добавит сертификат в хранилище компьютера, то этот сертификат будет виден (доступен) в хранилище каждого пользователя этого компьютера. Если обычный пользователь добавит сертификат в хранилище текущего пользователя, то этот сертификат будет доступен только этому пользователю.
Подхранилища
Оба вышеописанных хранилища разбиты на подхранилища (папки с сертификатами). У меня их больше десятка. Но самые важные из них сейчас для меня два следующих:
– Личное;
– Доверенные корневые центры сертификации.
Инструменты для работы с хранилищами сертификатов
Как обычно, в операционной системе «Windows» есть множество способов для выполнения нужной задачи. Для работы с хранилищами сертификатов, в частности, можно использовать следующее:
– стандартный способ через графический (оконный) интерфейс;
– из командной строки в программе-оболочке «PowerShell»;
– различные программы командной строки вроде «certmgr.exe» или «certutil.exe»;
– можно написать программу для работы с сертификатами самому и так далее.
В этом посте я буду рассматривать только стандартный способ работы с хранилищами сертификатов через графический (оконный) интерфейс.
Консоль управления Microsoft (MMC)
Операционные системы «Windows» включают очень старый компонент (программу), который называется по-английски «Microsoft Management Console», сокращенно «MMC» (по-русски «Консоль управления Microsoft»). Первая версия этой программы была выпущена в 1998 году, но она до сих пор в строю и ее можно использовать для решения различных административных задач в рамках операционной системы. Насколько я понимаю, актуальная версия этой программы 3.0. Эта версия появилась в составе пакета обновлений SP3 для «Windows XP» (2007-2008 годы) и с тех пор в нее не вносилось заметных изменений. В нашем случае ее можно использовать для работы с хранилищами сертификатов.
Исполняемый файл этой программы — «mmc.exe». Ее можно вызвать с помощью команды «mmc» из любого местоположения, так как она хранится в системной папке %windir%\System32\. Я обычно набираю команду «mmc» в строке поиска «Windows 10» возле кнопки «Пуск», поиск находит эту программу и выдает ссылку «Открыть» для ее запуска.
Насколько я понимаю, сама консоль — это просто пустая площадка, на которую можно добавлять различные модули. Таким образом, каждый может настроить для своей работы такую площадку, которая ему больше всего подходит, регулируя состав модулей на площадке. Каждый модуль предназначен для решения своей административной задачи. Отдельный модуль представляет собой файл динамически подключаемой библиотеки (файл с расширением «.dll»), взаимодействие между модулем и консолью выполняется по стандарту «COM».
Этих модулей довольно много, их можно добавить в консоль через меню «Файл – Добавить или удалить оснастку…». По-английски такой модуль называют «snap-in». Почему выбрано такое название — не знаю, обычно такие модули по-английски называют «plug-in» (по-русски «плагин»). Думаю, эти слова можно считать синонимами. Слово «snap-in» на русский язык почему-то перевели как «оснастка». По-моему, такой перевод — это вообще пальцем в небо. У меня слово «оснастка» ассоциируется с морскими кораблями, парусниками. Но такой перевод сложился уже давно и все к нему привыкли. Хотя по слову «оснастка» нелегко сообразить, что в английском это «snap-in».
После составления своей «площадки» (консоли) с оснастками эту площадку можно сохранить в файл с расширением «.msc» (аббревиатура «MSC» расшифровывается как «Microsoft Saved Console», по-русски «сохраненная консоль Microsoft»). В дальнейшем этот файл можно поместить на рабочий стол и запускать именно его. Файлы с расширением «.msc» по умолчанию привязаны к программе «mmc.exe» и передаются ей в качестве входного параметра.
Встроенные сохраненные консоли для работы с хранилищами сертификатов
Раньше нужно было создавать свою консоль для оснасток, предназначенных для работы с хранилищами сертификатов. Но в операционной системе «Windows 10» есть встроенные сохраненные консоли с нужными оснастками для работы с хранилищами сертификатов. Поэтому напрямую вызывать программу «mmc.exe» и работать с нею теперь не требуется (если нужно выполнить только манипуляции с сертификатами в хранилищах сертификатов).
Для запуска встроенной в операционную систему сохраненной консоли для работы с хранилищем сертфикатов данного компьютера (локальной машины) можно в строке поиска операционной системы (рядом с кнопкой «Пуск») набрать фразу «Управление сертификатами компьютеров» (у меня операционная система «Windows 10» с русскоязычным интерфейсом; в англоязычном интерфейсе, естественно, нужно будет искать на английском). Поиск найдет ссылку «Открыть» для этой сохраненной консоли, по которой и следует перейти. (Напомню, для работы с хранилищем сертификатов компьютера требуются права администратора.) Вот как окно этой сохраненной консоли выглядит у меня:
Очевидно, что это окно программы «mmc.exe» с загруженной в него сохраненной консолью из файла «certlm.msc». Обратите внимание на заголовок окна с названием файла: certlm (расширение не указано, но оно есть, просто в заголовке окна оно опущено). Окончание «lm» в этом слове расшифровывается как «local machine» (по-русски в этом случае можно перевести как «данный компьютер»). Файл «certlm.msc» расположен в той же папке %windir%\System32\, что и файл «mmc.exe», поэтому его тоже можно вызвать из любого местоположения из командной строки командой «certlm».
Для запуска встроенной в операционную систему сохраненной консоли для работы с хранилищем сертификатов текущего пользователя можно в строке поиска операционной системы (рядом с кнопкой «Пуск») набрать фразу «Управление сертификатами пользователей». Вот как окно этой сохраненной консоли выглядит у меня:
Опять же, это окно программы «mmc.exe» с загруженной в него сохраненной консолью из файла «certmgr.msc». Название «certmgr» расшифровывается как «Certificate Manager» (по-русски «Менеджер сертификатов» или «Диспетчер сертификатов»). Для работы с этой сохраненной консолью не требуется прав администратора операционной системы, достаточно прав текущего пользователя. Опять же, файл «certmgr.msc» хранится в той же папке %windir%\System32\, о которой уже дважды было упомянуто ранее. Его можно запустить из любого местоположения из командной строки с помощью команды «certmgr».
Важно отметить, что сохраненная консоль «certmgr.msc» и программа командной строки «certmgr.exe» — это разные вещи. Не следует их путать.
Ссылки по теме:
https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/working-with-certificates
https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in
Разберём, как решить проблему с отсутствующим хранилищем «Другие пользователи» в оснастке «Сертификаты» (CertMGR.exe или certs.ru.msc – в случае КриптоПро) или при установке сертификата.
Суть проблемы
При попытке установки сертификата в хранилище «Другие пользователи» на ОС Windows, можно столкнуться с проблемой отсутствия этого хранилища на компьютере – его просто нет в списке, и, соответственно, невозможно установить сертификат в это хранилище.
Причина отсутствия данного хранилища связана с тем, что ОС по какой-то причине не создала ветку реестра, в которой хранятся ключи хранилища «Другие пользователи».
Решение проблемы
Вариант 1. Добавить ветки в реестр вручную
Для этого необходимо запустить редактор реестра: Пуск – Средства администрирования Windows – Редактор реестра (либо Win+R – «regedit» (без кавычек) – OK).
Далее перейдите в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates и внутри неё создайте раздел AddressBook. Внутри раздела AddressBook создайте ещё три раздела: Certificates, CRLs и CTLs
Никаких параметров внутри разделов создавать не нужно.
Ветка реестра, после добавления разделов, должна выглядеть так:
Данная ветка отвечает за расположение хранилища «Локальный компьютер». То есть, если вы внесёте изменения только в эту ветку реестра, то хранилище «Другие пользователи» появится в списке только в случае, если при установке сертификата вы выберите место его хранения – «Локальный компьютер»:
Чтобы данное хранилище появилось и в расположении «Текущий пользователь», аналогичные действия нужно проделать и с веткой реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates
После внесения изменений в реестр, перезагрузите компьютер. После перезагрузки, хранилище «Другие пользователи» должно появиться в списке хранилищ.
Вариант 2. С помощью файла редактора реестра
Вместо ручного внесения изменений в реестр, вы можете скачать файл реестра, запустить его и разрешить внести изменения в реестр.
Скачать файл можно отсюда:
- Файл редактора реестра: other_users_certificate_store.reg
- Тот же файл в архиве: other_users_certificate_store.zip
После изменения реестра, перезагрузите компьютер, и хранилище «Другие пользователи» должно появиться в списке.