Сертификат windows что это

В новостях несколько раз проскакивала информация о том, что госучреждения в связи с санкциями начали использовать на российские TLS сертификаты. В частности, Сбер сообщает, что через несколько дней его сервисы начнут переход на российские TLS-сертификаты Минцифры. В этой статье говорим об особенностях таких сертификатов, их поддержке и установке в различных устройствах и браузерах.

Российские сертификаты Национального удостоверяющего центра Минцифры России должны обеспечивать защищённый доступ к сайтам и онлайн-сервисам российских банков и госорганизаций. Данные сертификаты могут использоваться российские организации под санкциями, которые не могут продлить или перевыпустить сертификаты в иностранных CA (в случае их отзыва или окончания срока действий). Минцифры предоставляет бесплатный услугу по выпуску TLS сертификата юридическим лицам, владельцам сайтов по запросу в течение 5 рабочих дней.

Однако главная проблема в том, что сертификаты, выданные Минцифрой, считаются недоверенными на большинстве устройств и браузерах и отсутствуют в списках корневых сертификатов операционных систем.

Вы можете проверить, доверяет ли ваш компьютер (браузер) сертификатам, выданным Минцифрой, перейдя на сайт https://fgiscs.minstroyrf.ru/. В моем случае браузер Edge выдает:

Your connection isn't private
Attackers might be trying to steal your information from fgiscs.minstroyrf.ru (for example, passwords, messages, or credit cards).
NET::ERR_CERT_AUTHORITY_INVALID
Subject: *.minstroyrf.ru
Issuer: Russian Trusted Sub CA

ошибка NET::ERR_CERT_AUTHORITY_INVALID

Поддержка российских TLS сертификатов встроена только в российские интернет-браузеры (Атом и Яндекс браузер). Все остальные браузеры (Chrome, Opera, Microsoft Edge, Firefox и т.д.) будут выдавать ошибку проверки сертификатов при открытии таких сайтов. Это означает, что вам нужно вручную установить корневые сертификаты на ваши устройства.

Перед установкой проверьте отпечаток корневого сертификата удостоверяющего центра с помощью PowerShell:

$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 "C:\Temp\russian_trusted_root_ca.cer"
$cert.Thumbprint

Он должен быть 8FF915CCAB7BC16F8C5C8099D53E0E115B3AEC2F

Для Windows и Android нужно скачать (с сайта Минцифры или Госуслуг) и добавить в доверенные следующие сертификаты:

  • Russian Trusted Root CA (от The Ministry of Digital Development and Communications)– корневой сертификат удостоверяющего центра — russian_trusted_root_ca.cer https://gu-st.ru/content/Other/doc/russian_trusted_root_ca.cer
  • Russian Trusted Sub CA – промежуточный (выпускающий TLS сертификат) — russian_trusted_sub_ca.cer https://gu-st.ru/content/Other/doc/russian_trusted_sub_ca.cer

Для MacOS:

  • Корневой и выпускающий сертификаты — russiantrustedca.pem https://gu-st.ru/content/Other/doc/russiantrustedca.pem

Для iOS:

  • Корневой и выпускающий сертификаты Russian Trusted Root CA — russiantrusted.mobileconfig https://gu-st.ru/content/Other/doc/russiantrusted.mobileconfig

Инструкции по установки доступны на сайте Госуслуги: https://www.gosuslugi.ru/crt. Здесь же есть полный список сайтов, для которых выпущен сертификат от CA Минцифры.

В случае с Windows корневой и выпекающий сертификат нужно установить в доверенные центры сертификации текущего пользователя. Откройте CER файл, нажмите Install Certificate, и следуйте шагам мастера установки.

Mozilla Firefox по-умолчанию не использует хранилище сертификатов Windows и смотрит на собственное хранилище доверенных сертификатов. Чтобы добавить корневой сертификат Минцифры в Firefox:

  1. Откройте его настройки:
    about:preferences#privacy
  2. Нажмите View Certificates;
    управление сертификатами в firefox

  3. Нажмите Import и выберите CER файл с сертификатом. Включите опции Trust this CA to identify websites и Trust this CA to identify email users.

firefox добавить сертификат в доверенные

На данный момент такие сертификаты безопасности выданы для более чем 4000 доменных имен (полный список есть здесь https://www.gosuslugi.ru/tls -> Список доменов, в отношении которых выпущены сертификаты безопасности).

российские TLS сертификаты на госуслугах

Вероятно, TLS сертификаты Национального удостоверяющего центра Минцифры России в скором времени будут внедрены на большинство российских сайтов госорганов.

В конце статьи хочу отменить, что установка таких сертификатов в ОС вносит определенный риск утечки данных и реализации MITM атаки со стороны владельца сертификата (такое было пару лет назад в Казахстане). Возможно в данный момент оптимальное решение не устанавливать сертификаты на компьютеры, а использовать российские браузеры (Яндекс.браузер) для доступа к веб сайтам, использующие российские TLS сертификаты.

Современные интернет построен так, что у каждого сайта, работающего с данными пользователей, должен быть TLS-сертификат — цифровая подпись домена, подтверждающая его подлинность. Если этот сертификат отозван, ни один браузер не пустит пользователя на сайт — это сделано из соображений безопасности.

В конце сентября Сбер перевёл свой основной сайт на российский сертификат, выпущенный Национальным удостоверяющим центром Минцифры. В будущем на такие перейдут все сервисы Сбера — так же могут поступить и другие системообразующие организации, попавшие под зарубежные санкции (велика вероятность, что они не смогут продлить существующие сертификаты).

Чтобы они у вас открывались, необходимо установить российские сертификаты на свои устройства.

Что нужно знать до установки

  • Сертификат понадобится на всех устройствах, с которых вы планируете заходить на требующие его отечественные сайты. Их придётся установить на смартфон, компьютер и/или планшет отдельно.
  • Для доступа к российским сервисам через приложение, а не сайт, сертификат не нужен — приложение «Госуслуг», мобильный клиент «СберБанк Онлайн» и другие программы продолжат работать.
  • На официальном сайте «Госуслуг» есть список порталов, которым выдали отечественный сертификат — доступ без российской цифровой подписи будет ограничен только к ним.

Самый простой способ — использовать российский браузер

Сейчас необходимые сертификаты поддерживаются только российскими веб-обозревателями — Яндекс Браузером и Atom от VK (Mail.Ru). Подробности о работе приложения от «ВКонтакте» неизвестны, но Яндекс.Браузер раскрыл свои алгоритмы. Он применяет сертификаты не для всего рунета, а только для тех доменов, которым выданы эти цифровые подписи — если применять сертификаты сразу на всех сайтах, порталы без их наличия просто не открывались бы.

Однако если вы не хотите использовать отечественный браузер на всех своих устройствах, российские сертификаты можно встроить и в саму операционную систему. В таком случае получится использовать любой веб-обозреватель, будь то Chrome, Opera, Safari или любой другой.

Установка на Android (Xiaomi и другие)

  1. Откройте «Госуслуги» и зайдите на страницу «Поддержка работы сайтов с российскими сертификатами».
  2. Перейдите к разделу сертификатов для Android и скачайте корневой.
  3. После окончания загрузки перейдите в «Настройки» смартфона, а затем в окне поиска введите «Сертификат» (если этого поля для поиска нет, потяните пункты настроек вниз).

  4. Выберите «Сертификат центра сертификации» (название пункта может отличаться в зависимости от прошивки»). Если возникнет предупреждение о возможной угрозе конфиденциальности, пропустите его — нажмите «Всё равно установить» и введите код-пароль от смартфона (который используется при разблокировке).

  5. В открывшемся файловом менеджере в папке «Загрузки» или Downloads (либо в разделе «Недавние») выберите Russian Trusted Root CA — имя файла может быть russian_trusted_root_ca.cer. Если сертификат успешно установлен, на экране появится соответствующая надпись.

  6. Вернитесь на сайт «Госуслуг» и аналогичным образом установите второй сертификат — выпускающий. На этапе выбора сертификата вам потребуется выбрать Russian Trusted Sub CA, то есть другой файл — russian_trusted_sub_ca.cer.

Чтобы проверить, успешно ли установились сертификаты, необходимо вернуться к «Настройкам» смартфона и в поле поиска ввести «Надежные сертификаты» (или «Надежные учетные данные») и открыть найденный пункт. В нём в категории «Пользователь» должны быть два сертификата: Russian Trusted Root CA и Russian Trusted Sub CA.

Установка на смартфонах и планшетах Samsung

В гаджетах Samsung используется фирменная прошивка, в которой порядок установки сертификатов немного отличается.

  1. Откройте «Госуслуги» и зайдите на страницу «Поддержка работы сайтов с российскими сертификатами».
  2. Перейдите к разделу сертификатов для Android и скачайте корневой.

    Может появиться следующая ошибка (это нормально, пропустите её нажатием кнопки «ОК»):

  3. Невозможно установить сертификаты CA

    Этот сертификат от приложения null необходимо установить в меню «Настройки». Устанавливайте сертификаты только от ЦС надежных организаций.

  4. Перейдите в «Настройки» смартфона, а затем в окне поиска введите «Сертификат» (значок лупы в правом верхнем углу).

  5. Выберите пункт «Сертификат СA», а затем его же ещё раз в новом меню. Если возникнет предупреждение о возможной угрозе конфиденциальности, пропустите его — нажмите «Установить в любом случае» и введите код-пароль от смартфона (который используется при разблокировке).

  6. В открывшемся файловом менеджере в папке «Загрузки» или Downloads (или разделе «Недавние») выберите Russian Trusted Root CA — имя файла может быть russian_trusted_root_ca.cer. Если сертификат успешно установлен, на экране появится соответствующая надпись.

  7. Вернитесь на сайт «Госуслуг» и аналогичным образом установите второй сертификат — выпускающий. На этапе выбора сертификата вам потребуется выбрать Russian Trusted Sub CA, то есть другой файл — russian_trusted_sub_ca.cer.

Чтобы проверить, успешно ли установились сертификаты, необходимо вернуться к «Настройкам» смартфона и в поле поиска ввести «Сертификаты безопасности» (либо «Надежные сертификаты» или «Надежные учетные данные») и открыть найденный пункт. В нём в категории «Сертификаты безопасности» во вкладке «Пользователь» должны быть два сертификата: Russian Trusted Root CA и Russian Trusted Sub CA.

Установка на iOS (iPhone и iPad)

  1. Откройте «Госуслуги» и зайдите в раздел «Поддержка работы сайтов с российскими сертификатами».
  2. Перейдите к разделу сертификатов для iOS и нажмите на кнопку «Скачать профиль». После этого на экране появится уведомление «Веб-сайт пытается загрузить профиль конфигурации. Разрешить?» — разрешите. Затем должно появиться уведомление о том, что профиль загружен.

  3. Перейдите в «Настройки» устройства и выберите появившийся пункт «Профиль загружен» (под вашим именем в iCloud). Откроется окно установки профиля — нажмите в правом верхнем углу «Установить» и введите код-пароль (который используется при разблокировке).

  4. Отобразится окно-предупреждение — снова нажмите «Установить» в правом верхнем углу, а затем эту же кнопку внизу. Должно появиться меню с оглавлением «Профиль установлен» — справа вверху нажмите на «Готово».
  5. Теперь необходимо включать доверие сертификатам. Вернитесь в «Настройки» устройства и перейдите в раздел «Основные» ➝ «Об этом устройстве» ➝ «Доверие сертификатам» (в самом низу). Включите доверие сертификату Russian Trusted Root CA, сдвинув переключатель справа от него (ползунок должен стать зелёным). В появившемся окне нажмите «Дальше».

Установка на компьютер Windows

  1. Откройте «Госуслуги» и зайдите в раздел «Поддержка работы сайтов с российскими сертификатами».
  2. Перейдите к разделу сертификатов для Windows и скачайте первый — корневой.
  3. Запустите скачанный файл russian_trusted_root_ca.cer, затем нажмите «Открыть», а после — «Установить сертификат».

    Как установить российские сертификаты на Android, Windows, iPhone и macOS — Установка на компьютер Windows. 1

    Как установить российские сертификаты на Android, Windows, iPhone и macOS — Установка на компьютер Windows. 2

  4. Откроется «Мастер импорта сертификатов». Выберите пункт «Текущий пользователь» и кнопку «Далее».
  5. Отметьте пункт «Поместить все сертификаты в следующее хранилище», нажмите на кнопку «Обзор» и кликните на папку «Доверенные корневые центры сертификации». Затем нажмите на «ОК» и «Далее». В новом окне завершения нажмите «Готово». Если откроется предупреждение системы безопасности, нажмите «Да».

    Как установить российские сертификаты на Android, Windows, iPhone и macOS — Установка на компьютер Windows. 3

    Как установить российские сертификаты на Android, Windows, iPhone и macOS — Установка на компьютер Windows. 4

    Как установить российские сертификаты на Android, Windows, iPhone и macOS — Установка на компьютер Windows. 5

  6. Вернитесь на сайт «Госуслуг» и аналогичным образом установите второй сертификат — выпускающий. Единственная загвоздка — в меню импорта сертификатов выберите «Автоматические выбирать хранилище на основе типа сертификата».

    Как установить российские сертификаты на Android, Windows, iPhone и macOS — Установка на компьютер Windows. 6

Установка на macOS (Mac, MacBook)

  1. Откройте «Госуслуги» и зайдите в раздел «Поддержка работы сайтов с российскими сертификатами».
  2. Перейдите к разделу сертификатов для macOS и скачайте первый — корневой.
  3. Запустите скачанный файл RussianTrustedCA.pem. Откроется приложение «Связка ключей», введите имя пользователя и пароль от текущего профиля на компьютере, а затем нажмите на «Изменить связку ключей».

    Как установить российские сертификаты на Android, Windows, iPhone и macOS — Установка на macOS (Mac, MacBook). 1

    Как установить российские сертификаты на Android, Windows, iPhone и macOS — Установка на macOS (Mac, MacBook). 2

  4. В «Связке ключей» на вкладке «Сертификаты» в пункте «Вход» (слева) найдите Russian Trusted Root CA и Russian Trusted Sub CA — выберите первый. Раскройте вкладку «Доверие» (под значком сертификата слева) и установите значение «Всегда доверять» в пункте «Параметры использования сертификата». Введите имя пользователя и пароль, а затем нажмите на «Обновить настройки».

    Как установить российские сертификаты на Android, Windows, iPhone и macOS — Установка на macOS (Mac, MacBook). 3

    Как установить российские сертификаты на Android, Windows, iPhone и macOS — Установка на macOS (Mac, MacBook). 4

    Как установить российские сертификаты на Android, Windows, iPhone и macOS — Установка на macOS (Mac, MacBook). 5

  5. Повторите те же действия из четвёртого пункта, но уже для второго сертификата — Russian Trusted Sub CA.

Время на прочтение3 мин

Количество просмотров43K

Это и не статья, а всего лишь заметка, которая появилась в связи с грядущим окончанием действия TLS сертификатов у Сбербанка и некоторым бурлением, связанным с этим событием. В комментах к другой статье по этой же теме я предложил возможное решение, и мне предложили описать его в деталях, поэтому так и поступаю.

Мне не понравились предлагаемые решения с подъёмом виртуальной машины исключительно под браузер со сбербанком или скачивание второго браузера с отдельным хранилищем сертификатов — всё таки это довольно долго делать, и будут расходоваться лишние ресурсы. Вариант с созданием собственного сертификата и переподписанием сертификатов НУЦ, наверное, самый профессиональный, но разбираться и делать было лениво.

Довольно просто, как мне кажется, настроить систему так, чтобы браузер со сбером запускался от имени специального пользователя, в окружении которого можно установить сертификаты НУЦ Минцифры.

Все делается в четыре с половиной шага:

Создаем аккаунт пользователя.

  1. Запускаем в новом аккаунте любимый браузер, в котором скачиваем с Госуслуг сертификаты и устанавливаем их в пользовательское хранилище (CurrentUser)

  2. В основном рабочем аккаунте делаем ярлык на любимый браузер, запускаемый от имени нового пользователя.

  3. Проверяем результат. Пока сбербанк еще работает на американском сертификате, поэтому подопытным сайтом может стать egisz.rosminzdrav.ru . На рабочем аккаунте, где сертификаты НУЦ не ставились, при его открытии должна появляться ошибка TLS. В браузере, открытом от имени нового пользователя, все должно открываться нормально.

Все эти движения можно выполнить традиционно для windows, мышкой, согласно инструкциям на сайте Сбера и на Госуслугах, но можно и из Powershell (в режиме админа)

#                        Копипастим и выполняем команды одну за одной:
#
#Создаем пользователя с хорошим паролем
net user sber MyStrongPassword /add
# Качаем корневой сертификат
runas /user:sber /savecred "powershell.exe wget -UseBasicParsing https://gu-st.ru/content/Other/doc/russian_trusted_root_ca.cer -OutFile ~\Downloads\russian_trusted_root_ca.cer"
# И ставим его в пользовательское хранилище
runas /user:sber /savecred "powershell.exe  Import-Certificate -FilePath ~\Downloads\russian_trusted_root_ca.cer -CertStoreLocation cert:\CurrentUser\Root"
# Качаем sub сертификат
runas /user:sber /savecred "powershell.exe wget -UseBasicParsing https://gu-st.ru/content/Other/doc/russian_trusted_sub_ca.cer -OutFile ~\Downloads\russian_trusted_sub_ca.cer"
# И также, ставим его 
runas /user:sber /savecred "powershell.exe  Import-Certificate -FilePath ~\Downloads\russian_trusted_sub_ca.cer -CertStoreLocation cert:\CurrentUser\CA"

Код поля target ярлыка зависит от используемого браузера, разумеется, в моём случае это MSEdge, поэтому target такой:

C:\Windows\System32\runas.exe /user:sber /savecred "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe https://sberbank.ru"

Конечно, у этого решения есть минусы. Например, если потребуется скачивать файлы с сайта, по умолчанию они будут скачиваться в домашний каталог нового пользователя, что не очень удобно, наверное.

Что сделать еще? Можно запретить браузеру нового пользователя открывать что-либо, кроме сайта Сбера, чтобы случайно не открыть Gmail и не стать жертвой атаки класса major in the middle.

Уверен, есть разные способы, как это сделать по всем правилам. Мне нравится quick&dirty способ — Залогиниться новым юзером, зайти в Панель управления (старую) и сконфигурировать фальшивый прокси сервер SOCKS, добавив в список исключений домены сбера *.sberbank.ru; *.sber.ru.

Рассказываем, как поменять язык на русский в Windows Server 2012/2016 и 2019.

Введение

На серверах с операционной системой Windows по умолчанию установлен английский язык. При необходимости вы можете изменить язык на русский.

Для Windows Server 2012/2016

1. Подключитесь к серверу по RDP. Если не знаете, как это сделать, поможет наша статья в базе знаний.

2. Нажмите правой кнопкой мыши на Пуск и перейдите в Control panel.

3. В блоке Clock, Language, and Region нажмите Add a language.

 4. В открывшемся окне нажмите Add a language.

5. В появившемся списке выберите Russian (русский) и нажмите Add.

6. Русский язык появится в списке доступных. Нажмите Options напротив русского языка, чтобы его установить.

7. Нажмите Download and install language pack. Начнется установка языкового пакета.

8. После того как установка завершится, снова нажмите Options напротив русского языка. Затем нажмите Make this the primary language — русский язык станет языком по умолчанию.

9. При появлении диалогового окна нажмите кнопку Log off later, чтобы перезагрузить систему позже.

10. Измените региональные настройки. Для этого нажмите Change date, time, or number formats.

11. В открывшемся окне откройте вкладку Location, в списке Home location выберите Russia.

12. Откройте вкладку Administrative, нажмите Change system locale… В появившемся списке выберите Russian (Russia) и нажмите OK.

13. В открывшемся диалоговом окне нажмите Restart now, чтобы перезагрузить систему.

Для Windows Server 2019

1. Подключитесь к серверу по RDP. Если не знаете, как это сделать, поможет наша статья в базе знаний.

2. Нажмите Пуск, затем нажмите Settings (значок шестеренки).

3. В открывшемся окне нажмите Update & Security.

4. Нажмите кнопку Check for updates, чтобы установить обновления системы.

5. После того как установка обновлений завершится, проверьте, что появилась надпись You’re up to date. Если она не появилась, повторите установку обновлений.

6. Снова перейдите в Settings и нажмите Time & Language.

7. Откройте вкладку Language и нажмите Add a language.

8. Выберите в списке Русский (Russian) и нажмите Next.

9. Проверьте, что в открывшемся окне отмечен чекбокс Install language pack and set as my Windows display language, и нажмите Install. Начнется установка языкового пакета. Если такого пункта нет, устраните ошибку по инструкции от Windows и продолжите далее.

10. После того как установка завершится, в списке Windows display language выберите Русский.

11. Откройте вкладку Region. В списке Country or region выберите Russia, в списке Current format выберите Russian (Russia).

12. Нажмите Additional date, time & regional settings.

13. В открывшемся окне нажмите Region.

14. Откройте вкладку Administrative и нажмите Change system locale… В появившемся списке выберите Russian (Russia) и нажмите OK.

15. В открывшемся диалоговом окне нажмите Restart now, чтобы перезагрузить систему.

Заключение

В этой инструкции мы рассмотрели, как поменять язык на русский в Windows Server 2012/2016 и 2019.

В этой статье подробно опишу, как скачать русский язык для Windows 7 и Windows 8 и сделать его языком, используемым по умолчанию. Это может потребоваться, например, если вы загрузили образ ISO с Windows 7 Максимальная или Windows 8 Enterprise бесплатно с официального сайта Microsoft (как это сделать, можно найти здесь), где он доступен для загрузке только в английской версии. Как бы там ни было, особых сложностей с установкой другого языка интерфейса и раскладки клавиатуры быть не должно. Поехали.

Обновление 2016: подготовлена отдельная инструкция Как установить русский язык интерфейса Windows 10.

Установка русского языка в Windows 7

Скачать русский язык с официального сайта Microsoft

Самый простой способ — скачать русский языковой пакет с официального сайта Microsoft http://windows.microsoft.com/ru-ru/windows/language-packs#lptabs=win7 и запустить его. По сути, каких-то сложных дополнительных действий для смены интерфейса выполнять не потребуется.

Еще один способ изменить язык интерфейса в Windows 7 — зайти в «Панель управления» — «Языки и региональные стандарты», открыть вкладку «Язык и клавиатуры», после чего нажать кнопку «Установить или удалить язык».

Установка русского языка в Windows 7

После этого, в следующем диалоговом окне нажмите «Установить языки интерфейса», после чего следует выбрать Центр обновления Windows и следовать инструкциям по установке дополнительного языка отображения.

Как скачать русский язык для Windows 8

Также, как и в первом случае, для установки русского интерфейса в Windows 8 вы можете воспользоваться загрузкой языкового пакета на странице http://windows.microsoft.com/ru-ru/windows/language-packs#lptabs=win8 или же произвести загрузку и установку встроенными средствами Windows 8.

Русский язык Windows 8

Чтобы поставить русский язык интерфейса, выполните следующие действия:

  • Зайдите в панель управления, выберите пункт «Язык» (Language)
  • Нажмите «Добавить язык» (Add language), после чего выберите русский и добавьте его.
  • Русский язык появится в списке. Теперь, чтобы установить русский язык интерфейса, нажмите ссылку «Параметры» (Settings).
  • Нажмите «Загрузить и установить языковой пакет» в пункте «Язык интерфейса Windows».
  • Следуйте инструкциям для того, чтобы произвести загрузку русского языка.

После того, как русский язык был загружен, его также потребуется установить для использования в качестве языка интерфейса. Для этого в списке установленных языков, переместите русский на первое место, после чего сохраните настройки, выйдите из своей учетной записи Windows и снова зайдите (или просто перезагрузите компьютер). На этом установка закончена и все элементы управления, сообщения и другие тексты Windows 8 будут отображаться именно на русском языке.

Понравилась статья? Поделить с друзьями:
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
  • Как настроить запуск от имени администратора windows 10 по умолчанию
  • Amd radeon hd 7520g driver windows 10
  • Etc network interfaces windows
  • Windows phone play store
  • Драйвера для ноутбука asus n56v под windows 10