Где хранятся сертификаты в реестре
Перейти к содержимому

Где хранятся сертификаты в реестре

  • автор:

Хранилища сертификатов локального компьютера и текущего пользователя

Каждое из системных хранилищ сертификатов имеет следующие типы:

  • Хранилище сертификатов локального компьютера Этот тип хранилища сертификатов является локальным для компьютера, глобальным для всех пользователей на компьютере и находится в корневом HKEY_LOCAL_MACHINE каталоге в реестре.
  • Хранилище сертификатов текущего пользователя Этот тип хранилища сертификатов является локальным для учетной записи пользователя на компьютере и находится в корневом каталоге HKEY_CURRENT_USER реестра.

Сведения о конкретных расположениях в реестре хранилищ сертификатов см. в разделе Расположения системных хранилищ.

Все текущие хранилища сертификатов пользователей, кроме хранилища Текущий пользователь или личное, наследуют содержимое хранилищ сертификатов локального компьютера. Например, если сертификат добавляется в хранилище сертификатов доверенных корневых центров сертификации локального компьютера, все хранилища сертификатов доверенных корневых центров сертификации текущего пользователя (с указанным выше предостережением) также содержат сертификат.

Проверка подписи драйвера во время установки Plug and Play (PnP) требует, чтобы корневые сертификаты и сертификаты Authenticode, включая тестовые сертификаты, находились в хранилище сертификатов локального компьютера.

Дополнительные сведения о добавлении или удалении сертификатов из системных хранилищ сертификатов см. в разделе CertMgr.

Практическое руководство. Просмотр сертификатов с помощью оснастки MMC

При создании безопасного клиента или службы можно использовать сертификат в качестве учетных данных. Например, общим типом учетных данных является сертификат X.509, который создается с X509CertificateInitiatorClientCredential.SetCertificate помощью метода.

Существует три различных типа хранилищ сертификатов, которые можно проверить с помощью консоли управления Майкрософт (MMC) в системах Windows:

  • Локальный компьютер: хранилище является локальным для устройства и глобально для всех пользователей на устройстве.
  • Текущий пользователь: хранилище является локальным для текущей учетной записи пользователя на устройстве.
  • Учетная запись службы: хранилище является локальным для определенной службы на устройстве.

Просмотр сертификатов в оснастке MMC

В следующей процедуре показано, как проверить хранилища на локальном устройстве, чтобы найти соответствующий сертификат:

Add certificate snap-in

  1. Выберите «Запустить » в меню «Пуск » и введите mmc. Появится MMC.
  2. В меню «Файл» выберите «Добавить или удалить привязку».Откроется окно «Добавление или удаление оснастки«.
  3. В списке доступных оснастки выберите «Сертификаты«, а затем нажмите кнопку «Добавить«.
  4. В окне оснастки «Сертификаты» выберите учетную запись компьютера и нажмите кнопку «Далее«. При необходимости можно выбрать учетную запись «Мой пользователь» для текущего пользователя или учетной записи службы для определенной службы.

Примечание. Если вы не являетесь администратором устройства, вы можете управлять сертификатами только для учетной записи пользователя.

Add or Remove Snap-ins window with OK button highlighted

  • В окне «Выбор компьютера» оставьте локальный компьютер выбранным, а затем нажмите кнопку «Готово«.
  • В окне «Добавление или удаление оснастки» нажмите кнопку «ОК«.
  • Необязательно. В меню «Файл» выберите «Сохранить» или «Сохранить как«, чтобы сохранить файл консоли MMC для последующего использования.
  • Чтобы просмотреть сертификаты в оснастке MMC, выберите «Корневой каталог консоли» в левой области, а затем разверните сертификаты (локальный компьютер). Появится список каталогов для каждого типа сертификата. Из каждого каталога сертификатов можно просматривать, экспортировать, импортировать и удалять его сертификаты.

    • Просмотр сертификатов с помощью средства Диспетчера сертификатов

    Вы также можете просматривать, экспортировать, импортировать и удалять сертификаты с помощью средства диспетчера сертификатов.

    Просмотр сертификатов для локального устройства

    1. Выберите «Запустить » в меню «Пуск » и введите certlm.msc. Появится средство диспетчера сертификатов для локального устройства.
    2. Чтобы просмотреть сертификаты, в разделе «Сертификаты — локальный компьютер » в левой области разверните каталог для типа сертификата, который требуется просмотреть.

    Просмотр сертификатов для текущего пользователя

    1. Выберите параметр Выполнить в меню Пуск, а затем введите certmgr.msc. Отобразится инструмент диспетчера сертификатов для текущего пользователя.
    2. Чтобы просмотреть сертификаты, в разделе «Сертификаты — текущий пользователь » в левой области разверните каталог для типа сертификата, который требуется просмотреть.

    См. также

    • Работа с сертификатами
    • Практическое руководство. Создание временных сертификатов для использования во время разработки
    • Практическое руководство. Получение отпечатка сертификата

    Где в Windows хранятся корневые сертификаты Центров Сертификации (CA)

    Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.

    В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.

    Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:

    certmgr.msc

    Перейдите в раздел «Доверенные корневые центры сертификации» → «Сертификаты»:

    Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.

    Просмотр сертификатов в PowerShell

    Чтобы просмотреть список сертификатов с помощью PowerShell:

    Get-ChildItem cert:\LocalMachine\root | format-list

    Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):

    Get-ChildItem cert:\LocalMachine\root | Where | format-list

    Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:

    Сертификаты уровня пользователей:

    • HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates — содержит настройки сертификатов для текущего пользователя
    • HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates — как и предыдущее расположение, но это соответствует сертификатам пользователей, развёрнутым объектом групповой политики (GPO (Group Policy))
    • HKEY_USERS\SID-User\Software\Microsoft\SystemCertificates — соответствует настройке определённых пользовательских сертификатов. У каждого пользователя есть своя ветка в реестре с SID (идентификатор безопасности).

    Сертификаты уровня компьютера:

    • HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates — содержит настройки для всех пользователей компьютера
    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates — как и предыдущее расположение, но это соответствует сертификатам компьютера, развёрнутым объектом групповой политики (GPO (Group Policy))

    Сертификаты уровня служб:

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Services\ServiceName\SystemCertificates — содержит настройки сертификатов для всех служб компьютера

    Сертификаты уровня Active Directory:

    • HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates — сертификаты, выданные на уровне Active Directory.

    И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.

    Пользовательские сертификаты (файлы):

    • %APPDATA%\Microsoft\SystemCertificates\My\Certificates
    • %USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\SID
    • %USERPROFILE%\AppData\Roaming\Microsoft\Credentials
    • %USERPROFILE%\AppData\Roaming\Microsoft\Protect\SID

    Компьютерные сертификаты (файлы):

    • C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys

    Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.

    Google Chrome

    Использует общесистемные доверенные корневые центры сертификации.

    Чтобы перейти к списку сертификатов из веб браузера:

    Настройки → Приватность и Защита → Безопасность → Управление сертификатами → Просмотр сертификатов → Центры сертификации → Доверенные корневые центры сертификации:


    Opera

    Чтобы перейти к списку сертификатов из веб браузера: Настройки → Перейти к настройкам браузера → Дополнительно → Безопасность → Ещё → Настроить сертификаты → Доверенные корневые центры сертификации:

    Firefox

    Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:

    Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».

    Связанные статьи:

    • Как добавить сертификат Центра Сертификации (CA) в доверенные в Windows (99.4%)
    • Как включить DNS через HTTPS (DoH) в веб-браузерах (58%)
    • Как в Windows 11 поменять веб-браузер по умолчанию (52.5%)
    • Почему Windows 10 использует так много трафика и как это исправить (50.8%)
    • Программное обеспечение для компьютерной криминалистики на Windows (50.8%)
    • Как определить, какая версия Windows установлена на компьютере: 32-битная или 64-битная? (RANDOM — 50%)

    Как и где можно хранить электронную подпись

    Простая и неквалифицированная электронная подпись (ЭП) могут храниться на любых носителях, так как в Федеральном законе №63-ФЗ «Об электронной подписи» нет никаких указаний на этот счет. К вопросу хранения квалифицированной ЭП нужно отнестись серьезнее. Эта подпись приравнена к собственноручной, она используется в электронных торгах и при заключении важных сделок с контрагентами. Поэтому безопаснее хранить ее на защищенном носителе, сертифицированном ФСБ.

    Защищенные носители для квалифицированной электронной подписи

    Токен (eToken, Рутокен и др.)

    Надежный и удобный носитель в виде USB-брелока. Подходит для большинства применений, кроме ЕГАИС. С его помощью можно отправить отчет в налоговую или Росстат, подписать договор и участвовать в электронных торгах. Чтобы подписывать документы с помощью токена, на компьютер нужно установить средство криптографической защиты информации (СКЗИ).

    Токен со встроенным СКЗИ (Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta PKI/ГОСТ/SE)

    Носитель, который похож на обычный токен, но обладает встроенным СКЗИ. Используя электронную подпись на таком носителе, вы сможете подписывать документы на любом компьютере без покупки дополнительного ПО. Рутокен ЭЦП подходит для дистанционного банковского обслуживания, работы на госпорталах, сдачи отчетности и документооборота. Он не предназначен для работы с торговыми площадками и ЕГАИС. Рутокен ЭЦП 2.0, как и JaCarta PKI/ГОСТ/SE, используются только для работы с ЕГАИС.

    Дополнительная защита электронной подписи

    Доступ к подписи по пин-коду

    На каждом съемном носителе электронной подписи установлен пин-код — комбинация символов, после ввода которой вы получаете доступ к подписи. Вводится пин-код каждый раз при подписании документа или любом другом обращении к ЭП. По умолчанию код стандартный, но вы можете убрать его совсем или поменять на свой. Мы подготовили инструкцию по смене для Рутокен, eToken, JaCarta. Если нужно, обратитесь в УЦ, и наш специалист поможет сменить пин-код.

    Защита подписи от копирования

    Ключи электронной подписи по умолчанию разрешено копировать на другие носители. Если хотите, вы можете включить защиту от копирования. Для этого при оформлении заявки сообщите менеджеру, что вам нужен неэкспортируемый ключ электронной подписи. В этом случае скопировать подпись с носителя будет невозможно, так как при любой попытке экспорта файлов система будет выдавать ошибку.

    Незащищенные носители для квалифицированной электронной подписи

    Теоретически ЭП можно записать на любой съемный носитель. Но файлы на USB-диске, дискете или другом носителе никак не защищены. Если злоумышленники их украдут и расшифруют, то смогут подписывать любые документы. Поэтому мы не рекомендуем хранить файлы электронной подписи на подобных носителях.

    Запись ЭП в реестр ноутбука — популярный, но тоже небезопасный вариант хранения подписи. Любой, кто получит доступ к системе, сможет подписывать документы или создать копию ключа. Если понадобится переехать на другое рабочее место, то для переноса ключа электронной подписи понадобится помощь квалифицированного специалиста. ЭП можно и вовсе потерять, если с компьютером что-то случится.

    О чем нужно помнить при хранении квалифицированной ЭЦП

    Один носитель — для одного сотрудника
    Если записать ЭП разных сотрудников на один носитель, то нарушится конфиденциальность закрытых ключей. И по закону все подписи будут считаться недействительными.

    Нельзя передавать свою ЭП другому человеку
    Электронная подпись — это аналог собственноручной. Она служит идентификатором владельца. Если отдать ЭП другому человеку, а он подпишет документ, с которым вы не согласны, то оспорить это решение не удастся.

    Нельзя хранить ЭП в открытом доступе
    Квалифицированную электронную подпись нужно хранить в сейфе или другом защищенном месте. Носитель, который просто лежит на столе, легко украсть, чтобы подписать пару «лишних» документов. А когда вы это заметите, то даже в суде не сможете доказать свою непричастность.

    При смене реквизитов меняйте и ЭП
    Компания изменила свое название, владелец ЭП уволился или поменял должность? Меняйте подпись. Не затягивайте с этим, чтобы не столкнуться с пачкой платежек, подписанных неизвестно кем, и не нарушать п. 1 ст. 2 Федерального закона №63-ФЗ «Об электронной подписи», требующий обеспечить точную идентификацию владельца ЭП. Для замены электронной подписи обратитесь к менеджеру, который ее выдавал. Или свяжитесь с удостоверяющим центром «Тензор» удобным для вас способом.

    Вовремя продлевайте ЭП
    Если не продлить электронную подпись, она станет недействительной. И вы не сможете подписать ни один электронный документ, пока не получите новую ЭП в удостоверяющем центре. О том, как продлить электронную подпись, читайте в нашей статье.

    Защитите рабочее место
    Антивирусное ПО защищает вас от любых неприятных сюрпризов. Вирусы способны имитировать поведение владельца подписи, чтобы подписать несколько нужных злоумышленнику документов. И доказать, что подпись ставили не вы, будет тяжело.

    Не храните пароли на бумажках
    Это правило — основа компьютерной безопасности. Оно относится не только к электронным подписям, но и ко всем другим сферам. Пароль от токена, заботливо записанный на стикере возле компьютера, несказанно обрадует злоумышленника.

    Похожие публикации:
    1. Gcnew в c что это
    2. Какой hdmi поддерживает 144 гц
    3. Почему машину назвали машиной
    4. Почему не открывается тик ток в ватсапе

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *