Certmgr msc windows 10

Download Windows Speedup Tool to fix errors and make PC run faster

The Certificate Manager or Certmgr.msc in Windows 11/10 lets you see details about your certificates, export, import, modify, delete or request new certificates. Root Certificates are digital documents used to manage network authentication and the exchange of information.

What does certmgr.msc do?

Certmgr.msc is a Microsoft Management Console (MMC) snap-in that manages digital certificates for the active user or a local computer. This tool allows users to view, install, or remove certificates, certificate trust lists (CTLs), and certificate revocation lists (CRLs), ensuring security and trust within Windows environments.

Manage certificates using Certificate Manager or Certmgr.msc

Windows Certificate Manager Certmgr.msc

Картинка с сайта: www.thewindowsclub.com

The Certificates Manager Console is a part of the Microsoft Management Console in Windows 11/10.  The MMC contains various tools that can be used for managing and maintenance functions. As mentioned earlier, using certmgr.msc, you can view your certificates as well as modify, import, export, delete, or request new ones.

To manage your certificates, select Run from the WinX Menu in Windows. Type certmgr.msc in the Run box and hit Enter. Remember, you must be logged on as an administrator. The Certificate Manager will open.

You will see that all the Certificates are stored in various folders under Certificates – Current User. When you open any certificates folder, you will see the certificates displayed in the right pane. In the right pane, columns like Issued To, Issued By, Expiration date, Intended Purpose, Friendly Name, Status and Certificate Template. The Intended Purposes column tells you what each certificate is used for.

You can request a new certificate with the same or a different key using the Certificate Manager. You can also export or import a certificate. Select the certificate, click the Action menu > All Tasks, and then click the required action command to carry out any action. You can also right-click on the context menu to carry out these actions.

Related: Fix Wi-Fi Certificate Error on Windows

In case you wish to export or import certificates, an easy-to-follow wizard will open which will take you through the required steps.

export windows certificates

Картинка с сайта: www.thewindowsclub.com

It is to be noted that Certmgr.msc is a Microsoft Management Console snap-in, whereas Certmgr.exe is a command-line utility. To learn about the command-line options in certmgr.exe, visit MSDN.

Read this if you receive There is a problem with this website’s security certificate message.

What is the difference between Certlm MSC and Certmgr MSC?

Certmgr.msc manages certificates and keys for the current user, while certlm.msc handles certificates and keys for the local machine. This distinction allows user-specific and system-wide certificate management in Windows.

Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.

Источник

Данный материал является переводом оригинальной статьи «ATA Learning : Michael Soule : Manage Certs with Windows Certificate Manager and PowerShell».

Работа с сертификатами обычно является одной из тех дополнительных задач, которые вынужден брать на себя системный администратор Windows. Диспетчер Сертификатов Windows (Windows Certificate Manager) — это один из основных инструментов, который позволяет выполнять эту работу.

В этой статье мы рассмотрим работу с сертификатами применительно к операционной системе Windows. Если же вы хотите узнать больше о том, как работают сертификаты в целом, ознакомьтесь с сопутствующей статьей «Your Guide to X509 Certificates».

Понимание хранилищ сертификатов

В диспетчере сертификатов Windows все сертификаты находятся в логических хранилищах, называемых «хранилищами сертификатов». Хранилища сертификатов – это «корзины», в которых Windows хранит все сертификаты, которые в настоящее время установлены, и сертификат может находиться более чем в одном хранилище.

К сожалению, хранилища сертификатов — не самая интуитивно понятная концепция для работы. О том, как различать эти хранилища и как с ними работать, вы прочитаете ниже.

Каждое хранилище находится в Реестре Windows и в файловой системе. При работе с сертификатом в хранилище вы взаимодействуете с логическим хранилищем, не изменяя напрямую реестр или файловую систему. Этот более простой способ позволяет вам работать с одним объектом, в то время как Windows заботится о том, как представить этот объект на диске.

Иногда можно встретить хранилища сертификатов, называемые физическими или логическими хранилищами. Физические хранилища ссылаются на фактическую файловую систему или место в реестре, где хранятся разделы реестра и / или файл(ы). Логические хранилища — это динамические ссылки, которые ссылаются на одно или несколько физических хранилищ. С логическими хранилищами намного проще работать, чем с физическими хранилищами для наиболее распространенных случаев использования.

Windows хранит сертификаты в двух разных областях — в контексте пользователя и компьютера. Сертификат помещается в один из этих двух контекстов в зависимости от того, должен ли сертификат использоваться одним пользователем, несколькими пользователями или самим компьютером. В остальной части этой статьи сертификат в контексте пользователя и компьютера будет неофициально называться сертификатами пользователей и сертификатами компьютеров.

Сертификаты пользователей

Если вы хотите, чтобы сертификат использовался одним пользователем, то идеальным вариантом будет хранилище пользовательских сертификатов внутри Диспетчера сертификатов Windows. Это общий вариант использования процессов аутентификации на основе сертификатов, таких как проводной IEEE 802.1x.

Сертификаты пользователей находятся в профиле текущего пользователя и логически отображаются только в контексте этого пользователя. Сертификаты пользователей «сопоставлены» и уникальны для каждого пользователя даже в одних и тех же системах.

Компьютерные сертификаты

Если сертификат будет использоваться всеми пользователями компьютера или каким-либо системным процессом, его следует поместить в хранилище в контексте компьютера. Например, если сертификат будет использоваться на веб-сервере для шифрования связи для всех клиентов, размещение сертификата в контексте компьютера будет подходящим вариантом.

Вы увидите, что хранилище сертификатов компьютера логически сопоставлено для всех пользовательских контекстов. Это позволяет всем пользователям использовать сертификаты в хранилище сертификатов компьютера в зависимости от разрешений, настроенных для закрытого ключа.

Сертификаты компьютера находятся в кусте реестра локального компьютера и в подкаталогах \ProgramData. Сертификаты пользователя находятся в кусте реестра текущего пользователя и в подкаталогах \AppData. Ниже вы можете увидеть, где каждый тип хранилища находится в реестре и файловой системе.

Контекст Путь реестра Объяснение
User HKEY_CURRENT_USER
SOFTWARE\Microsoft\SystemCertificates\		 Физическое хранилище для пользовательских открытых ключей
User HKEY_CURRENT_USER
SOFTWARE\Policies\Microsoft\SystemCertificates\		 Физическое хранилище для пользовательских открытых ключей, установленных объектами групповой политики Active Directory (AD) (GPO)
Computer HKEY_LOCAL_MACHINE
SOFTWARE\Microsoft\SystemCertificates\		 Физическое хранилище общедоступных ключей для всей машины
Computer HKEY_LOCAL_MACHINE
SOFTWARE\Microsoft\Cryptography\Services\		 Физическое хранилище ключей, связанных с определенной службой
Computer HKEY_LOCAL_MACHINE
SOFTWARE\Policies\Microsoft\SystemCertificates\		 Физическое хранилище открытых ключей для всей машины, установленных объектами групповой политики.
Computer HKEY_LOCAL_MACHINE
SOFTWARE\Microsoft\EnterpriseCertificates\		 Физическое хранилище общедоступных ключей, установленных корпоративными контейнерами PKI в домене AD
Контекст Расположение файла Объяснение
User $env:APPDATA\Microsoft\SystemCertificates\ Физическое хранилище для пользовательских открытых ключей и указателей на закрытые ключи
User $env:APPDATA\Microsoft\Crypto\ Физическое хранилище для контейнеров закрытых ключей для конкретных пользователей
Computer $env:ProgramData\Microsoft\Crypto\ Физическое хранилище для контейнеров закрытых ключей для всей машины
Предварительные требования

В оставшейся части этой статьи вы найдете несколько примеров, демонстрирующих взаимодействие с хранилищами сертификатов Windows. Чтобы воспроизвести эти примеры, убедитесь, что выполняются следующие требования:

  • Windows Vista, Windows Server 2008 или более новая операционная система. В показанных примерах используется Windows 10 Корпоративная версии 1903.
  • Знакомство с PowerShell. Хотя это и не обязательно, этот язык будет использоваться для ссылки на сертификаты, где это необходимо. Все показанные примеры были созданы с помощью Windows PowerShell 5.1.
  • Вам не потребуется устанавливать какие-либо специальные сертификаты, но использование самозаверяющего сертификата полезно.
Управление сертификатами в Windows

В Windows есть три основных способа управления сертификатами:

  • Оснастка консоли управления Microsoft (MMC) сертификатов (certmgr.msc)
  • PowerShell
  • Инструмент командной строки certutil

В этой статье вы узнаете, как управлять сертификатами с помощью оснастки Certificates MMC и PowerShell. Если вы хотите узнать больше о том, как использовать certutil, ознакомьтесь с документацией Microsoft.

PowerShell против диспетчера сертификатов Windows

Поскольку в Windows можно управлять сертификатами несколькими способами, встаёт вопрос выбора, что лучше использовать — GUI (MMC) или командную строку с PowerShell.

Во-первых, рассмотрим жизненный цикл сертификата. Если вы собираетесь установить или удалить один сертификат только один раз, рассмотрите возможность использования MMC. Но если вы управляете несколькими сертификатами или выполняете одну и ту же задачу снова и снова, использование командной строки может оказаться правильным решением. Даже если вы не умеете писать сценарии PowerShell, вам стоит этому научиться, если у вас есть много разных сертификатов, которыми нужно управлять.

Давайте сначала посмотрим, как обнаружить сертификаты, установленные в Windows, с помощью диспетчера сертификатов и PowerShell.

Использование диспетчера сертификатов Windows (certmgr.msc)

Чтобы просмотреть сертификаты с помощью MMC, откройте Диспетчер сертификатов: откройте меню «Пуск» и введите certmgr.msc. Это вызовет Windows Certificates MMC. Это начальное представление предоставит обзор всех логических хранилищ, отображаемых в левом окне.

На снимке экрана ниже видно, что выбрано логическое хранилище доверенных корневых центров сертификации

Windows Trusted Root Certification Authorities store

Картинка с сайта: blog.it-kb.ru

Просмотр физических хранилищ

По умолчанию Диспетчер сертификатов Windows не отображает физические хранилища. Чтобы показать их, в верхнем меню оснастки выбирайте «View» > «Options«. Затем вы увидите варианты отображения физических хранилищ сертификатов. Включение этого параметра упрощает определение конкретных путей в Windows.

Теперь вы можете видеть, что дополнительные контейнеры показаны в примере логического хранилища доверенных корневых центров сертификации, показанном ранее. Сертификаты по-прежнему сгруппированы относительно их логических хранилищ, но теперь вы можете увидеть физическое хранилище «Реестр».

Inspecting the physical cert stores

Картинка с сайта: blog.it-kb.ru

Проверка атрибутов в диспетчере сертификатов Windows

Есть много атрибутов сертификата, которые вы можете увидеть при просмотре их с помощью MMC. Например, вы, вероятно, захотите выбрать определенные сертификаты по их атрибутам. Самый простой способ сделать это — указать Serial Number сертификата или значение Thumbprint. Если сертификат был подписан центром сертификации (CA), при выдаче он будет иметь серийный номер. Thumbprint вычисляется каждый раз при просмотре сертификата.

Вы можете увидеть некоторые атрибуты сертификата, открыв его в MMC, как показано ниже.

Inspecting a Windows certificate

Картинка с сайта: blog.it-kb.ru

Следует отметить одну важную особенность — встроенные закрытые ключи. Сертификаты в Windows также могут иметь соответствующий закрытый ключ. Эти закрытые ключи хранятся в соответствующих физических хранилищах в виде зашифрованных файлов.

Чтобы быстро отличать сертификаты с соответствующим закрытым ключом и без него, посмотрите на значок сертификата. В Диспетчере сертификатов Windows, если значок просто выглядит как лист бумаги с лентой, соответствующий закрытый ключ отсутствует. Если у сертификата есть закрытый ключ, вы увидите ключ на значке MMC, и ключ в нижней части вкладки «Общие» при открытии сертификата

Certificate without an embedded private key (Сертификат без встроенного закрытого ключа)

Картинка с сайта: blog.it-kb.ru

Использование PowerShell по физическому хранилищу

Как и в случае с MMC, вы можете просматривать сертификаты и управлять ими с помощью PowerShell. Давайте сначала проверим сертификаты в их физических хранилищах (реестр и файловая система).

Используя PowerShell командлет Get-ChildItem, вы можете перечислить все ключи и значения внутри родительского пути в реестре. Приведенная ниже команда перечислит все сертификаты вошедшего в систему пользователя в логическом хранилище промежуточных центров сертификации.

Get-ChildItem -Path 'HKCU:\Software\Microsoft\SystemCertificates\CA\Certificates'

Каждая запись в кусте реестра, который вы видите, будет соответствовать отпечатку сертификата доверенного центра сертификации и его сертификату в соответствующем свойстве. Вы можете увидеть пример вывода ниже.

Results of the installed certificates from the example commands

Картинка с сайта: blog.it-kb.ru

Другое распространенное хранилище — это Personal store. Ваши сертификаты для этого хранилища находятся в файловой системе, а не в реестре. В следующих командах мы покажем эти различные физические пути и их цели.

Каждый файл в каталоге, возвращенный приведенной ниже командой, соответствует сертификату, установленному в личном хранилище текущего пользователя.

Get-ChildItem -Path $env:APPDATA\Microsoft\SystemCertificates\My\Certificates\

Каждый файл, возвращаемый в приведенной ниже команде, является ссылкой на объект для закрытого ключа, созданный поставщиком хранилища ключей (KSP). Имя файла соответствует идентификатору ключа субъекта сертификата. К каждому устанавливаемому вами закрытому ключу будет добавлен соответствующий файл.

Get-ChildItem -Path $env:APPDATA\Microsoft\SystemCertificates\My\Keys\

Каждый файл в каталоге, возвращаемый следующей командой, является уникальным контейнером для зашифрованного закрытого ключа, созданного KSP. Нет прямой связи между именем файла и сертификатом, но файл является целью указателя в предыдущей команде.

Get-ChildItem -Path $env:APPDATA\Microsoft\Crypto\Keys
Использование PowerShell по логическому хранилищу

Поскольку работа с сертификатами на их физических путях встречается редко, в остальных примерах вы будете работать с логическими хранилищами.

PowerShell может получить доступ к логическим хранилищам Windows с помощью PSDrive-объекта «Cert:\«, который сопоставляет сертификаты с физическими хранилищами так же, как это делает MMC.

К сожалению, MMC и «Cert:» не маркируют логические хранилища одинаково. Ниже вы можете увидеть сравнительную таблицу общих хранилищ и их названий как в MMC, так и в «Cert:» PSDrive.

Cert: Certificates MMC
My Personal
Remote Desktop Remote Desktop
Root Trusted Root Certification Authorities
CA Intermediate Certification Authorities
AuthRoot Third-Party Root Certification Authorities
TrustedPublisher Trusted Publishers
Trust Enterprise Trust
UserDS Active Directory User Object
Выбор сертификатов

Когда вы работаете с сертификатами, вам понадобится способ фильтрации и выбора сертификатов для выполнения определенных операций. В большинстве случаев вы будете фильтровать и выбирать сертификаты на основе значения определенного расширения.

Для следующих примеров вам нужно начать с перечисления всех установленных сертификатов в хранилище корневого ЦС.

Get-ChildItem -Path 'Cert:\CurrentUser\Root\'

Возвращенные объекты будут объектами сертификатов, которые вы можете использовать в следующих примерах.

Общие расширения уже доступны как свойства объектов сертификата. В приведенном ниже примере вы используете Get-Member для вывода списка всех свойств возвращаемых объектов.

Get-ChildItem -Path 'Cert:\CurrentUser\Root\' | Get-Member -MemberType Properties

The properties available for the returned certificate objects

Картинка с сайта: blog.it-kb.ru

Как видим, некоторые из этих расширений, например «Issuer», помогают найти сертификат, который вы ищете. Расширения предоставляют информацию о сертификате, например, кому он выдан, для чего его можно использовать и любые ограничения на него.

В более сложных случаях использования вам может понадобиться найти сертификаты других расширений, таких как используемый шаблон сертификата. Сложность в том, что значения этих расширений возвращаются как массив целых чисел. Эти целые числа соответствуют содержимому в кодировке ASN.1.

Покажем пример взаимодействия с свойствами типа ScriptProperty. В приведенной ниже команде вы извлекаете Key Usages.

((Get-ChildItem -Path 'Cert:\CurrentUser\Root\' | Select -First 1).Extensions | Where-Object {$_.Oid.FriendlyName -eq 'Key Usage'}).format($true)

Новая часть, которую мы вводим в приведенной выше команде, — это метод форматирования, который выполняет декодирование ASN.1. Вы передаете ему логическое значение (например, $true), чтобы определить, хотим ли мы, чтобы возвращаемый объект был однострочным или многострочным.

Попробуем использовать значение Thumbprint из сертификата в приведенной ниже команде. Значение Thumbprint устанавливается как переменная PowerShell и используется для выбора конкретного сертификата в приведенных ниже командах.

$thumb = "cdd4eeae6000ac7f40c3802c171e30148030c072"
Get-ChildItem -Path 'Cert:\CurrentUser\Root\' | Where-Object {$_.Thumbprint -eq $thumb}
Создание самозаверяющих (self-signed) сертификатов с помощью PowerShell

PowerShell может создавать самозаверяющие (self-signed) сертификаты с помощью командлета New-SelfSignedCertificate. Самозаверяющие сертификаты полезны для тестирования, поскольку они позволяют генерировать пару открытого и закрытого ключей без использования центра сертификации.

Теперь давайте создадим самозаверяющий сертификат в хранилищах текущего пользователя и локального компьютера, чтобы использовать его в примерах для следующих шагов.

В приведенном ниже примере PowerShell создает пару открытого и закрытого ключей, самозаверяющий сертификат и устанавливает их все в соответствующие хранилища сертификатов.

New-SelfSignedCertificate -Subject 'User-Test' -CertStoreLocation 'Cert:\CurrentUser\My'
New-SelfSignedCertificate -Subject 'Computer-Test' -CertStoreLocation 'Cert:\LocalMachine\My'

Использование самозаверяющих сертификатов для продуктивных сервисов не рекомендуется, поскольку не существует всех механизмов, основанных на доверии.

Импорт и экспорт сертификатов в MMC

Криптография с открытым ключом основана на широкой доступности открытого ключа. Учитывая это, вам нужны стандартные способы эффективного обмена сертификатами. Не менее важна безопасность ваших личных ключей. Хранение закрытых ключей на недоступных носителях или с материалами для аварийного восстановления — обычная практика для определенных закрытых ключей.

Оба они требуют способов хранения этих криптографических объектов в стандартных форматах. Экспорт предоставляет функции для сохранения этих объектов и обеспечения использования широко распространенных стандартных форматов файлов. Импорт позволяет вам переносить криптографические объекты в операционные системы Windows.

Экспорт сертификатов из MMC относительно прост. Чтобы экспортировать сертификат без закрытого ключа, щелкните сертификат в MMC, выберите меню «Все задачи», а затем «Экспорт».

Во время экспорта вам будет предложено указать формат файла, как показано ниже. Наиболее распространены варианты кодирования — DER или Base-64

Exporting a certificate with no private key or one that is marked as not exportable

Картинка с сайта: blog.it-kb.ru

Экспорт закрытых ключей

Чтобы экспортировать сертификат с соответствующим закрытым ключом, вы должны соответствовать двум критериям:

  • Вошедшая в систему учетная запись должна иметь разрешение на закрытый ключ (только для сертификатов компьютеров);
  • Закрытый ключ должен быть помечен как экспортируемый.

Чтобы проверить разрешения для закрытых ключей локального компьютера, вы можете выбрать сертификат с закрытым ключом, выбрать «Все задачи» и «Управление закрытыми ключами» в MMC «Сертификаты». В открывшемся диалоговом окне отображаются записи управления доступом для закрытых ключей.

Когда выше обозначенные условия выполнены, вы можете выбрать сертификат, щелкнуть «Все задачи», а затем «Экспорт», как если бы вы использовали сертификат только с открытым ключом. При экспорте теперь у вас должна присутствовать возможность выбора экспорта закрытого ключа («Yes, export the private key»), как показано ниже.

Certificate Export Wizard with exportable private key

Картинка с сайта: blog.it-kb.ru

Когда вы экспортируете закрытый ключ в Windows, вы можете сохранить файл только как PFX. Этот и другие типы файлов и форматы кодирования подробно описаны в этом посте.

Для остальных параметров, отображаемых в мастере экспорта, вы можете использовать значения по умолчанию. В таблице ниже приводится краткое изложение каждого из них.

Настройка Описание
Including all certificates in the certification path if possible Помогает с переносимостью эмитентов сертификатов и включает все соответствующие открытые ключи в PFX.
Delete the private key if the export is successful Удаляет закрытый ключ из файла и имеет несколько распространенных вариантов использования, но одним из примеров является проверка доступа к закрытым ключам.
Export all extended properties Будет включать любые расширения в текущем сертификате, они относятся к сертификатам [конкретные настройки] для интерфейсов Windows.
Enable certificate privacy Обычно в экспортируемом PFX-файле шифруется только закрытый ключ, этот параметр шифрует все содержимое PFX-файла.
Group or user names Вы можете использовать участника безопасности группы или пользователя из Active Directory для шифрования содержимого файла PFX, но пароль является наиболее переносимым вариантом для устаревших систем или компьютеров, не присоединенных к тому же домену.
Импорт сертификатов

Функция импорта одинакова для всех поддерживаемых типов файлов сертификатов. Единственная разница в том, что если файл содержит закрытый ключ, вы можете «Отметить этот ключ как экспортируемый», о чем вы узнаете подробнее ниже. Windows будет использовать мастер импорта сертификатов.

Certificate Import Wizard with a PFX file

Картинка с сайта: blog.it-kb.ru

При использовании мастера импорта сертификатов для PFX вам потребуется указать пароль, используемый для шифрования закрытого ключа. Вот еще один обзор вариантов импорта.

Настройка Описание
Enable strong private key protection Требуется пароль для каждого доступа к закрытому ключу. Будьте осторожны с новыми функциями, поскольку они не будут поддерживаться во всех программах.
Mark this key as exportable Вы должны стараться избегать использования этого параметра в любой конечной системе, закрытые ключи следует рассматривать так же, как и хранение паролей.
Protect private key using [virtualization-based security] Этот параметр обеспечивает дополнительные функции безопасности для защиты закрытых ключей от сложных атак вредоносного ПО.
Include all extended properties Относится к тем же настройкам Windows, что и при экспорте.

Сертификаты для подписи кода PowerShell — хороший вариант использования надежной защиты закрытого ключа.

С автоматическим размещением сертификатов следует проявлять осторожность. Скорее всего, вы получите наилучшие результаты, выбрав хранилище сертификатов вручную.

Импорт и экспорт сертификатов в PowerShell

Теперь с помощью PowerShell экспортируйте один из самозаверяющих сертификатов, которые вы создали ранее. В этом примере вы выбираете сертификат в личном логическом хранилище CurrentUser, который был самозаверяющим.

$certificate = Get-Item (Get-ChildItem -Path 'Cert:\CurrentUser\My\' | Where-Object {$_.Subject -eq $_.Issuer}).PSPath

Теперь, когда вы выбрали сертификат, вы можете использовать команду Export-Certificate, чтобы сохранить файл в кодировке DER, используя команду ниже.

Export-Certificate -FilePath $env:USERPROFILE\Desktop\certificate.cer -Cert $certificate

Теперь давайте посмотрим на экспорт закрытого ключа. Ниже вы проверяете, что у выбранного сертификата есть закрытый ключ. Если он не возвращает True, то команда Get-Item, скорее всего, выбрала неправильный сертификат.

$certificate.HasPrivateKey

Ниже вы установите пароль, который будет использоваться для шифрования закрытого ключа. Затем экспортируйте выбранный сертификат в файл PFX и используйте пароль, который вы ввели ранее, чтобы зашифровать файл.

$pfxPassword = "ComplexPassword!" | ConvertTo-SecureString -AsPlainText -Force
Export-PfxCertificate -FilePath $env:USERPROFILE\Desktop\certificate.pfx -Password $pfxPassword -Cert $certificate

В случае, если необходимо выполнить импорт, как и при экспорте, есть две команды. Одна команда для импорта сертификатов и одна для импорта файлов PFX.

Ниже команда Import-Certificate импортирует файл в формате DER, который вы экспортировали ранее, в личное хранилище текущего пользователя.

Import-Certificate -FilePath $env:USERPROFILE\Desktop\certificate.cer -CertStoreLocation 'Cert:\CurrentUser\My'

Допустим, вы тоже хотите установить закрытый ключ этого сертификата.

$pfxPassword = "ComplexPassword!" | ConvertTo-SecureString -AsPlainText -Force
Import-PfxCertificate -Exportable -Password $pfxPassword -CertStoreLocation 'Cert:\CurrentUser\My' -FilePath $env:USERPROFILE\Desktop\certificate.pfx

Имейте в виду, что пароль должен быть защищенной строкой. Кроме того, если вы импортируете в хранилище локального компьютера (например, «Cert:\LocalMachine«), вам нужно будет запустить команду из командной строки администратора с повышенными привилегиями.

В приведенном выше примере вы также используете параметр -Exportable с командой, отмечая закрытый ключ как экспортируемый в будущем. По умолчанию (без указания этого параметра) экспорт не используется. Экспортируемые закрытые ключи – отельный аспект информационной безопасности, заслуживающий отдельного внимания.

Удаление сертификатов с помощью PowerShell

При удалении сертификатов помните, что понятие «Корзина Windows» в этом случае отсутствует. Как только вы удалите сертификат, он исчезнет! Это означает, что очень важно подтвердить, что вы удаляете правильный сертификат, путем проверки уникального идентификатора, такого как серийный номер или значение расширения Thumbprint.

Как и выше, в приведенной ниже команде мы выбираем самозаверяющий сертификат из личного хранилища текущего пользователя.

$certificate = Get-Item (Get-ChildItem -Path 'Cert:\CurrentUser\My\' | Where-Object {$_.Subject -eq $_.Issuer}).PSPath

Ниже вы можете увидеть свойства отпечатка, серийного номера и темы для выбранного сертификата, чтобы убедиться, что это именно тот сертификат, который вы собираетесь выбрать.

$certificate.Thumbprint
$certificate.SerialNumber
$certificate.Subject

Убедитесь, что вы выбрали правильный сертификат, который собираетесь удалить.

Приведенная ниже команда удаляет все выбранные объекты сертификата, используйте с осторожностью! Передав объект $certificate через конвейер в командлет Remove-Item в приведенной ниже команде, вы удалите все содержимое сертификата без каких-либо запросов на проверку.

$certificate | Remove-Item
Резюме

На протяжении всей этой статьи вы работали с сертификатами в Windows, изучая, как получить к ним доступ, и некоторые инструменты, которые можно использовать при работе с ними. По этой теме можно изучить гораздо больше, в том числе о том, как связать установленные сертификаты с конкретными службами или даже о том, как реализовать инфраструктуру закрытого открытого ключа (PKI) путем развертывания собственных центров сертификации (CA).

Источник

certmgr.msc:

Картинка с сайта: mundobytes.com

When we browse the Internet or conduct electronic transactions, we rarely wonder how the operating system manages security behind the scenes. In the universe of Windows, there is a fundamental tool to protect transactions, identify users and secure communications: certmgr.mscMany users are unaware of what this component is for and how to use it, but the truth is that it plays a key role in managing digital certificates and, therefore, in protecting our data.

In the following lines we are going to dive into the world of certmgr.msc, to know What it is, how to use it, what it is for and what are the scenarios in which it may be essentialIf you’ve ever needed to install, export, or delete a digital certificate, or if you’ve encountered problems installing certain programs, this article is designed to clear up any doubts you may have.

What is certmgr.msc and what is it used for?

Certmgr.msc is the Windows Certificate Manager. It is a administration console (MMC) that allows us to manage digital certificates installed on our computer in a graphical, simple, and straightforward manner. These certificates are essential for securing connections, identifying users, validating the origin of software, and a host of security-related operations.

For those who are less familiar with the subject, a digital certificate It is a set of computer files that authenticate the identity of a person, company, or even a device, allowing documents to be digitally signed, emails to be encrypted, or secure portals to be accessed. Windows stores these certificates in different «stores» depending on their use and characteristics, and certmgr.msc is the tool that allows us to explore them, add or remove certificates, and even export them for use on another computer..

How to access certmgr.msc in Windows

Accessing the certificate manager is very simple. Just use the Windows Run function:

  • Press the keys Windows + R simultaneously.
  • In the window that opens, type certmgr.msc and hit Enter.

A window will automatically open showing the structure of the current user’s different certificate stores. From here, you can view, modify, import, or export installed digital certificates.

Keep in mind This manager displays the certificates of the logged-in user. To access the certificates for the entire computer (for example, to manage machine certificates), it’s recommended to open the MMC console (by running mmc.exe), add the Certificates snap-in, and choose «Computer Account» instead of «User Account.»

The Certificate Manager allows you to perform several key actions related to digital security management in Windows:

  • Viewing certificates: You can view all installed digital certificates, organized by categories such as «personal,» «trusted certificate authorities,» or «untrusted certificates.»
  • Import certificates: Allows you to add new certificates to Windows stores, for example, after obtaining one from an official website or after making a backup.
  • Export certificates: Very useful to create backups or migrate your certificates to other devices or OS.
  • Delete certificates: You can delete those that are no longer needed or threaten the security of the system, as happens in cases of malware that manipulates warehouses.

These features are especially useful for system administrators, IT technicians, and even advanced users who need to install certificates for online procedures or specific software.

Types of certificates and stores in Windows

In Windows, certificates are stored in different «warehouses» according to their purpose:

  • Personal (My certificates): This section contains the digital certificates associated with the current user and which include a private key.
  • Others: It only collects public key certificates, usually to identify other users or entities.
  • Intermediate certification issuing entities: Certificates of entities that issue certificates on behalf of the root authority are stored here.
  • Trusted Root Certification Authorities: This store contains the root certificates that are considered trustworthy and that validate the entire chain of trust.
  • Certificates that are not trusted: All certificates that have been revoked or have lost trust, for example, due to malware or security issues.

With certmgr.msc, you can check which store each certificate is stored in and make informed decisions about using or deleting it.

Advanced Usage: CertMgr.exe and Command Line Management

In addition to the graphical console through certmgr.msc, Windows has advanced tools for those who prefer the line of commands: CertMgr.exeThis utility allows you to manage certificates, trust lists, and revocation lists with a variety of modifiers and arguments, making it especially useful for professional users or when automating tasks.

Below is a summary of some of the most common operations that CertMgr.exe allows:

  • Add certificates: Allows you to add new certificates or trust lists to a specific store.
  • Delete certificates: Remove from storage any certificates that are considered dangerous or unnecessary.
  • Export certificates: Save certificates or lists to external files.
  • Display information: It presents a list of the stored certificates, either in summary or in detail using the option /v.

Some useful modifiers are:

  • /c, /CTL, /CRL: Indicates whether the file contains certificates, trust lists, or revocation lists.
  • /s: Access the system stores.
  • /r localMachine/currentUser: Specifies whether the action is performed at the machine or user level.

It is important to remember that To run CertMgr.exe you need administrator privileges and sometimes access from a symbol of the system with elevated permissionsThe versions of this tool are located in the WDK (Windows Driver Kit) folders depending on the system architecture (i386 for 32-bit, amd64 for 64-bit, etc.).

Installing and exporting digital certificates in Windows

Managing digital certificates may seem complex, but Windows provides us with graphical wizards to facilitate the task of installing (importing) or exporting certificates.Let’s review the key steps:

Preliminary considerations before installing a certificate

Before you start installing a certificate, it is advisable to check that the operating system is up to date, avoid changing user, browser or updates while the process is being carried out and, if possible, temporarily disable the antivirus to avoid conflicts.

Identifies the certificate file, usually with an extension .pfx o .p12These contain the private key and are usually protected with a password that must be entered during installation.

Step-by-step installation

  • Double-click on the certificate file or run the certmgr.msc command to launch it from the Import Wizard.
  • The wizard will ask you if you want to install the certificate only for the current user or for the entire computer. For security reasons, it’s common to choose the first option.
  • Select the file location, enter the password if prompted, and choose additional options, such as «Mark key as exportable» or «Include extended properties.»
  • Finally, let Windows automatically select the most appropriate storage and complete the installation by following the summary displayed by the wizard.

The certificate will be ready for use, whether to sign documents, log in to portals, or encrypt information.

Export and backup

Exporting a digital certificate is key to avoiding losing access in case of problems or to using it on another computer. The process varies slightly depending on the browser it’s installed on:

  • Google Chrome: Go to Settings > Privacy & Security > Manage Certificates, select the certificate, and tap «Export.»
  • Mozilla Firefox: Go to Options > Privacy & Security > Certificates > View certificates, select your certificate, and tap «Backup.»
  • Internet Explorer: Tools > Internet Options > Content > Certificates > Personal. Right-click and choose «All Tasks > Export.»
  • Opera: Settings > Go to full browser settings > Security > Manage certificates.

The wizard will let you choose whether to include the private key, set a password, and select the exported file format (PFX, DER, etc.). This way, you can transport your certificate safely.

Certmgr.msc for security and malware issues

Sometimes Sophisticated malware can manipulate the list of untrusted certificates Windows to prevent the installation of security solutions or block legitimate software. A recent example showed how certain viruses add antivirus program certificates to the «untrusted certificates» folder, preventing them from running properly.

If you’re experiencing a block when installing an antivirus or experiencing abnormal User Account Control (UAC) alerts, here are some steps to resolve it:

  • press Windows + R, writes certmgr.msc and executes.
  • Expand the section Certificates that are not trusted and check which entries appear.
  • Remove suspicious certificates or certificates related to legitimate software that were added by mistake or malware.
  • Reinstall your security software and update your system.
  • Perform a full scan to ensure the absence of threats.

This action can be crucial when security programs like Bitdefender, Norton, or others fail to install or run properly due to blocked certificates.

active directory

Картинка с сайта: mundobytes.com

Related article:

Complete guide to configuring Active Directory on Windows Server: installation, integration, and best practices

Passionate writer about the world of bytes and technology in general. I love sharing my knowledge through writing, and that’s what I’ll do on this blog, show you all the most interesting things about gadgets, software, hardware, tech trends, and more. My goal is to help you navigate the digital world in a simple and entertaining way.

Источник

How to Open Certificate Manager in Windows 10

Opening the Certificate Manager in Windows 10 is a straightforward task that allows you to view and manage your certificates. Certificates are used to verify the identity of websites, individuals, and devices in a network. To access Certificate Manager, you simply need to use the built-in search function or the Run dialog.

The steps below will guide you on how to access and open the Certificate Manager in Windows 10. This will allow you to view, import, export, and manage your digital certificates.

Step 1: Open the Start Menu

First, click on the Start button located at the bottom-left corner of your screen.

The Start button gives you access to various applications and settings, making it the gateway to your computer’s functions.

Step 2: Use the Search Bar

After opening the Start Menu, type «certmgr.msc» into the search bar.

The search bar helps you quickly find applications and files. Typing «certmgr.msc» specifically searches for the Certificate Manager.

Step 3: Select «certmgr.msc»

When «certmgr.msc» appears in the search results, click on it to open the Certificate Manager.

Clicking on «certmgr.msc» directly launches the Certificate Manager application, bringing up the interface where you can manage certificates.

Step 4: Use the Run Dialog (Alternative Method)

Alternatively, press «Windows + R» to open the Run dialog. Type «certmgr.msc» and press Enter.

The Run dialog is another quick way to access various system tools. By typing «certmgr.msc» and hitting Enter, you achieve the same result as using the search bar in the Start Menu.

Step 5: View and Manage Certificates

Once the Certificate Manager is open, you can view, import, export, and delete certificates as needed.

The Certificate Manager is divided into different categories such as Personal, Trusted Root Certification Authorities, and others, allowing you to manage certificates effectively.

After completing these steps, you will have successfully opened the Certificate Manager. This lets you view the certificates installed on your system and perform various management tasks such as importing, exporting, and deleting certificates.

Tips on How to Open Certificate Manager in Windows 10

  • Use Shortcuts: Memorizing the «Windows + R» shortcut can save you time.
  • Admin Rights: Ensure you have administrative privileges to manage certificates.
  • Stay Organized: Keep your certificates organized by type and purpose for easy management.
  • Regular Checks: Periodically check your certificates to ensure none have expired.
  • Backup Certificates: Regularly back up your certificates to avoid losing important security credentials.

Frequently Asked Questions

What is the Certificate Manager used for?

The Certificate Manager allows you to view and manage digital certificates, which are crucial for secure communications and data transfers.

Do I need administrative rights to open Certificate Manager?

No, you don’t need administrative rights just to open it, but you do need them to make changes like importing or deleting certificates.

Can I open Certificate Manager using Command Prompt?

Yes, you can type «certmgr.msc» into the Command Prompt and press Enter to open Certificate Manager.

What types of certificates can I manage?

You can manage various types of certificates such as Personal, Trusted Root Certification Authorities, Third-Party Root Certification Authorities, and more.

How do I know if a certificate has expired?

In Certificate Manager, you can view the expiration date of each certificate. Expired certificates will generally appear with a different icon or status.

Summary

  1. Open the Start Menu.
  2. Use the Search Bar.
  3. Select «certmgr.msc.»
  4. Use the Run Dialog (Alternative Method).
  5. View and Manage Certificates.

Conclusion

Opening the Certificate Manager in Windows 10 is a quick and easy task that grants you control over your digital certificates. By following the steps outlined, you can access this vital tool in just a few clicks or keystrokes. Whether you use the Start Menu or the Run dialog, you’ll find that managing your certificates has never been simpler.

Remember, keeping your certificates organized and up-to-date is crucial for maintaining the security of your communications and data transfers. Regularly checking your certificates and backing them up will ensure you avoid any potential security risks.

If you found this guide on how to open Certificate Manager in Windows 10 helpful, be sure to share it with others who might benefit from this information. For more tips and tutorials on Windows 10, stay tuned to our future articles.

Kermit Matthews is a freelance writer based in Philadelphia, Pennsylvania with more than a decade of experience writing technology guides. He has a Bachelor’s and Master’s degree in Computer Science and has spent much of his professional career in IT management.

He specializes in writing content about iPhones, Android devices, Microsoft Office, and many other popular applications and devices.

Read his full bio here.

Источник

Все способы:

  • Что такое сертификаты ЭЦП
  • Способ 1: Использование оснастки «certmgr»
  • Способ 2: Через апплет «Свойства браузера»
  • Удаление сертификата в Firefox
  • Вопросы и ответы: 1

Что такое сертификаты ЭЦП

Сертификат электронной цифровой подписи представляет собой специальный файл, хранящий персональные данные, необходимые для авторизации пользователя на защищенных государственных сайтах, а также сайтах некоторых коммерческих организаций. Сертификаты ЭЦП используются браузерами, однако хранятся они в отдельном хранилище сертификатов Windows. Исключение составляет браузер Mozilla Firefox, который располагает собственным хранилищем сертификатов.

Способ 1: Использование оснастки «certmgr»

Сертификат, сохраненный во встроенное хранилище Windows, может быть удален средствами операционной системы, точнее, средствами оснастки «certmgr».

  1. Запустите оснастку просмотра и управления сертификатами, для чего вызовите нажатием клавиш Win + R окошко быстрого выполнения команд, введите в него certmgr.msc и нажмите клавишу Enter.
    2. Как удалить сертификаты из хранилища в Windows 10-1

    Картинка с сайта: lumpics.ru

  2. В правой колонке оснастки найдите раздел, в котором хранятся более ненужные вам сертификаты. Обычно это подраздел «Личное»«Сертификаты». Кликните правой кнопкой мыши по сертификату и выберите из контекстного меню «Удалить».
    3. Как удалить сертификаты из хранилища в Windows 10-2

    Картинка с сайта: lumpics.ru

  3. Подтвердите действие в диалоговом окошке.
    4. Как удалить сертификаты из хранилища в Windows 10-3

    Картинка с сайта: lumpics.ru

Способ 2: Через апплет «Свойства браузера»

Удалить ставший ненужным сертификат в Windows 10 можно также из апплета «Свойства браузера», хотя этот способ является менее надежным в том смысле, что при удалении некоторых записей электронных подписей пользователи могут столкнуться с ошибками.

  1. Откройте классическую «Панель управления» командой control из вызванного нажатием Win + R окошка «Выполнить».

    2. Как удалить сертификаты из хранилища в Windows 10-4

    Картинка с сайта: lumpics.ru

  2. Найдите и запустите апплет «Свойства браузера».
    3. Как удалить сертификаты из хранилища в Windows 10-5

    Картинка с сайта: lumpics.ru

  3. Переключитесь в открывшемся окне «Свойства: Интернет» на вкладку «Содержание» и нажмите кнопку «Сертификаты».
    4. Как удалить сертификаты из хранилища в Windows 10-6

    Картинка с сайта: lumpics.ru

  4. Перейдя на нужную вкладку, найдите подлежащий удалению сертификат, выделите его мышкой и нажмите кнопку «Удалить». Чаще всего сторонние сертификаты располагаются на вкладке «Личные».
    5. Как удалить сертификаты из хранилища в Windows 10-7

    Картинка с сайта: lumpics.ru

  5. Подтвердите действие в диалоговом окошке.

Удаление сертификата в Firefox

Если вы устанавливали сертификат через браузер Firefox, то и удалить его можно будет через Firefox. Также этот браузер поставляется с собственным набором электронных подписей, которые могут потребоваться для входа в учетные записи некоторых специализированных веб-ресурсов.

  1. Зайдите в общие настройки браузера. Через встроенный поиск Firefox найдите подраздел «Сертификаты» и нажмите кнопку «Просмотр сертификатов».
    2. Как удалить сертификаты из хранилища в Windows 10-8

    Картинка с сайта: lumpics.ru

  2. Отыщите ненужный сертификат, на вкладке «Ваши сертификаты», выделите его мышкой и нажмите кнопку «Удалить или не доверять».
    3. Как удалить сертификаты из хранилища в Windows 10-10

    Картинка с сайта: lumpics.ru

  3. Подтвердите действие в открывшемся диалоговом окошке.

    4. Как удалить сертификаты из хранилища в Windows 10-11

    Картинка с сайта: lumpics.ru

Перед удалением сертификатов в Windows 10 желательно создавать их резервные копии на тот случай, если вдруг вы ошибетесь в выборе ЭЦП или захотите восстановить электронную подпись.

Наша группа в TelegramПолезные советы и помощь

Источник

Понравилась статья? Поделить с друзьями:
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
  • Особые разрешения windows 10 как поставить
  • Убрать имя пользователя при запуске windows 10
  • Как создать нового пользователя на windows 7 профессиональная
  • Удалить все локальные ветки git windows
  • Эмулятор ps4 для pc windows 10 отзывы