Где в папке windows находятся сертификаты

Способ 1: «Диспетчер сертификатов»

Благодаря цифровым сертификатам пользователь может безопасно обновлять систему через «Центр обновлений» и выполнять другие действия в интернете, например обмениваться данными без опасения, что на ПК попадут подозрительные утилиты или файлы. В Windows 10 предусмотрен «Диспетчер сертификатов», через который можно посмотреть зашифрованные данные:

1. Отыщите через «Пуск» диспетчер, прописав certmgr.msc. Запустите приложение от имени администратора.


Картинка с сайта: lumpics.ru

2. На панели слева отобразятся разделы с различными типами цифровых сертификатов.


Картинка с сайта: lumpics.ru

3. В каталоге «Личное» по умолчанию сертификатов нет, поскольку пользователь самостоятельно их устанавливает с токена или делает импорт данных. «Доверенные корневые центры сертификации» позволяют посмотреть данные от крупнейших издательств, которые представлены во внушительном списке. Благодаря им используемый браузер доверяет сертификатам большинства сайтов. Это обеспечивает безопасное пребывание в сети.


Картинка с сайта: lumpics.ru

4. Чтобы посмотреть содержимое корневого сертификата, дважды щелкните левой кнопкой мыши по его названию. В дополнительном окне есть общая информация, подробный состав и свойства каждого элемента, а также путь сертификации.


Картинка с сайта: lumpics.ru

5. С помощью «Мастера экспорта» можно скопировать сертификаты в самых распространенных форматах на другой компьютер. Чтобы запустить средство, нажмите на нужный объект правой кнопкой мыши, наведите курсор на «Все задачи», затем кликните по строке «Экспорт…».


Картинка с сайта: lumpics.ru

6. Для просмотра сертификатов в Windows 10 изучите разделы — их название говорит о содержимом. Зная название зашифрованных данные, можно отыскать их, если использовать вкладку «Действие» и функцию «Поиск сертификатов…».


Картинка с сайта: lumpics.ru

Способ 2: Оснастка «MMC»

Штатный инструмент «Microsoft Management Console» («MMC») представляет собой графический интерфейс, предназначенный для настройки различных программ. Оснастка является компонентом «MMC», в которую встроен набор параметров модуля ОС или приложения. Просматривать и редактировать сертификаты Windows 10 можно, используя оснастку:

1. Через «Пуск» Windows 10 найдите средство и запустите его с расширенными правами: это позволит вручную вносить изменения.


Картинка с сайта: lumpics.ru

2. В открывшемся окне нажмите на вкладку «Файл» и выберите пункт «Добавить или удалить оснастку…».


Картинка с сайта: lumpics.ru

3. Отобразится окно, разделенное на две части. Слева нужно выбрать тип оснастки. Отыщите в списке строку «Сертификаты» и кликните по ней левой кнопкой мыши. Нажмите на кнопку «Добавить».


Картинка с сайта: lumpics.ru

4. В новом окне выберите, какой сертификат будет редактироваться. Если вы не администратор, то управление данными может быть только для учетки пользователя, который выполнил вход в систему. В другом случае выберите пункт «учетной записи компьютера». Кликните по кнопке продолжения.


Картинка с сайта: lumpics.ru

5. В следующем шаге настройки отметьте то, чем будет управлять оснастка – «локальным компьютером». Нажмите на «Готово».


Картинка с сайта: lumpics.ru

6. В окне добавления и удаления оснасток в правой части появится пункт «Сертификаты». Нажмите по кнопке «ОК», чтобы закрыть окошко.


Картинка с сайта: lumpics.ru

7. На панели слева в интерфейсе «MMC» дважды кликните по строке с сертификатами, чтобы посмотреть доступные данные.


Картинка с сайта: lumpics.ru

Визуально оснастка станет такая же, как и в Способе 1, когда напрямую открывался «Диспетчер сертификатов».

Способ 3: «Панель управления»

Следующий способ подойдет, если никаких изменений в сертификаты вноситься не будет, то есть для визуального просмотра зашифрованных данных. В этом случае перейдите в раздел со свойствами интернета в классической «Панели управления»:

1. Запустите «Панель управления» через кнопку меню «Пуск».


Картинка с сайта: lumpics.ru

2. Для удобства просмотра разделов выберите крупные или мелкие значки. Кликните по «Свойства браузера».


Картинка с сайта: lumpics.ru

3. В системном окне перейдите на вкладку «Содержание» и нажмите на кнопку «Сертификаты».


Картинка с сайта: lumpics.ru

4. Все типы данных разделены по вкладкам. Для просмотра их состава дважды кликните левой кнопкой мыши по названию сертификата.


Картинка с сайта: lumpics.ru

В этом способе просмотр данных доступен без прав администратора.

Способ 4: Браузер Microsoft Edge

Еще один способ открыть окно с информацией о добавленных сертификатах – это использовать настройки фирменного браузера Microsoft Edge.

1. Запустите обозреватель и откройте главное меню, кликнув по трем точкам в верхнем правом углу. Выберите «Настройки».


Картинка с сайта: lumpics.ru

2. На левой панели страницы с параметрами перейдите в раздел «Конфиденциальность, поиск и службы». В главном окне отыщите блок «Безопасность» и щелкните по строке «Управление сертификатами».


Картинка с сайта: lumpics.ru

После этого запустится системное окно, где можно посмотреть сертификаты Windows 10.

Наша группа в TelegramПолезные советы и помощь

Данный материал является переводом оригинальной статьи «ATA Learning : Michael Soule : Manage Certs with Windows Certificate Manager and PowerShell».

Работа с сертификатами обычно является одной из тех дополнительных задач, которые вынужден брать на себя системный администратор Windows. Диспетчер Сертификатов Windows (Windows Certificate Manager) — это один из основных инструментов, который позволяет выполнять эту работу.

В этой статье мы рассмотрим работу с сертификатами применительно к операционной системе Windows. Если же вы хотите узнать больше о том, как работают сертификаты в целом, ознакомьтесь с сопутствующей статьей «Your Guide to X509 Certificates».

Понимание хранилищ сертификатов

В диспетчере сертификатов Windows все сертификаты находятся в логических хранилищах, называемых «хранилищами сертификатов». Хранилища сертификатов – это «корзины», в которых Windows хранит все сертификаты, которые в настоящее время установлены, и сертификат может находиться более чем в одном хранилище.

К сожалению, хранилища сертификатов — не самая интуитивно понятная концепция для работы. О том, как различать эти хранилища и как с ними работать, вы прочитаете ниже.

Каждое хранилище находится в Реестре Windows и в файловой системе. При работе с сертификатом в хранилище вы взаимодействуете с логическим хранилищем, не изменяя напрямую реестр или файловую систему. Этот более простой способ позволяет вам работать с одним объектом, в то время как Windows заботится о том, как представить этот объект на диске.

Иногда можно встретить хранилища сертификатов, называемые физическими или логическими хранилищами. Физические хранилища ссылаются на фактическую файловую систему или место в реестре, где хранятся разделы реестра и / или файл(ы). Логические хранилища — это динамические ссылки, которые ссылаются на одно или несколько физических хранилищ. С логическими хранилищами намного проще работать, чем с физическими хранилищами для наиболее распространенных случаев использования.

Windows хранит сертификаты в двух разных областях — в контексте пользователя и компьютера. Сертификат помещается в один из этих двух контекстов в зависимости от того, должен ли сертификат использоваться одним пользователем, несколькими пользователями или самим компьютером. В остальной части этой статьи сертификат в контексте пользователя и компьютера будет неофициально называться сертификатами пользователей и сертификатами компьютеров.

Сертификаты пользователей

Если вы хотите, чтобы сертификат использовался одним пользователем, то идеальным вариантом будет хранилище пользовательских сертификатов внутри Диспетчера сертификатов Windows. Это общий вариант использования процессов аутентификации на основе сертификатов, таких как проводной IEEE 802.1x.

Сертификаты пользователей находятся в профиле текущего пользователя и логически отображаются только в контексте этого пользователя. Сертификаты пользователей «сопоставлены» и уникальны для каждого пользователя даже в одних и тех же системах.

Компьютерные сертификаты

Если сертификат будет использоваться всеми пользователями компьютера или каким-либо системным процессом, его следует поместить в хранилище в контексте компьютера. Например, если сертификат будет использоваться на веб-сервере для шифрования связи для всех клиентов, размещение сертификата в контексте компьютера будет подходящим вариантом.

Вы увидите, что хранилище сертификатов компьютера логически сопоставлено для всех пользовательских контекстов. Это позволяет всем пользователям использовать сертификаты в хранилище сертификатов компьютера в зависимости от разрешений, настроенных для закрытого ключа.

Сертификаты компьютера находятся в кусте реестра локального компьютера и в подкаталогах \ProgramData. Сертификаты пользователя находятся в кусте реестра текущего пользователя и в подкаталогах \AppData. Ниже вы можете увидеть, где каждый тип хранилища находится в реестре и файловой системе.

Предварительные требования

В оставшейся части этой статьи вы найдете несколько примеров, демонстрирующих взаимодействие с хранилищами сертификатов Windows. Чтобы воспроизвести эти примеры, убедитесь, что выполняются следующие требования:

• Windows Vista, Windows Server 2008 или более новая операционная система. В показанных примерах используется Windows 10 Корпоративная версии 1903.
• Знакомство с PowerShell. Хотя это и не обязательно, этот язык будет использоваться для ссылки на сертификаты, где это необходимо. Все показанные примеры были созданы с помощью Windows PowerShell 5.1.
• Вам не потребуется устанавливать какие-либо специальные сертификаты, но использование самозаверяющего сертификата полезно.

Управление сертификатами в Windows

В Windows есть три основных способа управления сертификатами:

• Оснастка консоли управления Microsoft (MMC) сертификатов (certmgr.msc)
• PowerShell
• Инструмент командной строки certutil

В этой статье вы узнаете, как управлять сертификатами с помощью оснастки Certificates MMC и PowerShell. Если вы хотите узнать больше о том, как использовать certutil, ознакомьтесь с документацией Microsoft.

PowerShell против диспетчера сертификатов Windows

Поскольку в Windows можно управлять сертификатами несколькими способами, встаёт вопрос выбора, что лучше использовать — GUI (MMC) или командную строку с PowerShell.

Во-первых, рассмотрим жизненный цикл сертификата. Если вы собираетесь установить или удалить один сертификат только один раз, рассмотрите возможность использования MMC. Но если вы управляете несколькими сертификатами или выполняете одну и ту же задачу снова и снова, использование командной строки может оказаться правильным решением. Даже если вы не умеете писать сценарии PowerShell, вам стоит этому научиться, если у вас есть много разных сертификатов, которыми нужно управлять.

Давайте сначала посмотрим, как обнаружить сертификаты, установленные в Windows, с помощью диспетчера сертификатов и PowerShell.

Использование диспетчера сертификатов Windows (certmgr.msc)

Чтобы просмотреть сертификаты с помощью MMC, откройте Диспетчер сертификатов: откройте меню «Пуск» и введите certmgr.msc. Это вызовет Windows Certificates MMC. Это начальное представление предоставит обзор всех логических хранилищ, отображаемых в левом окне.

На снимке экрана ниже видно, что выбрано логическое хранилище доверенных корневых центров сертификации

Картинка с сайта: blog.it-kb.ru

Просмотр физических хранилищ

По умолчанию Диспетчер сертификатов Windows не отображает физические хранилища. Чтобы показать их, в верхнем меню оснастки выбирайте «View» > «Options«. Затем вы увидите варианты отображения физических хранилищ сертификатов. Включение этого параметра упрощает определение конкретных путей в Windows.

Теперь вы можете видеть, что дополнительные контейнеры показаны в примере логического хранилища доверенных корневых центров сертификации, показанном ранее. Сертификаты по-прежнему сгруппированы относительно их логических хранилищ, но теперь вы можете увидеть физическое хранилище «Реестр».

Картинка с сайта: blog.it-kb.ru

Проверка атрибутов в диспетчере сертификатов Windows

Есть много атрибутов сертификата, которые вы можете увидеть при просмотре их с помощью MMC. Например, вы, вероятно, захотите выбрать определенные сертификаты по их атрибутам. Самый простой способ сделать это — указать Serial Number сертификата или значение Thumbprint. Если сертификат был подписан центром сертификации (CA), при выдаче он будет иметь серийный номер. Thumbprint вычисляется каждый раз при просмотре сертификата.

Вы можете увидеть некоторые атрибуты сертификата, открыв его в MMC, как показано ниже.

Картинка с сайта: blog.it-kb.ru

Следует отметить одну важную особенность — встроенные закрытые ключи. Сертификаты в Windows также могут иметь соответствующий закрытый ключ. Эти закрытые ключи хранятся в соответствующих физических хранилищах в виде зашифрованных файлов.

Чтобы быстро отличать сертификаты с соответствующим закрытым ключом и без него, посмотрите на значок сертификата. В Диспетчере сертификатов Windows, если значок просто выглядит как лист бумаги с лентой, соответствующий закрытый ключ отсутствует. Если у сертификата есть закрытый ключ, вы увидите ключ на значке MMC, и ключ в нижней части вкладки «Общие» при открытии сертификата

Картинка с сайта: blog.it-kb.ru

Использование PowerShell по физическому хранилищу

Как и в случае с MMC, вы можете просматривать сертификаты и управлять ими с помощью PowerShell. Давайте сначала проверим сертификаты в их физических хранилищах (реестр и файловая система).

Используя PowerShell командлет Get-ChildItem, вы можете перечислить все ключи и значения внутри родительского пути в реестре. Приведенная ниже команда перечислит все сертификаты вошедшего в систему пользователя в логическом хранилище промежуточных центров сертификации.

Get-ChildItem -Path 'HKCU:\Software\Microsoft\SystemCertificates\CA\Certificates'

Каждая запись в кусте реестра, который вы видите, будет соответствовать отпечатку сертификата доверенного центра сертификации и его сертификату в соответствующем свойстве. Вы можете увидеть пример вывода ниже.

Картинка с сайта: blog.it-kb.ru

Другое распространенное хранилище — это Personal store. Ваши сертификаты для этого хранилища находятся в файловой системе, а не в реестре. В следующих командах мы покажем эти различные физические пути и их цели.

Каждый файл в каталоге, возвращенный приведенной ниже командой, соответствует сертификату, установленному в личном хранилище текущего пользователя.

Get-ChildItem -Path $env:APPDATA\Microsoft\SystemCertificates\My\Certificates\

Каждый файл, возвращаемый в приведенной ниже команде, является ссылкой на объект для закрытого ключа, созданный поставщиком хранилища ключей (KSP). Имя файла соответствует идентификатору ключа субъекта сертификата. К каждому устанавливаемому вами закрытому ключу будет добавлен соответствующий файл.

Get-ChildItem -Path $env:APPDATA\Microsoft\SystemCertificates\My\Keys\

Каждый файл в каталоге, возвращаемый следующей командой, является уникальным контейнером для зашифрованного закрытого ключа, созданного KSP. Нет прямой связи между именем файла и сертификатом, но файл является целью указателя в предыдущей команде.

Get-ChildItem -Path $env:APPDATA\Microsoft\Crypto\Keys

Использование PowerShell по логическому хранилищу

Поскольку работа с сертификатами на их физических путях встречается редко, в остальных примерах вы будете работать с логическими хранилищами.

PowerShell может получить доступ к логическим хранилищам Windows с помощью PSDrive-объекта «Cert:\«, который сопоставляет сертификаты с физическими хранилищами так же, как это делает MMC.

К сожалению, MMC и «Cert:» не маркируют логические хранилища одинаково. Ниже вы можете увидеть сравнительную таблицу общих хранилищ и их названий как в MMC, так и в «Cert:» PSDrive.

Выбор сертификатов

Когда вы работаете с сертификатами, вам понадобится способ фильтрации и выбора сертификатов для выполнения определенных операций. В большинстве случаев вы будете фильтровать и выбирать сертификаты на основе значения определенного расширения.

Для следующих примеров вам нужно начать с перечисления всех установленных сертификатов в хранилище корневого ЦС.

Get-ChildItem -Path 'Cert:\CurrentUser\Root\'

Возвращенные объекты будут объектами сертификатов, которые вы можете использовать в следующих примерах.

Общие расширения уже доступны как свойства объектов сертификата. В приведенном ниже примере вы используете Get-Member для вывода списка всех свойств возвращаемых объектов.

Get-ChildItem -Path 'Cert:\CurrentUser\Root\' | Get-Member -MemberType Properties

Картинка с сайта: blog.it-kb.ru

Как видим, некоторые из этих расширений, например «Issuer», помогают найти сертификат, который вы ищете. Расширения предоставляют информацию о сертификате, например, кому он выдан, для чего его можно использовать и любые ограничения на него.

В более сложных случаях использования вам может понадобиться найти сертификаты других расширений, таких как используемый шаблон сертификата. Сложность в том, что значения этих расширений возвращаются как массив целых чисел. Эти целые числа соответствуют содержимому в кодировке ASN.1.

Покажем пример взаимодействия с свойствами типа ScriptProperty. В приведенной ниже команде вы извлекаете Key Usages.

((Get-ChildItem -Path 'Cert:\CurrentUser\Root\' | Select -First 1).Extensions | Where-Object {$_.Oid.FriendlyName -eq 'Key Usage'}).format($true)

Новая часть, которую мы вводим в приведенной выше команде, — это метод форматирования, который выполняет декодирование ASN.1. Вы передаете ему логическое значение (например, $true), чтобы определить, хотим ли мы, чтобы возвращаемый объект был однострочным или многострочным.

Попробуем использовать значение Thumbprint из сертификата в приведенной ниже команде. Значение Thumbprint устанавливается как переменная PowerShell и используется для выбора конкретного сертификата в приведенных ниже командах.

$thumb = "cdd4eeae6000ac7f40c3802c171e30148030c072"
Get-ChildItem -Path 'Cert:\CurrentUser\Root\' | Where-Object {$_.Thumbprint -eq $thumb}

Создание самозаверяющих (self-signed) сертификатов с помощью PowerShell

PowerShell может создавать самозаверяющие (self-signed) сертификаты с помощью командлета New-SelfSignedCertificate. Самозаверяющие сертификаты полезны для тестирования, поскольку они позволяют генерировать пару открытого и закрытого ключей без использования центра сертификации.

Теперь давайте создадим самозаверяющий сертификат в хранилищах текущего пользователя и локального компьютера, чтобы использовать его в примерах для следующих шагов.

В приведенном ниже примере PowerShell создает пару открытого и закрытого ключей, самозаверяющий сертификат и устанавливает их все в соответствующие хранилища сертификатов.

New-SelfSignedCertificate -Subject 'User-Test' -CertStoreLocation 'Cert:\CurrentUser\My'
New-SelfSignedCertificate -Subject 'Computer-Test' -CertStoreLocation 'Cert:\LocalMachine\My'

Использование самозаверяющих сертификатов для продуктивных сервисов не рекомендуется, поскольку не существует всех механизмов, основанных на доверии.

Импорт и экспорт сертификатов в MMC

Криптография с открытым ключом основана на широкой доступности открытого ключа. Учитывая это, вам нужны стандартные способы эффективного обмена сертификатами. Не менее важна безопасность ваших личных ключей. Хранение закрытых ключей на недоступных носителях или с материалами для аварийного восстановления — обычная практика для определенных закрытых ключей.

Оба они требуют способов хранения этих криптографических объектов в стандартных форматах. Экспорт предоставляет функции для сохранения этих объектов и обеспечения использования широко распространенных стандартных форматов файлов. Импорт позволяет вам переносить криптографические объекты в операционные системы Windows.

Экспорт сертификатов из MMC относительно прост. Чтобы экспортировать сертификат без закрытого ключа, щелкните сертификат в MMC, выберите меню «Все задачи», а затем «Экспорт».

Во время экспорта вам будет предложено указать формат файла, как показано ниже. Наиболее распространены варианты кодирования — DER или Base-64

Картинка с сайта: blog.it-kb.ru

Экспорт закрытых ключей

Чтобы экспортировать сертификат с соответствующим закрытым ключом, вы должны соответствовать двум критериям:

• Вошедшая в систему учетная запись должна иметь разрешение на закрытый ключ (только для сертификатов компьютеров);
• Закрытый ключ должен быть помечен как экспортируемый.

Чтобы проверить разрешения для закрытых ключей локального компьютера, вы можете выбрать сертификат с закрытым ключом, выбрать «Все задачи» и «Управление закрытыми ключами» в MMC «Сертификаты». В открывшемся диалоговом окне отображаются записи управления доступом для закрытых ключей.

Когда выше обозначенные условия выполнены, вы можете выбрать сертификат, щелкнуть «Все задачи», а затем «Экспорт», как если бы вы использовали сертификат только с открытым ключом. При экспорте теперь у вас должна присутствовать возможность выбора экспорта закрытого ключа («Yes, export the private key»), как показано ниже.

Картинка с сайта: blog.it-kb.ru

Когда вы экспортируете закрытый ключ в Windows, вы можете сохранить файл только как PFX. Этот и другие типы файлов и форматы кодирования подробно описаны в этом посте.

Для остальных параметров, отображаемых в мастере экспорта, вы можете использовать значения по умолчанию. В таблице ниже приводится краткое изложение каждого из них.

Импорт сертификатов

Функция импорта одинакова для всех поддерживаемых типов файлов сертификатов. Единственная разница в том, что если файл содержит закрытый ключ, вы можете «Отметить этот ключ как экспортируемый», о чем вы узнаете подробнее ниже. Windows будет использовать мастер импорта сертификатов.

Картинка с сайта: blog.it-kb.ru

При использовании мастера импорта сертификатов для PFX вам потребуется указать пароль, используемый для шифрования закрытого ключа. Вот еще один обзор вариантов импорта.

Сертификаты для подписи кода PowerShell — хороший вариант использования надежной защиты закрытого ключа.

С автоматическим размещением сертификатов следует проявлять осторожность. Скорее всего, вы получите наилучшие результаты, выбрав хранилище сертификатов вручную.

Импорт и экспорт сертификатов в PowerShell

Теперь с помощью PowerShell экспортируйте один из самозаверяющих сертификатов, которые вы создали ранее. В этом примере вы выбираете сертификат в личном логическом хранилище CurrentUser, который был самозаверяющим.

$certificate = Get-Item (Get-ChildItem -Path 'Cert:\CurrentUser\My\' | Where-Object {$_.Subject -eq $_.Issuer}).PSPath

Теперь, когда вы выбрали сертификат, вы можете использовать команду Export-Certificate, чтобы сохранить файл в кодировке DER, используя команду ниже.

Export-Certificate -FilePath $env:USERPROFILE\Desktop\certificate.cer -Cert $certificate

Теперь давайте посмотрим на экспорт закрытого ключа. Ниже вы проверяете, что у выбранного сертификата есть закрытый ключ. Если он не возвращает True, то команда Get-Item, скорее всего, выбрала неправильный сертификат.

$certificate.HasPrivateKey

Ниже вы установите пароль, который будет использоваться для шифрования закрытого ключа. Затем экспортируйте выбранный сертификат в файл PFX и используйте пароль, который вы ввели ранее, чтобы зашифровать файл.

$pfxPassword = "ComplexPassword!" | ConvertTo-SecureString -AsPlainText -Force
Export-PfxCertificate -FilePath $env:USERPROFILE\Desktop\certificate.pfx -Password $pfxPassword -Cert $certificate

В случае, если необходимо выполнить импорт, как и при экспорте, есть две команды. Одна команда для импорта сертификатов и одна для импорта файлов PFX.

Ниже команда Import-Certificate импортирует файл в формате DER, который вы экспортировали ранее, в личное хранилище текущего пользователя.

Import-Certificate -FilePath $env:USERPROFILE\Desktop\certificate.cer -CertStoreLocation 'Cert:\CurrentUser\My'

Допустим, вы тоже хотите установить закрытый ключ этого сертификата.

$pfxPassword = "ComplexPassword!" | ConvertTo-SecureString -AsPlainText -Force
Import-PfxCertificate -Exportable -Password $pfxPassword -CertStoreLocation 'Cert:\CurrentUser\My' -FilePath $env:USERPROFILE\Desktop\certificate.pfx

Имейте в виду, что пароль должен быть защищенной строкой. Кроме того, если вы импортируете в хранилище локального компьютера (например, «Cert:\LocalMachine«), вам нужно будет запустить команду из командной строки администратора с повышенными привилегиями.

В приведенном выше примере вы также используете параметр -Exportable с командой, отмечая закрытый ключ как экспортируемый в будущем. По умолчанию (без указания этого параметра) экспорт не используется. Экспортируемые закрытые ключи – отельный аспект информационной безопасности, заслуживающий отдельного внимания.

Удаление сертификатов с помощью PowerShell

При удалении сертификатов помните, что понятие «Корзина Windows» в этом случае отсутствует. Как только вы удалите сертификат, он исчезнет! Это означает, что очень важно подтвердить, что вы удаляете правильный сертификат, путем проверки уникального идентификатора, такого как серийный номер или значение расширения Thumbprint.

Как и выше, в приведенной ниже команде мы выбираем самозаверяющий сертификат из личного хранилища текущего пользователя.

$certificate = Get-Item (Get-ChildItem -Path 'Cert:\CurrentUser\My\' | Where-Object {$_.Subject -eq $_.Issuer}).PSPath

Ниже вы можете увидеть свойства отпечатка, серийного номера и темы для выбранного сертификата, чтобы убедиться, что это именно тот сертификат, который вы собираетесь выбрать.

$certificate.Thumbprint
$certificate.SerialNumber
$certificate.Subject

Убедитесь, что вы выбрали правильный сертификат, который собираетесь удалить.

Приведенная ниже команда удаляет все выбранные объекты сертификата, используйте с осторожностью! Передав объект $certificate через конвейер в командлет Remove-Item в приведенной ниже команде, вы удалите все содержимое сертификата без каких-либо запросов на проверку.

$certificate | Remove-Item

Резюме

На протяжении всей этой статьи вы работали с сертификатами в Windows, изучая, как получить к ним доступ, и некоторые инструменты, которые можно использовать при работе с ними. По этой теме можно изучить гораздо больше, в том числе о том, как связать установленные сертификаты с конкретными службами или даже о том, как реализовать инфраструктуру закрытого открытого ключа (PKI) путем развертывания собственных центров сертификации (CA).

Картинка с сайта: astral.ru

В статье расскажем, где на компьютере хранится личный сертификат и закрытый ключ ЭЦП, как их посмотреть и где лучше хранить: на флешке, Рутокене или ПК.

Где хранится сертификат ЭП

Сертификат электронной подписи — это цифровой документ, удостоверяющий вашу личность и позволяющий подписывать электронные документы. Он содержит открытый ключ и устанавливается на компьютер или иное устройство, где вы работаете с ЭДО. А находится он в хранилище сертификатов ЭЦП операционной системы, программном обеспечении криптопровайдера или в системе электронного документооборота.

Закрытый ключ ЭП, используемый для создания подписи, всегда хранится в защищённом месте. Например, на специальном носителе, таком как USB-токен или смарт-карта, либо в защищённом облачном хранилище. Они обеспечивают криптографическую защиту ключа и предотвращают его несанкционированное копирование.

Таким образом, сам сертификат находится на компьютере, а ключевая, секретная часть подписи — всегда на защищённом носителе. Так обеспечивается безопасность и юридическая значимость электронных документов.

Windows

Рассмотрим, где найти файл сертификата ЭЦП в одной из самых распространённых операционных систем.

Как выглядит файл с сертификатом

В Windows XP

Сертификаты хранятся в папке профиля пользователя, по пути: Documents and Settings\<ПОЛЬЗОВАТЕЛЬ>\ApplicationData\Microsoft\SystemCertificates\My\Certificates. При входе в систему, они добавляются в реестр. При использовании внешнего носителя, сертификаты остаются на нём и подключаются при каждом сеансе.

В новых Windows

В новых версиях ОС путь к сертификатам ЭЦП следующий: C:/Users/Пользователь/AppData/Roaming/Microsoft/System/Certificates, где «Пользователь» — имя вашей учётной записи. Доступ к этой папке обычно есть только у администратора.

Реестр Windows

Найти ЭЦП в реестре можно следующим образом:

• для версии 32 бита: папка HKEY_LOCАL_MАCHINE\SOFTWARE\ CryptoPrо\Setting\Users\имя пользователя ПК\Keys\имя хранилища;

• для версии 64 бита — это директория HKEY_LOCAL_MАCHINE\SOFTWARE\Wow6432Node\CryptoPrо\Setting\Users\ имя пользователя ПК\Keys\имя хранилища.

  

  Картинка с сайта: astral.ru

Иногда, чтобы найти файл, необходимо заглянуть в реестр Windows по этому адресу: HKEY_USERS\S-1-5-21-{SID}_Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\CryptoPro\Setting\USERS\S-1-5-21-{SID}\Keys, где SID — идентификатор пользователя.

Реестр OS Linux

В Linux сертификаты обычно хранятся в системных директориях или в домашней папке пользователя:

• в реестре OS Linux для вывода списка открытых ключей необходимо задать команду: csptest -keyset -enum_cont -verifycоntext -fqcn -machinekeys;
• для пользовательских сертификатов команда будет: csptest -keyset -enum_cont -verifycоntext -fqcn.

macOS

Найти сертификат подписи можно двумя способами: через «Связку ключей» или браузер Сафари.

Связка ключей

«Связка ключей» (Keychain Access) — это стандартный инструмент macOS для управления паролями, сертификатами и другими ключами.

В macOS в отличие от Windows сертификаты обычно не хранятся в виде отдельных файлов как .cer или .crt. Они импортируются в «Связку ключей» и хранятся в базе данных. При этом при экспорте сертификата он сохраняется в виде отдельного файла.

Чтобы посмотреть сертификат, сделайте следующее:

1. Откройте Finder — это значок улыбающегося лица в Dock.
2. В меню Finder выберите «Переход», далее «Утилиты» или нажмите Shift + Command + U..
3. В папке «Утилиты» найдите и запустите программу «Связка ключей» (Keychain Access)..
4. В левой панели окна «Связки ключей» вы увидите список связок:.
• «Вход» (login) — обычно находятся сертификаты текущего пользователя..
• «Система» — хранятся системные сертификаты..
5. В категории выберите «Сертификаты» (Certificates)..
6. В правой части окна отобразится список сертификатов. Можно использовать строку поиска, чтобы найти нужный сертификат по имени или другим параметрам. Также список можно сортировать..

Через браузер Safari

Для сертификатов, используемых в браузере:

1. Запустите браузер Safari.
2. В меню Safari выберите «Настройки» или нажмите Command +.
3. Перейдите на вкладку «Конфиденциальность».
4. Нажмите кнопку «Управлять настройками веб-сайта».
5. В левой панели выберите «Сертификаты». Здесь вы можете увидеть сертификаты, которые были установлены для работы с веб-сайтами.

Как найти и посмотреть сертификат ЭП

Существует ещё несколько способов найти установленный на компьютере сертификат ЭП: через программу КриптоПро CSP, консоль MMC, утилиту CertMgr или веб-браузер. С помощью представленных способов вы не только сможете посмотреть сертификат электронной подписи, но и узнаете, как его скачать и установить на ПК. Все эти методы, помимо предоставления информации, позволяют экспортировать сертификат в виде файла или удалить его при необходимости.

КриптоПро CSP

Рассмотрим, как посмотреть данные об ЭЦП в КриптоПро. Для этого выполните следующие шаги:

1. Перейдите в меню «Пуск» и откройте программу «КриптоПро CSP».

2. Перейдите на вкладку «Сервис».

3. Выберите опцию «Просмотреть сертификаты в контейнере».

4. Нажмите кнопку «Обзор», чтобы посмотреть место хранения вашей подписи

   

   Картинка с сайта: astral.ru

5. Важно правильно выбрать носитель, на котором находится ваш ключ:

   • Ключевой носитель Rutoken.

     

     Картинка с сайта: astral.ru

   • Токен JaCarta.

     

     Картинка с сайта: astral.ru

   • Личный носитель. Например, если вы записали сертификат подписи на обычную флешку или раздел диска, выберите опцию, позволяющую указать такой носитель.

     

     Картинка с сайта: astral.ru

   • Реестр компьютера.

     

     Картинка с сайта: astral.ru

   • В КриптоПро CSP версии 5.0 сертификат подписи может храниться в специальной «Директории».

     

     Картинка с сайта: astral.ru

6. Подтвердите выбор нажатием кнопки «ОК». В открывшемся окне вы увидите все данные, связанные с сертификатом вашей электронной подписи.

   

   Картинка с сайта: astral.ru

7. Если сертификат подписи не отображается в ПК, но есть на токене, нажмите «Установить» для его добавления в систему компьютера.

   

   Картинка с сайта: astral.ru

Через оснастку Консоли управления Майкрософт (ММС)

Консоль управления Microsoft позволяет получить доступ к различным системным компонентам, включая хранилища сертификатов. Вот пошаговая инструкция, как это сделать:

1. Откройте меню «Пуск» или нажмите Win+R. Введите в строку поиска mmc и нажмите Enter. Запустится консоль управления Microsoft.

2. В открывшемся окне MMC перейдите в меню «Файл» и выберите «Добавить или удалить оснастку».

   

   Картинка с сайта: astral.ru

3. В появившемся окне «Добавление или удаление оснасток» найдите в списке «Сертификаты» и нажмите кнопку «Добавить».

   

   Картинка с сайта: astral.ru

4. Откроется окно «Оснастка сертификатов». Выберите опцию «Учётная запись компьютера». Это позволит вам просмотреть сертификаты, используемые компьютером. Нажмите «Далее».

   

   Картинка с сайта: astral.ru

   Если вы не обладаете правами администратора на этом компьютере, вы сможете просматривать сертификаты только для своей учётной записи, выбрав «Учётная запись пользователя».

5. В следующем окне оставьте значение по умолчанию «Локальный компьютер» и нажмите «Готово».

   

   Картинка с сайта: astral.ru

6. Вернитесь в окно «Добавление или удаление оснасток», нажмите «ОК».

   

   Картинка с сайта: astral.ru

7. Теперь в левой части окна MMC вы увидите корень консоли. Разверните пункт «Сертификаты (локальный компьютер)». Вы увидите список папок (каталогов), сгруппированных по типу сертификатов. Внутри каждой из этих папок вы сможете просматривать установленные сертификаты, сохранять, добавлять новые, а также удалять ненужные.

   

   Картинка с сайта: astral.ru

Менеджер CertMgr

Найти сертификаты на вашем ПК можно также с помощью программы CertMgr. Процесс поиска аналогичен использованию КриптоПро CSP, и состоит из следующих шагов:

1. Откройте меню «Пуск» и введите «CertMgr» в поисковую строку. Затем запустите найденное приложение.
2. В открывшемся окне CertMgr, в левой панели выберите папку «Личное».

3. Убедитесь, что в правой панели отображаются объекты типа «Сертификаты». Если нет, то выберите соответствующий фильтр.

   

   Картинка с сайта: astral.ru

4. Программа отобразит список всех сертификатов, в том числе и корневых, установленных на вашем компьютере. Выберите нужный и дважды кликните по нему, чтобы открыть и посмотреть информацию.

Браузер Internet Explorer

Для просмотра и управления сертификатами, используемыми в Internet Explorer, выполните следующие действия:

1. Запустите браузер Internet Explorer. Если вы не видите значок IE, воспользуйтесь поиском на панели задач.
2. В правом верхнем углу окна найдите значок «Сервис» (в виде шестерёнки) и нажмите на него. Если вы не видите значок, нажмите клавиши Alt+X.

3. В открывшемся меню выберите пункт «Свойства браузера».

   

   Картинка с сайта: astral.ru

4. В окне «Свойства браузера» перейдите на вкладку «Содержание».

   

   Картинка с сайта: astral.ru

5. Найдите раздел «Сертификаты» и нажмите на одноимённую кнопку «Сертификаты».

6. В открывшемся окне «Сертификаты» вы сможете просматривать, удалять и импортировать сертификаты. Для работы не требуются права администратора. Для упрощения навигации можно использовать фильтры и вкладки для сортировки.

   

   Картинка с сайта: astral.ru

Также можно открыть окно «Свойства браузера» через Панель управления Windows (классический вид). Для этого: откройте Панель управления → найдите и откройте «Свойства браузера» → перейдите на вкладку «Содержание» → нажмите кнопку «Сертификаты».

Доступ к сертификатам через свойства других браузеров

Помимо Internet Explorer, доступ к сертификатам можно получить и через другие популярные браузеры, такие как Microsoft Edge и Google Chrome. В их настройках есть разделы, посвящённые конфиденциальности и безопасности, где можно просматривать, устанавливать и удалять сертификаты.

Microsoft Edge

1. Откройте настройки Edge. Нажмите на значок «три точки» в правом верхнем углу окна браузера или нажмите Alt+F.

   

   Картинка с сайта: astral.ru

2. Выберите «Параметры».

   

   Картинка с сайта: astral.ru

3. В левом меню выберите «Конфиденциальность, поиск и службы».

   

   Картинка с сайта: astral.ru

4. Прокрутите страницу вниз до раздела «Безопасность» и нажмите на «Управление сертификатами».

   

   Картинка с сайта: astral.ru

5. Откроется окно «Сертификаты», где вы сможете устанавливать и удалять сертификаты. Чтобы просмотреть сведения о сертификате, нажмите кнопку «Дополнительно».

   

   Картинка с сайта: astral.ru

Google Chrome

1. Откройте настройки Chrome. Нажмите на значок «три точки» в правом верхнем углу окна браузера.

2. Выберите «Настройки».

   

   Картинка с сайта: astral.ru

3. Справа выберите раздел «Конфиденциальность и безопасность».

   

   Картинка с сайта: astral.ru

4. Прокрутите страницу вниз до раздела «Безопасность».

   

   Картинка с сайта: astral.ru

5. Прокрутите вниз до «Настроить сертификаты», в некоторых версиях «Управление сертификатами».

   

   Картинка с сайта: astral.ru

6. Откроется страница «Менеджера сертификатов». Нажмите «Ваши сертификаты».

   

   Картинка с сайта: astral.ru

   В разделе справа вы можете посмотреть установленные на ПК сертификаты или произвести их настройку.

Где лучше хранить ключи ЭП

Токен разработан специально для безопасного хранения криптографических ключей. Его использование требует физического доступа и ввода PIN-кода, добавляя дополнительный уровень защиты. Ключи, хранящиеся на флешках или дисках, легко могут быть скопированы и украдены.

Где оформить сертификат ЭЦП

Физические лица обращаются в удостоверяющие центры, которые имеют аккредитацию Минцифры. Предприниматели и директора получают сертификат КЭП только в УЦ ФНС.

Сергей Феоктистов