Как исправить сбой «Ошибочный сертификат» в браузере Opera

Как исправить сбой «Ошибочный сертификат» в браузере Opera Сертификаты
Содержание
  1. Firefox начал импортировать корневые сертификаты из windows
  2. Что делать с qr-кодом о вакцинации
  3. Что нужно знать перед настройкой
  4. Что означает ошибочный сертификат
  5. 6. Копирование контейнера закрытого ключа электронной подписи
  6. Если закрытый ключ в виде файлов
  7. Использование электронной подписи без токена или флешки (установка в реестр)
  8. Запрос ssl сертификата в linux
  9. Как добавить qr-код в wallet
  10. Как исправить ошибку
  11. Особенности использования токенов
  12. Подпись ssl сертификата linux в доменном центре сертификации
  13. Причины
  14. Ручная установка персонального сертификата в mozilla firefox – webmoney wiki
  15. Сведения о хранилище доверия и сертификатах
  16. Создание запроса на подпись сертификата (csr)
  17. Ссылки
  18. Установка корневого сертификата — alt linux wiki
  19. Установка личного сертификата с носителя rutoken или etoken
  20. Установка правильного времени
  21. Установка сертификатов используя криптопро в linux
  22. Центр сертификации

Firefox начал импортировать корневые сертификаты из windows

Хранилище сертификатов Firefox

С выходом Mozilla Firefox 65 в феврале 2021 года при подключении к сайтам HTTPS некоторые пользователи стали замечать ошибки типа “Your Connection is not secure” or “SEC_ERROR_UNKNOWN_ISSUER”. Причина оказалась в антивирусах типа Avast, Bitdefender и Kaspersky, которые для MiTM-внедрения в HTTPS-трафик пользователя устанавливают на компьютере свои корневые сертификаты. А поскольку у Firefox собственное хранилище сертификатов, то они пытаются внедриться в него тоже.

Разработчики браузеров давно призывают пользователей отказаться от установки сторонних антивирусов, которые мешают работе браузеров и других программ, однако массовая аудитория пока не прислушивается к призывам. К сожалению, работая в качестве прозрачного прокси, многие антивирусы снижают качество криптографической защиты на клиентских компьютерах. С этой целью разрабатываются инструменты обнаружения HTTPS-перехвата, которые на стороне сервера определяют наличие MiTM, такого как антивирус, в канале между клиентом и сервером.

Так или иначе, но в данном случае антивирусы опять помешали работе браузера, и Firefox не осталось ничего иного, кроме как решать проблему со своей стороны. В конфигах браузере есть настройка security.enterprise_roots.enabled. Если активировать этот флаг, то Firefox начнёт использовать хранилище сертификатов Windows для валидации SSL-соединений. Если у кого-то при посещении сайтов HTTPS возникают вышеупомянутые ошибки, то можно или отключить сканирование SSL-соединений в антивирусе, или вручную установить этот флаг в настройках браузера.

Проблема обсуждается в баг-трекере Mozilla. Разработчики приняли решение в целях эксперимента активировать флаг security.enterprise_roots.enabled по умолчанию, чтобы хранилище сертификатов Windows использовалось без дополнительных действий со стороны пользователя. Это произойдёт с версии Firefox 66 на системах Windows 8 и Windows 10, на которых установлены сторонние антивирусы (определять наличие антивируса в системе API позволяют только с версии Windows 8).

Что делать с qr-кодом о вакцинации

Важно понимать, что сертификат в Wallet содержит не только ваши ФИО. Если перейти в сведения о карточке, то вы увидите «маску» паспортных данных (по ним проверяющий сверяется, что вы – это вы), а также препарат, которым вы вакцинировались. В моём случае это ГамКовидВак, более известный как «Спутник V». О своём опыте вакцинации я писал тут — почитайте, если интересно.

Не нужно бояться, что сайт, который превращает сертификат в карточку для приложения Wallet, получит ваши персональные данные. QR-код защищён таким образом, что не раскрывает ни полного имени, ни тем более паспортных данных. Хоть сайту, хоть проверяющему будут доступны только первые буквы ФИО, а также первые и последние цифры серии и номера паспорта. А вот дата рождения видна целиком.

Как сделать групповой видеозвонок в Телеграм

Что нужно знать перед настройкой

Квалифицированная электронная подпись используется в электронном документообороте и торгах, а также для работы на государственных порталах и регистрации онлайн-кассы.

В большинстве случаев основная работа с подписью происходит в браузере, поэтому перед любыми действиями с сертификатом подписи программа должна быть настроена. Если не провести подготовку браузера, то он не сможет увидеть электронную подпись ни на компьютере, ни на токене.

Настройка браузера подразумевает установку дополнительных плагинов — криптопровайдеров. С их помощью компьютер может совершать криптографические операции, необходимые для работы с электронной подписью.

У браузеров Internet Explorer, Google Chrome, Яндекс.Браузер и Mozilla Firefox интерфейс имеет отличия, поэтому их настройка для работы с электронной подписью различается.

Рассмотрим настройку этих браузеров на основе криптопровайдера КриптоПро CSP.

Что означает ошибочный сертификат

Сегодня все интернет-ресурсы имеют сертификаты, подтверждающие возможность безопасного подключения. Веб-проводник проверяет сайт и при отсутствии проблем подключает к нему пользователя. Если Опера не может проверить подлинность сертификата, она предупреждает об этом и выдает сообщение.

Одобрение Opera гарантирует, что у человека нет причин для переживания. Данные надежно защищены, и никто не украдет конфиденциальную информацию во время входа и работы на сайте. Если проверка провалена, Опера выдает ошибку сертификата, а пользователя два пути — отказаться от посещения или не обращать внимание на сообщение.

Многие идут по последнему варианту. Люди посещают сайт, не обращая внимание на предупреждение. Такой подход чреват проблемами, начиная с потери конфиденциальных данных, заканчивая заражением ПК или ноутбука вредоносной программой. Если Опера выдает ошибочный сертификат, это повод разобраться в причинах и попытаться исправить ситуацию.

6. Копирование контейнера закрытого ключа электронной подписи

Откройте программу 
ViPNet CSP
. Для этого перейдите в меню «
Пуск» – «Все программы» – «ViPNet» – «ViPNet CSP»Криптонастройка(28).pngКонтейнеры
, выделите нужный контейнер одним нажатием левой кнопки мыши и нажмите кнопку 
Копировать
Криптонастройка(29).pngОбзор
Криптонастройка(30).pngОК
. Введите пароль контейнера ключа, после чего задайте новый пароль, и подтвердите его. 

Пароль должен содержать в себе не менее 6 символов. 

На вкладке «Контейнеры» появится копия Вашего контейнера с указанием места хранения.

Если закрытый ключ в виде файлов

Закрытый ключ может быть в виде 6 файлов: header.key, masks.key, masks2.key, name.key, primary.key, primary2.key

Тут есть тонкость если эти файлы записаны на жесткий диск вашего компьютера, то КриптоПро CSP не сможет их прочитать, поэтому все действия надо производить предварительно записав их на флешку (съемный носитель), причем нужно расположить их в папку первого уровня, например: E:Andrey{файлики}, если расположить в E:Andreykeys{файлики}, то работать не будет.

(Если вы не боитесь командной строки, то съемный носитель можно сэмулировать примерно так: subst x: C:tmp появится новый диск (X:), в нем будет содержимое папки C:tmp, он исчезнет после перезагрузки. Такой способ можно использовать если вы планируете установить ключи в реестр)

Нашли файлы, записали на флешку, переходим к следующему шагу.

Использование электронной подписи без токена или флешки (установка в реестр)

Если скорость и удобство работы для вас стоит чуть выше чем безопасность, то можно установить ваш закрытый ключ в реестр Windows. Для этого нужно сделать несколько простых действий:

  1. Выполните подготовку закрытого ключа, описанную в пунктах (2) или (3)
  2. Далее открываем КриптоПро CSP
  3. Заходим на вкладку Сервис
  4. Нажимаем кнопку Скопировать
  5. С помощью кнопки Обзор выбираем наш ключ
  6. Нажимаем кнопку Далее, потом придумаем какое-нибудь имя, например “Пупкин, ООО Ромашка” и нажимаем кнопку Готово
  7. Появится окно, в котором будет предложено выбрать носитель, выбираем Реестр, жмем Ок
  8. Система попросит Установить пароль для контейнера, придумываем пароль, жмем Ок

Чтобы для сертификата проставить ссылку на этот закрытый ключ выполните действия из пункта (4).

Важное замечание: портал OpenSRO не “увидит” сертификат, если вышел срок его действия.

Запрос ssl сертификата в linux

После того как отредактировали файл создаем ключ и запрос в одной команде:

openssl req -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr

Эта команда создаст файл закрытого ключа типа rsa длиной 2048 бит. Вы можете изменить эти параметры по своему усмотрению. Далее последует диалог, в котором необходимо указать основные поля сертификата.

Про сертификаты:  Сертификация хлебобулочных изделий: как быстро подтвердить соответствие продукции | ЛенТехСертификация
Создание запроса ssl сертификата в Linux
Поле Common Name должно совпадать с именем хоста к которому вы выпускаете сертификат

Обратите внимание на поле Common Name такое же имя стоит прописать в конфиге выше в качестве одного из полей в alt_names.

Если пришло время и вы обновляете сертификат, то выпустить запрос можно получив информацию из существующего сертификата:

openssl x509 -in domain.crt -signkey domain.key -x509toreq -out domain.csr

Как добавить qr-код в wallet

  • Нажмите кнопку «Загрузить QR-сертификат» и залейте скриншот сертификата;
  • В открывшемся окне нажмите «Добавить», а затем проверьте карточку сертификата в Wallet.

Сама карточка сертификата в Wallet выглядит довольно невзрачно, но свою функцию она выполняет сполна. Она состоит из названия сайта, через который вы преобразовали QR-код, «маски» ваших фамилии, имени и отчества, а также самого QR-кода. Никаких упоминаний Госуслуг или сайта мэра Москвы тут нет, но они и не нужны.

Телеграм не запускается после обновления. Что делать

Когда от вас потребуют предъявить QR-код на входе в общественное заведение, вам будет достаточно запустить Wallet, открыть карточку сертификата и предъявить его. Охранник на входе отсканирует его, сверит ваши паспортные данные с информацией, которую ему выдаст QR-код, и пропустит вас. При этом сам носитель – приложение Госуслуг, скриншот или Wallet – обычно значения не имеют.

Как исправить ошибку

Многообразие причин требует планомерного подхода. В Сети можно найти много советов, что делать, и как исправить ситуацию, если Опера обнаружила ошибочный сертификат. Но они, как правило, создают еще большую путаницу, чем помогают.

Для достижения результата сделайте такие шаги:

  • Проверьте правильность даты и времени. Для этого перейдите в Панель управления. Войдите в раздел Время и язык, а там в категорию Дата и время. Обратите внимание, чтобы был выбран пункт Установить время автоматически.
  • Проверьте ПК на вирусы. При появлении трудностей не ломайте голову, как в Опере убрать проверку сертификатов. Лучше проверьте ПК или ноутбук на наличие вирусов и «червей». Для этого можно использовать любое антивирусное обеспечение со свежими базами. Путь с обходом защиты ошибочный и ведет к заражению ПК.

Распространенный вопрос — что делать, если в Опере показывает неверное имя сертификата при подключении. Если вы доверяете ресурсу и уверены в его безопасности, исправить проблему легко. Просто добавьте интернет-сайт в доверенный список:

  • Жмите на кнопку меню (О) браузера.
  • Войдите в раздел Настройки.
  • Кликните на кнопку Дополнительно, а там Безопасность.
  • Справа найдите кнопку Настроить сертификаты.
  • Копируйте данные в список доверенных издателей.

Еще одна дилемма — как убрать ошибку сертификата в Опере, если истек срок действия документа. Если вы доверяете сайту, причин для паники нет. Можно смело входить на ресурс, ведь имеющийся SSL вряд ли ошибочный, и его достаточно для надежной защиты. Если сайт авторитетный, специалисты должны быстро исправить ситуацию и продлить срок действия протокола.

Особенности использования токенов

На все токены производитель предлагает гарантийный срок эксплуатации сроком в 12 месяцев. На практике срок службы устройства кратно больше и зависит в основном о соблюдения правил использования. Последние включают следующие рекомендации:

  • защищайте токен от воздействий любого типа (агрессивные вещества, повышенные и пониженные температуры, удары, вибрации, воздействия твердыми предметами);
  • при подключении устройства не прилагайте больших усилий (особенно направленных перпендикулярно боковой поверхности корпуса);
  • предотвращайте попадание на устройство (особенно касается считывателя) пыли, грязи, влаги, а для очистки используйте обычную чистую сухую ткань;
  • не носите токен вместе с ключами, монетами и иными твердыми предметами;
  • не разбирайте и не сгибайте устройство;
  • подключайте токен только к исправному USB-разъему либо считывателю;
  • не извлекайте устройство во время горящего или мигающего индикатора из-за риска повреждения информации, микроконтроллера;
  • не используйте длинные переходники или большие хабы без дополнительного питания из-за снижения напряжения.

На практике, идеальным местом для хранения Рутокен на рабочем месте будет сейф, ящик стола, который закрывается на ключ и куда нет доступа у третьих лиц.

Подпись ssl сертификата linux в доменном центре сертификации

Копируем содержимое csr файла в буфер, затем идем на веб сайт доменного центра сертификации.

Первый шаг подписи сертификата доменным центром сертификации
Кликаем ссылку запрос сертификата

В поле шаблон сертификата выбираем Веб-сервер и кликаем по кнопке «Выдать».

Скачивание ssl сертификата с сайта доменного центра сертификации
Переключаем формат сертификата в Base64

Кликаем по ссылке «Загрузить сертификат» и сохраняем файл сертификата. После этого его можно загрузить на сервер и настроить на использование вебсервером.

Поскольку доменный центр сертификации по умолчанию распространяет свой корневой сертификат на все машины в домене Active Directory, либо вы сделали это с помощью GPO, то все подписанные им сертификаты на машинах в домене будут валидными. Таким образом и SSL сертификат в Linux подписанный доменным центром сертификации прикрученный к внутрикорпоративному веб-серверу тоже не вызовет ошибок в браузере на рабочей машине пользователя.

Данная инструкция пригодится при выпуске сертификата например для установки на Proxmox Mail Gateway или любой другой веб-сервер.

Причины

Из сказанного ясно, что появление ошибки говорит о неспособности браузера подтвердить безопасность ресурса. Чтобы исправить проблему, важно знать, что значит в Опере ошибочный сертификат, и чем это вызвано.

Эксперты выделяют несколько причин:

  1. Несовпадение времени и даты. При проверке сайта Opera сверяет информацию с данными на сервере. Если день или время не совпадают, происходит конфликт подключения. Такую ситуацию легко исправить, но об этом ниже.
  2. Подделка. Бывают ситуации, когда Opera не может проверить ошибочный сертификат из-за подмены. Если веб-проводник наталкивается на фишинговый сайт, браузер распознает обман и выдает тревожное сообщение, мол, ошибочный SSL-сертификат.
  3. Закончился срок действия. Бывают ситуации, когда Опера спрашивает сертификат, но в ответе получает информацию о завершении срока действия. Такие ситуации распространены, ведь SSL-сертификаты выдаются на ограниченный период. Ответственные работники хостинга должны исправить проблему и обновить информацию. Если они пропустили срок, система выдает сведения об истечении действия SSL-сертификата. Если сайт вызывает доверие, можно игнорировать сообщение, ведь из-за просрочки надежность ресурса не ухудшается.
  4. Вирусы. Еще одна причина сбоев в подключении — вредоносное обеспечение на ПК. Первое желание пользователей — разобраться, как в Опере отключить проверку сертификатов и обойти защиту. Этого нельзя делать, ведь игнорирование проблемы ведет к заражению ПК. Результатом может стать потеря данных и другие последствия. Лучше разобраться с причиной и исправить ситуацию. В 9 из 10 случаев виновником является «вредоносный червь», перенаправляющий пользователя на поддельные сайты для кражи личной информации и заражения вредоносным ПО.
  5. Неправильное имя. Бывают ситуации, когда SSL-сертификат выдан для конкретного ресурса, и ставить его на другом портале нельзя. Если это и удалось сделать, при подключении возникает конфликт. Опера пишет, мол, «Ошибочный сертификат», а пользователь думает, что делать. Здесь в распоряжении два пути — игнорировать ситуацию или перейти на сайт.

Выше перечислены главные причины, объясняющие конфликты при подключении. В таких ситуациях рождается главный вопрос, как исправить ошибочный сертификат Opera, и нужно ли игнорировать проблему.

Ручная установка персонального сертификата в mozilla firefox – webmoney wiki

Данной инструкцией следует пользоваться в том случае, если несколько попыток получения нового персонального сертификата и его установки в хранилище сертификатов браузера Mozilla Firefox окончились неудачно. То есть после выполнения всех действий на сайте www.wmcert.com сертификат не установился в хранилище браузера, а при попытке получить его заново сервис www.wmcert.com выдает сообщение: “На данный момент для Вашего WM id недоступна процедура обновления регистрации. Вы должны воспользоваться процедурой обновления сертификатов за две недели до окончания срока действия Вашего сертификата”.

Данная ситуация говорит о том, что закрытый ключ на вашем компьютере сгенерирован, сертификат сервером выдан, но в браузер не инсталлирован.

В настоящее время функции управления сертификатами Firefox позволяют импортировать только сертификаты с закрытым ключом (формат PFX), поэтому для инсталляции нового сертификата нам потребуются дополнительные программные средства: NSS Securty Tools (далее NSS) и Netscape Portable Runtime (далее NSPR).

Про сертификаты:  Помощь. Вопросы и ответы

1 Для того чтобы выполнить установку “вручную” необходимо получить сертификат – файл вида .cer и в профиле Firefox найти три файла базы данных хранилища сертификатов – cert8.db, key3.db, secmod.db.

Файлы хранилища располагаются в директории профиля браузера Х:Documents and SettingsApplication DataMozillaFirefoxProfiles.default.

2 Копируем файлы в отдельную директорию, например, в x:cert.

3 Скачиваем утилиты и библиотеки NSS и NSPR. Распаковываем.
( для систем, основанных на базе ядра Linux, необходимо установить пакет libnss3-tools )

4 Из директории lib пакета NSPR копируем все файлы в системную папку x:WINNTSystem32. Аналогичное действие выполняем для пакета NSS. Из директории bin пакета NSS в нашу рабочую папку x:cert копируем утилиту certutil.exe.

5 Жмем “Пуск->Выполнить”. В поле “Открыть” набираем cmd и нажимаем кнопку “ОК”. Затем в командной строке набираем

cd x:cert

и жмем ввод.

6 Вводим команду

certutil -A -n <имя сертификата> -t &quot;u,u,u&quot; -d x:cert -i <номер WMID>.cer

где – любое название, может быть, например, номером WMID.

Внимание!
1. Вы должны выполнять эти команды в том же профайле (аккаунте Windows), в котором вы запускали Firefox при продлении!
Firefox не должен быть запущен, при выполнении команд .

2.При получении ошибки “certutil: unable to decode trust string: Certificate extension not found.”
Команду рекомендуется изменить, указав полный путь к файлу .cer , и уникальное новое имя сертификата, например:

 certutil -A -n <имя сертификата>newX -t &quot;u,u,u&quot; -d x:cert -i x:cert<номер WMID>.cer

Также, для ключа -t необходимо использовать стандартные кавычки “u,u,u”, а не русские “u,u,u”,
и пробелы после запятых также недопустимы (“u, u, u” – некорректно).

При некорректном указании ключа -t или пути к файлу .cer выдается ошибка:
certutil: unable to decode trust string: Certificate extension not found.

7 Копируем файлы cert8.db, key3.db, secmod.db обратно в директорию профиля браузера Х:Documents and SettingsApplication DataMozillaFirefoxProfiles.default.

8 Удаляем старый сертификат из хранилища Firefox.

См. также
Персональный сертификат
Продление персонального сертификата
Регистрация WM Keeper WebPro в Mozilla Firefox

Сведения о хранилище доверия и сертификатах

В каждом хранилище доверия содержится три категории сертификатов.

Выполните следующие действия, чтобы найти версию хранилища доверия, установленного на вашем устройстве iOS или iPadOS.

  1. Перейдите в меню «Настройки» > «Основные» > «Об устройстве».
  2. Прокрутите список до конца.
  3. Выберите пункт «Настройки доверия сертификатов».

Выполните эти действия, чтобы найти версию хранилища доверия, установленного на компьютере Mac.

  1. В приложении Finder выберите пункт «Переход» > «Переход к папке».
  2. Введите или вставьте «/Система/Библиотеки/Security/Certificates.bundle/Contents/Resources/TrustStore.html» и нажмите «Перейти».
  3. В появившейся папке откройте TrustStore.html. Версия хранилища доверия находится в правом верхнем углу страницы.

В статье перечислены сертификаты для хранилища доверия версии 2020082800, которая является текущей для iOS 14.2 и более поздних версий, iPadOS 14.2, macOS 11 и более поздних версий, watchOS 7.1 и более поздних версий, а также для tvOS 14.2 и более поздних версий.

Создание запроса на подпись сертификата (csr)

Вне зависимости от того получаете ли вы сертификат от CA или создаете самоподписаный, первым шагом будет создание ключа.

Если сертификат будет использоваться системными сервисами такими, как Apache, Postfix, Dovecot и т.п., уместно создать ключ без пароля. Отсутствие пароля позволяет сервису стартовать с минимальным ручным вмешательством, обычно это предпочтительный вариант запуска сервиса.

В этой секции показано как создать ключ с кодовым словом (паролем) и без него. Беспарольный ключ затем будет использован для создания сертификата, который можно использовать для различных системных сервисов.

Запуск вашего защищенного сервиса без кодовой фразы удобен потому, что вам не потребуется вводить ее при каждом старте данного сервиса. Однако это небезопасно и компрометация ключа будет означать и компрометацию сервера.

Для генерации ключей CSR запроса, запустите следующую команду из терминала:

openssl genrsa -des3 -out server.key 2048
Generating RSA private key, 2048 bit long modulus
..........................      
.......      
e is 65537 (0x10001)
Enter pass phrase for server.key:

Теперь вы можете ввести вашу кодовую фразу. Для лучшей безопасности рекомендуется использовать не менее восьми символов. Минимальная длина при использовании -des3 – 4 символа. Фраза должна включать цифры и/или знаки препинания и не должно быть словом из словаря. Также не забывайте, что ваша фраза будет чувствительна к регистру.

Повторите ввод для проверки. В случае корректного ввода ключ сервера будет создан и записан в файл server.key.

Теперь создадим небезопасный ключ, без кодовой фразы и поменяем имена ключей:

openssl rsa -in server.key -out server.key.insecure
mv server.key server.key.secure
mv server.key.insecure server.key

Небезопасный ключ теперь называется server.key и вы можете использовать его для создания CSR без кодовой фразы.

Для создания CSR выполните следующую команду в терминале:

openssl req -new -key server.key -out server.csr

У вас будет запрошена кодовая фраза (при использовании ключа с паролем – прим. пер.). Если введена корректная фраза, у вас запросят название компании, имя сайта, email и пр. Как только вы введете все эти подробности, будет создан запрос CSR и сохранен в файл server.csr.

Теперь вы можете оправить CSR файл в центр сертификации для обработки. CA использует этот файл для выпуска сертификата. С другой стороны, вы можете создать и самозаверенный сертификат, используя этот же CSR.

Ссылки

  1. Для более детальных инструкций по использованию криптографии смотрите SSL Certificates HOWTO на tlpd.org.

  2. Страница Википедии HTTPS содержит больше относительно HTTPS.

  3. Для дополнительной информации по OpenSSL смотрите домашнюю страницу OpenSSL.

  4. Также хорошее глубокое руководство Network Security with OpenSSL от O’Reilly.


<-назад |
далее->

Установка корневого сертификата — alt linux wiki

Для установки корневых сертификатов, необходимо поместить файлы сертификатов в /etc/pki/ca-trust/source/anchors/ и обновить общесистемный список доверенных CA:

# cp /home/user/qca2020.crt /etc/pki/ca-trust/source/anchors/ && update-ca-trust

Chromium, Firefox и созданные на их основе веб-браузеры доверяют корневым сертификатам, установленным на уровне системы.

Установленный сертификат в Firefox:

Корневой сертификат в Firefox

Установленный сертификат в Chromium:

Корневой сертификат в Chromium

Удаление сертификата:

# rm -f /etc/pki/ca-trust/source/anchors/qca2020.crt && update-ca-trust

Установка личного сертификата с носителя rutoken или etoken

Данная инструкция поможет вам установить личный сертификат с использованием носителей ruToken или eToken.

Если у вас установлена операционная система Windows 7, воспользуйтесь данной инструкцией – Установка личного сертификата для Windows 7

Проверка наличия сертификата в контейнере

  1. Перед установкой личного сертификата с носителя ruToken или eToken необходимо проверить наличие сертификата в контейнере, для этого:
  2. Запустите программу КриптоПро CSP: (Пуск — Настройка — Панель управления — КриптоПро CSP или Пуск — Панель управления — КриптоПро CSP )
  3. Откройте вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере»

ustanovka sert 1

4.   В открывшемся окне нажмите кнопку «Обзор»

ustanovka sert 2

5.  Выберите контейнер, который необходимо проверить на наличие в нем сертификата, и нажмите кнопку «Ок»

ustanovka sert 3

6.  После того, как в поле «Имя ключевого контейнера» установится название контейнера, нажмите кнопку «Далее»

ustanovka sert 4

7. Если откроется окно «Введите pin-код для контейнера», необходимо ввести Pin-код для носителя.

Внимание! В зависимости от региона подключения,  pin-код  на рутокен может отличаться.  Pin-код на носитель следует узнавать в точке подключения.

Pin-коды по умолчанию:

  • ruToken 12345678
  • eToken 1234567890

ustanovka sert 5

8. Если открылось окно «Сертификат для просмотра», значит, в контейнере есть личный сертификат, и вы можете его установить.

Установка сертификата

  1. Для установки сертификата нажмите кнопку «Свойства»

ustanovka sert 6

2.  Во вкладке «Общее» нажмите кнопку «Установить сертификат…»

ustanovka sert 7

3.  Для подтверждения установки нажмите кнопку «Далее»

ustanovka sert 9

Выбор хранилища

  1. В следующем окне «Хранилище сертификатов» выберите режим «Поместить сертификаты в следующие хранилище», нажмите кнопку «Обзор»

ustanovka sert 10

2.  Затем выделите хранилище Личное (Личные) и нажмите кнопку «Ок»

ustanovka sert 11

3. После того, как в поле «Хранилище сертификатов» появится имя хранилища, нажмите кнопку «Далее», а затем «Готово».

4. Затем откроется окно «Импорт успешно выполнен» — это означает, что сертификат успешно установлен.

Про сертификаты:  Как подключить сертификат подписанный AD CS к RPD -

5. Для завершения установки нажмите кнопки «Ок» — «Готово» — «Ок».

Установка сертификата успешно завершена.

Источник: ФГУП ЦентрИнформ

Установка правильного времени

Первая причина, из-за которой браузер может вести себя подобным образом, заключается в том, что на компьютере пользователя установлена неправильная дата и время. Дело в том, что при попытке загрузки сертификата с сайта Опера получает совсем другую информацию о времени. И поэтому считает сертификат просроченным.

Такая ситуация случается довольно часто. Но ее можно легко исправить. Не потребуется никаких специальных знаний и умений. Все, что нужно – правильно настроить время на компьютере. А это можно сделать при помощи встроенных инструментов Windows. Но на всякий случай мы предоставим подробную инструкцию:

  1. Нажимаем комбинацию клавиш Win R.
  2. Выполняем команду timedate.cpl.Команда timedate.cpl в окне Выполнить
  3. Переходим к последней вкладке открывшегося окна и активируем пункт настройки.Настройка даты и времени Windows
  4. Включаем опцию автоматического определения даты и времени.
  5. Обновляем данные.
  6. Жмем «ОК».Автоматическая настройка даты и времени Windows
  7. Закрываем окно параметров.
  8. Перезапускаем ПК.

После настройки времени можно снова запускать Оперу и пытаться загрузить проблемный сайт. Если этот вариант не помог, то стоит перейти к следующему способу.

Установка сертификатов используя криптопро в linux

Описание процесса установки приведено на примере дистрибутива семейства Debian (x64).
Названия файлов и директорий могут варьироваться от системы к системе.

При установке личных сертификатов не нужны права суперпользователя, и наоборот, при установке сертификатов УЦ
(корневых и промежуточных) могут потребоваться такие права.

Подключите USB носитель с ключевыми контейнерами и проверьте результат команды:

/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifyc
    CSP (Type:80) v4.0.9009 KC1 Release Ver:4.0.9797 OS:Linux CPU:AMD64 FastCode:READY:AVX.
    AcquireContext: OK. HCRYPTPROV: 16188003
    \.FLASHivanov\.FLASHpetrov\.FLASHsidorov\.FLASHvasiliev\.FLASHsmirnov
    OK.
    Total: SYS: 0,020 sec USR: 0,060 sec UTC: 0,180 sec

Можно сразу установить личные сертификатов из всех доступных контейнеров одной командой:

/opt/cprocsp/bin/amd64/csptestf -absorb -certs
Произойдет установка сертификатов, находящихся во всех доступных в момент запуска команды контейнерах
(съемных флэш-носителях, жесткого диска и т. д.) в хранилище uMy.

При необходимости скопируйте ключевой контейнер \.FLASH.sidorov на жесткий диск:

/opt/cprocsp/bin/amd64/csptest -keycopy -contsrc '\.FLASHsidorov' -contdest '\.HDIMAGEsidor'
    CSP (Type:80) v4.0.9009 KC1 Release Ver:4.0.9797 OS:Linux CPU:AMD64 FastCode:READY:AVX.
    CryptAcquireContext succeeded.HCRYPTPROV: 38556259
    CryptAcquireContext succeeded.HCRYPTPROV: 38770755
    Total: SYS: 0,000 sec USR: 0,100 sec UTC: 14,920 sec
    [ErrorCode: 0x00000000]

Наличие [ErrorCode: 0x00000000] в завершении каждой команды КриптоПРО говорит о ее успешном выполнении.

Проверьте наличие нового контейнера \.HDIMAGEsidor:

/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifyc
    CSP (Type:80) v4.0.9009 KC1 Release Ver:4.0.9797 OS:Linux CPU:AMD64 FastCode:READY:AVX.
    AcquireContext: OK. HCRYPTPROV: 34554467
    \.FLASHivanov
    \.FLASHpetrov
    \.FLASHsidorov
    \.FLASHvasiliev
    \.FLASHsmirnov
    \.HDIMAGEsidor
    OK.
    Total: SYS: 0,010 sec USR: 0,050 sec UTC: 0,130 sec
    [ErrorCode: 0x00000000]

Установите личный сертификат:

/opt/cprocsp/bin/amd64/certmgr -inst -cont '\.HDIMAGEsidor'
    Certmgr 1.0 (c) "CryptoPro",  2007-2021.
    program for managing certificates, CRLs and stores

    Install:
    =============================================================================
    1-------
    Issuer              : OGRN=1234567890123, INN=1234567890, STREET=Арбат, E=info@berkut.ru, C=RU, S=77 г.Москва, L=Москва, O=ООО 'Беркут', OU=Удостоверяющий центр, CN=UCESTP
    Subject             : SNILS=12345678901, OGRN=1234567890123, INN=0011234567890, E=sidorov@mail.ru, C=RU, S=10 Республика Карелия, L=Петрозаводск, O=ООО Ромашка, CN=Сидоров Николай Павлович, T=Администратор, G=Николай Павлович, SN=Сидоров
    Serial              : 0x12C40953000000000019
    SHA1 Hash           : 0xdd0ea8db46a372571c55315cd7e4d8e2de8fb9b6
    SubjKeyID           : 5fc37e578cce0abe739c4da227f68a2f9abcb128
    Signature Algorithm : ГОСТ Р 34.11/34.10-2001
    PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
    Not valid before    : 09/08/2021  06:07:00 UTC
    Not valid after     : 09/11/2021  06:17:00 UTC
    PrivateKey Link     : No
    CA cert URL         : http://cert1.ucestp.ru/estp.crt
    Extended Key Usage  : 1.3.6.1.5.5.7.3.4
    1.3.6.1.5.5.7.3.2
    =============================================================================
    [ErrorCode: 0x00000000]

Скачайте корневой сертификат по ссылке выше (из поля CA cert URL):
http://cert1.ucmy-sertif.ru/estp.crt
и перенесите его, например, в домашнюю папку:

cp ~/Загрузки/estp.crt ~/estp.crt

Установите корневой сертификат (возможно потребуются права суперпользователя):

/opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file ~/estp.crt
    Certmgr 1.0 (c) "CryptoPro",  2007-2021.
    program for managing certificates, CRLs and stores

    Install:
    =============================================================================
    1-------
    Issuer              : OGRN=1234567890123, INN=1234567890, STREET=Арбат, E=info@berkut.ru, C=RU, S=77 г.Москва, L=Москва, O=ООО 'Беркут', OU=Удостоверяющий центр, CN=UCESTP
    Subject             : OGRN=1234567890123, INN=1234567890, STREET=Арбат, E=info@berkut.ru, C=RU, S=77 г.Москва, L=Москва, O=ООО 'Беркут', OU=Удостоверяющий центр, CN=UCESTP
    Serial              : 0x50D7BC0E4A3EC9994454EB83013EE5F5
    SHA1 Hash           : 0xd2144a3e098b6f2decb224257f48e2b7c6d85209
    SubjKeyID           : 07b753cd561dee8e5e83407be4575ecc05bfec14
    Signature Algorithm : ГОСТ Р 34.11/34.10-2001
    PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
    Not valid before    : 17/06/2021  13:15:21 UTC
    Not valid after     : 17/06/2021  13:25:01 UTC
    PrivateKey Link     : No
    =============================================================================
    [ErrorCode: 0x00000000]

Проверьте установку личного сертификата:

/opt/cprocsp/bin/amd64/certmgr -list -store uMy
    Certmgr 1.0 (c) "CryptoPro",  2007-2021.
    program for managing certificates, CRLs and stores
    =============================================================================
    1-------
    Issuer              : OGRN=1234567890123, INN=1234567890, STREET=Арбат, E=info@berkut.ru, C=RU, S=77 г.Москва, L=Москва, O=ООО 'Беркут', OU=Удостоверяющий центр, CN=UCESTP
    Subject             : SNILS=12345678901, OGRN=1234567890123, INN=0011234567890, E=sidorov@mail.ru, C=RU, S=10 Республика Карелия, L=Петрозаводск, O=ООО Ромашка, CN=Сидоров Николай Павлович, T=Администратор, G=Николай Павлович, SN=Сидоров
    Serial              : 0x12C40953000000000019
    SHA1 Hash           : 0xdd0ea8db46a372571c55315cd7e4d8e2de8fb9b6
    SubjKeyID           : 5fc37e578cce0abe739c4da227f68a2f9abcb128
    Signature Algorithm : ГОСТ Р 34.11/34.10-2001
    PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
    Not valid before    : 09/08/2021  06:07:00 UTC
    Not valid after     : 09/11/2021  06:17:00 UTC
    PrivateKey Link     : Yes
    Container           : HDIMAGE\sidor.0002B01
    Provider Name       : Crypto-Pro GOST R 34.10-2021 KC1 CSP
    Provider Info       : ProvType: 80, KeySpec: 1, Flags: 0x0
    CA cert URL         : http://cert1.ucestp.ru/estp.crt
    Extended Key Usage  : 1.3.6.1.5.5.7.3.4
    1.3.6.1.5.5.7.3.2
    =============================================================================
    [ErrorCode: 0x00000000]

Центр сертификации

Если сервисы вашей сети требуют больше чем самозаверенные сертификаты, может быть полезным дополнительное усилие по установке вашего собственного внутреннего центра сертификации (CA). Использование сертификатов, подписанных вашим центром, позволяют различным сервисам использовать сертификаты для простого доверия другим сервисам, использующих сертификаты, выданные тем же CA.

1. Сначала создайте каталоги для хранения сертификата CA и необходимых файлов:

sudo mkdir /etc/ssl/CA
sudo mkdir /etc/ssl/newcerts

2. Центр сертификации требует несколько дополнительных файлов для своей работы; один для хранения последнего серийного номера, использованного CA, другой для записи какие сертификаты были выпущены:

sudo sh -c "echo '01' > /etc/ssl/CA/serial"
sudo touch /etc/ssl/CA/index.txt

3. Третий файл – это файл настроек CA. Хотя он не строго обязателен, но очень удобен для выпуска множества сертификатов. Отредактируйте /etc/ssl/openssl.cnf, изменив секцию [ CA_default ]:

dir             = /etc/ssl/             # Where everything is kept
database        = $dir/CA/index.txt     # database index file.
certificate     = $dir/certs/cacert.pem # The CA certificate
serial          = $dir/CA/serial        # The current serial number
private_key     = $dir/private/cakey.pem# The private key

4. Далее создайте самоподписанный сертификат:

openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

Вам будут заданы вопросы по деталям сертификата.

5. Теперь установим корневой сертификат и ключ:

sudo mv cakey.pem /etc/ssl/private/
sudo mv cacert.pem /etc/ssl/certs/

6. Теперь вы готовы приступить к выпуску сертификатов. Первое, что вам потребуется – запрос на сертификат (CSR). Смотрите детали в разделе Создание запроса на подпись сертификата (CSR). Получив CSR, введите следующую команду для создания сертификата, подписанного нашим центром:

sudo openssl ca -in server.csr -config /etc/ssl/openssl.cnf

После ввода пароля для ключа CA у вас запросят подтверждение на подпись сертификата и еще одно на сохранение нового сертификата. Затем вы сможете увидеть нечто с объемным выводом, относящееся к созданию сертификата.

7. Теперь у вас должен появиться новый файл /etc/ssl/newcerts/01.pem, с таким же содержанием, что и в предыдущем выводе. Выделите и скопируйте все, начиная со строки —–BEGIN CERTIFICATE—– и до строки —–END CERTIFICATE—– в файл с названием по сетевому имени сервера, где он будет установлен. Например, mail.example.com.crt – вполне хорошее описательное имя.

Последующие сертификаты будут иметь имена 02.pem, 03.pem и т.д.

Замените mail.example.com.crt на ваше собственное описательное имя.

8. Наконец, скопируйте новый сертификат на компьютер, для которого он выпущен, и настройте соответствующие приложения на его использование. Место по умолчанию для установки сертификатов – каталог /etc/ssl/certs. Это позволяет многим сервисам использовать один и тот же сертификат без чрезмерного усложнения прав доступа к файлу.

Для приложений, которые могут быть настроены на использование сертификата CA, вы можете скопировать файл /etc/ssl/certs/cacert.pem в каталог /etc/ssl/certs/ на каждом сервере.

Оцените статью
Мой сертификат
Добавить комментарий