Где хранятся сертификаты в windows 7

Практическое руководство. Просмотр сертификатов с помощью оснастки MMC

При создании защищенного клиента или службы в качестве учетных данных можно использовать сертификат . Например, распространенный тип учетных данных — сертификат X.509, который создается с помощью X509CertificateInitiatorClientCredential.SetCertificate метода .

Существует три различных типа хранилищ сертификатов, которые можно изучить с помощью консоли управления (MMC) в системах Windows:

• Локальный компьютер. Хранилище является локальным для устройства и глобальным для всех пользователей на устройстве.
• Текущий пользователь. Хранилище является локальным для текущей учетной записи пользователя на устройстве.
• Учетная запись службы. Хранилище является локальным для определенной службы на устройстве.

Просмотр сертификатов в оснастке MMC

В следующей процедуре показано, как проверить хранилища на локальном устройстве, чтобы найти соответствующий сертификат.

1. Выберите Выполнить в меню Пуск и введите mmc. Появится MMC.
2. В меню Файл выберите Добавить или удалить оснастку. Откроется окно Добавление и удаление оснасток .
3. В списке Доступные оснастки выберите Сертификаты, а затем нажмите кнопку Добавить.
4. В окне оснастки Сертификаты выберите Учетная запись компьютера, а затем нажмите кнопку Далее. При необходимости можно выбрать Моя учетная запись пользователя для текущего пользователя или Учетная запись службы для конкретной службы.

Примечание Если вы не являетесь администратором устройства, вы можете управлять сертификатами только для своей учетной записи пользователя.

В окне Выбор компьютера оставьте флажок Локальный компьютер и нажмите кнопку Готово.

В окне Добавление или удаление оснастки нажмите кнопку ОК.

Необязательно. В меню Файл выберите Сохранить или Сохранить как , чтобы сохранить файл консоли MMC для последующего использования.

Чтобы просмотреть сертификаты в оснастке MMC, выберите Корень консоли в области слева, а затем разверните узел Сертификаты (локальный компьютер). Отобразится список каталогов для каждого типа сертификата. В каждом каталоге сертификатов можно просматривать, экспортировать, импортировать и удалять его сертификаты.

Просмотр сертификатов с помощью диспетчера сертификатов

Вы также можете просматривать, экспортировать, импортировать и удалять сертификаты с помощью средства диспетчера сертификатов.

Просмотр сертификатов для локального устройства

1. В меню Пуск выберите Выполнить, а затем введите certlm.msc. Откроется средство диспетчера сертификатов для локального устройства.
2. Чтобы просмотреть сертификаты, в разделе Сертификаты — локальный компьютер в области слева разверните каталог для типа сертификата, который требуется просмотреть.

Просмотр сертификатов для текущего пользователя

1. Выберите параметр Выполнить в меню Пуск, а затем введите certmgr.msc. Отобразится инструмент диспетчера сертификатов для текущего пользователя.
2. Чтобы просмотреть сертификаты, в разделе Сертификаты — текущий пользователь в области слева разверните каталог для типа сертификата, который требуется просмотреть.

См. также раздел

• Работа с сертификатами
• Практическое руководство. Создание временных сертификатов для использования во время разработки
• Практическое руководство. Получение отпечатка сертификата

Где в Windows хранятся корневые сертификаты Центров Сертификации (CA)

Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.

В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.

Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:

certmgr.msc

Перейдите в раздел «Доверенные корневые центры сертификации» → «Сертификаты»:

Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.

Просмотр сертификатов в PowerShell

Чтобы просмотреть список сертификатов с помощью PowerShell:

Get-ChildItem cert:\LocalMachine\root | format-list

Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):

Get-ChildItem cert:\LocalMachine\root | Where | format-list

Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:

Сертификаты уровня пользователей:

• HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates — содержит настройки сертификатов для текущего пользователя
• HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates — как и предыдущее расположение, но это соответствует сертификатам пользователей, развёрнутым объектом групповой политики (GPO (Group Policy))
• HKEY_USERS\SID-User\Software\Microsoft\SystemCertificates — соответствует настройке определённых пользовательских сертификатов. У каждого пользователя есть своя ветка в реестре с SID (идентификатор безопасности).

Сертификаты уровня компьютера:

• HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates — содержит настройки для всех пользователей компьютера
• HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates — как и предыдущее расположение, но это соответствует сертификатам компьютера, развёрнутым объектом групповой политики (GPO (Group Policy))

Сертификаты уровня служб:

• HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Services\ServiceName\SystemCertificates — содержит настройки сертификатов для всех служб компьютера

Сертификаты уровня Active Directory:

• HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates — сертификаты, выданные на уровне Active Directory.

И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.

Пользовательские сертификаты (файлы):

• %APPDATA%\Microsoft\SystemCertificates\My\Certificates
• %USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\SID
• %USERPROFILE%\AppData\Roaming\Microsoft\Credentials
• %USERPROFILE%\AppData\Roaming\Microsoft\Protect\SID

Компьютерные сертификаты (файлы):

• C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys

Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.

Google Chrome

Использует общесистемные доверенные корневые центры сертификации.

Чтобы перейти к списку сертификатов из веб браузера:

Настройки → Приватность и Защита → Безопасность → Управление сертификатами → Просмотр сертификатов → Центры сертификации → Доверенные корневые центры сертификации:

Opera

Чтобы перейти к списку сертификатов из веб браузера: Настройки → Перейти к настройкам браузера → Дополнительно → Безопасность → Ещё → Настроить сертификаты → Доверенные корневые центры сертификации:

Firefox

Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:

Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».

Связанные статьи:

• Как добавить сертификат Центра Сертификации (CA) в доверенные в Windows (99.4%)
• Как включить DNS через HTTPS (DoH) в веб-браузерах (58%)
• Как в Windows 11 поменять веб-браузер по умолчанию (52.5%)
• Почему Windows 10 использует так много трафика и как это исправить (50.8%)
• Программное обеспечение для компьютерной криминалистики на Windows (50.8%)
• TightVNC — клиент и сервер VNC для Windows (RANDOM — 50%)

Работа с диспетчером сертификатов системы Windows

Для просмотра и управления сертификатами в Windows необходимо войти в систему с правами администратора.

С помощью диспетчера сертификатов можно подробно ознакомиться с сертификатами, изменить или удалить существующие и добавить новые.

• Откройте диспетчер сертификатов. Если будет предложено ввести пароль администратора или его подтверждение, укажите пароль или предоставьте подтверждение.

Советы по работе с диспетчером сертификатов Windows

Сертификаты хранятся в папках, размещенных в разделе Сертификаты → текущий пользователь.

В открытой папке с сертификатами, сертификаты и некоторые сведения о них отражены в правой колонке. В столбце «Назначение» отображаются сведения о назначении каждого сертификата.

Можно получить новый сертификат с имеющимся или новым ключом; также сертификаты можно импортировать и экспортировать.

Чтобы выполнить любое из этих действий, щелкните сертификат, меню Действие, выберите на пункт Все задачи и выберите команду, которую необходимо выполнить.

Корневые хранилища сертификатов в браузерах. Основные доверенные центра Интернета

В декабре 2022 года из корневого хранилища Mozilla исключили корневые сертификаты TrustCor (точнее, для них проставлена метка Distrust for X After Date с 01.12.2022). Причиной стало сотрудничество с компаниями, у которых обнаружились связи с разведывательным сообществом США. К этому решению Mozilla позже присоединились Apple, Google и Microsoft. Таким образом, сертификаты крупного УЦ одномоментно обесценились на большинстве пользовательских устройств.

Более того, «доверие к TrustCor» внесли в глобальную базу данных уязвимостей. Теперь если вы размещаете на GitHub код с доверием к сертификатам TrustCor, система сообщает об уязвимости средней тяжести.

Корневые хранилища сертификатов

Корневые хранилища (root store) — это базовые хранилища доверенных корневых центров сертификации. Например, хранилище Microsoft используется для проверки сертификатов в операционной системе Windows, а хранилище Mozilla используется для проверки сертификатов браузерами Chrome, Firefox, а также операционной системой Linux.

Роль корневых сертификатов в цепочке доверия

У Apple собственное корневое хранилище, но для проверки цепочки доверия она использует сертификаты в том числе из других наборов корневых сертификатов, таких как Mozilla Root Store.

История TrustCor

TrustCor Systems — панамский удостоверяющий центр, который подвергся критике со стороны всей индустрии после расследования Washington Post. Как выяснилось, этот УЦ активно сотрудничал с разработчиками шпионского ПО и другими компаниями, имеющими тесные связи с разведывательным сообществом США. Они выдавали TLS-сертификаты в том числе мобильным приложениями Packet Forensics (Measurement Systems), которые были замечены в шпионаже за пользователями Android.

Представители TrustCor попытались оправдаться, но их судьба была предрешена.

Существует публичный список рассылки dev-security-policy@mozilla.org, в основные разработчики браузеров решают, стоит ли им продолжать доверять тому или иному УЦ. Иногда представители этого УЦ занимают враждебную позицию в стиле «Что вы собираетесь делать, удалить нас из хранилища?», и в некоторых случаях разработчики реально это делают. Как и произошло в данном случае. И это может означать конец для компании, потому что трудно продавать сертификаты, которым не доверяют веб-браузеры.

Обсуждение TrustCor стало рекордным тредом в истории списка рассылки dev-security-policy@mozilla.org и было закрыто после 12 239 страниц ожесточённых дебатов.

Почему некоторые государственные УЦ не попадут в браузеры

Как видно из предыдущей истории, разработчики внимательно следят, чтобы в доверенные хранилища не попали сомнительные УЦ, которые замечены в связях с государственными органами. В то же время сами государственные органы разных стран часто пытаются проникнуть в глобальную систему доверия Интернета, а если это не получается — создать альтернативную систему доверия.

Как минимум с 2016 года Минцифры РФ начало работать над созданием российского головного удостоверяющего центра для выдачи SSL-сертификатов. В 2017 году началось тестирование этого УЦ, а через несколько лет началась выдача сертификатов.

В 2022 году были озвучены планы в ответ на отзыв иностранных TLS-сертификатов выпускать бесплатные отечественные сертификаты для организаций. Хотя отзывы сертификатов у российских сайтов ограничились отдельными УЦ и постепенно проблема сошла на нет, но «Сбер» и несколько других компаний всё-таки перешли на российские TLS-сертификаты. По состоянию на апрель 2023 года это сделали 4883 сайта (столько же было в сентябре 2022 года, скриншот). То есть процесс так и не приобрёл массового характера. Сайты «Госуслуг», Центробанка и других госструктур остались на стандартных сертификатах, входящих в глобальную систему доверия Интернета:

Эксперты по информационной безопасности негативно относятся к включению государственных сертификатов в корневые хранилища. По их мнению, такие сертификаты не заслуживают большого доверия. И дело не в какой-то отдельной стране, а о внедрении любых государственных органов (любой страны) в глобальную систему доверия.

Поэтому кажется крайне маловероятным включение Russian Trusted Root CA в корневые хранилища Mozilla и Microsoft. Доступ к этим сайтам по HTTPS будет возможен только из российских браузеров (например, «Яндекс Браузер») или в случае, если пользователь самостоятельно установит корневой сертификат на своё устройство. Но в таком случае эти российские сайты будут частично изолированы от глобальной системы доверия со всеми вытекающими последствиями для их доступности и безопасности.

• корневое хранилище
• TrustCor
• государственные УЦ
• SSL-сертификат
• Packet Forensics
• шпионаж
• цепочка доверия

• Блог компании GlobalSign
• Firefox
• Информационная безопасность
• Браузеры
• Софт