Хранилище сертификатов доверенных корневых центров сертификации
Начиная с Windows Vista, диспетчер Plug and Play (PnP) выполняет проверку подписи драйвера во время установки устройства и драйвера. Однако диспетчер PnP может успешно проверить цифровую подпись только в том случае, если выполняются следующие инструкции:
- Сертификат подписи, который использовался для создания подписи, был выдан центром сертификации (ЦС).
- Соответствующий корневой сертификат для ЦС устанавливается в хранилище сертификатов доверенных корневых центров сертификации. Таким образом, хранилище сертификатов доверенных корневых центров сертификации содержит корневые сертификаты всех ЦС, которым Доверяет Windows.
По умолчанию хранилище сертификатов Доверенных корневых центров сертификации настроено с набором общедоступных центров сертификации, удовлетворяющих требованиям Программы корневых сертификатов Майкрософт. Администраторы могут настроить набор доверенных ЦС по умолчанию и установить собственный частный ЦС для проверки программного обеспечения.
Примечание Частный ЦС вряд ли будет доверенным за пределами сетевой среды.
Наличие действительной цифровой подписи гарантирует подлинность и целостность пакета драйвера. Однако это не означает, что конечный пользователь или системный администратор неявно доверяет издателю программного обеспечения. Пользователь или администратор должен решить, следует ли устанавливать или запускать приложение в индивидуальном порядке, исходя из знаний издателя программного обеспечения и приложения. По умолчанию издатель является доверенным, только если его сертификат установлен в хранилище сертификатов доверенных издателей.
Имя хранилища сертификатов доверенных корневых центров сертификации — root. Корневой сертификат частного ЦС можно вручную установить в хранилище сертификатов доверенных корневых центров сертификации на компьютере с помощью средства CertMgr .
Примечание Политика проверки подписи драйверов, используемая диспетчером PnP, требует, чтобы корневой сертификат частного ЦС был ранее установлен в версии локального компьютера хранилища сертификатов корневых центров сертификации. Дополнительные сведения см. в статье Хранилища сертификатов «Локальный компьютер» и «Текущий пользователь».
Дополнительные сведения о подписи драйверов см. в статье Политика подписывания драйверов.
Доверенные корневые центры сертификации для доверия федерации
Чтобы установить доверительное отношение федерации между организацией Microsoft Exchange Server 2013 и системой проверки подлинности Microsoft Entra, необходимо установить цифровой сертификат, установленный на сервере Exchange Server, используемом для создания доверия. Настоятельно рекомендуется использовать самозаверяющий сертификат. Самозаверяющий сертификат создается и устанавливается автоматически при использовании мастера включения доверия федерации в Центре администрирования Exchange (EAC).
Если вы не хотите использовать самозаверяющий сертификат, необходимо запросить и установить сертификат X.509 SSL из центра сертификации, которому доверяет корпорация Майкрософт. Хотя сертификаты, выданные другими центрами сертификации, также могут использоваться для установления доверия федерации с системой проверки подлинности Microsoft Entra, на сегодняшний день они не сертифицированы корпорацией Майкрософт.
В таблице ниже перечислены центры сертификации, которые в настоящее время являются доверенными в корпорации Майкрософт. Для этих центров сертификации была проверена правильность работы с Exchange 2013.
| Понятное имя центра сертификации | Выдан | Назначения |
|---|---|---|
| Autoridade Certificadora Raiz Brasileira | Autoridade Certificadora Raiz Brasileira | Проверка подлинности сервера, проверка подлинности клиента |
| Comodo | Центр сертификации Comodo | Проверка подлинности сервера, проверка подлинности клиента |
| CyberTrust | Центр выдачи корневых сертификатов Baltimore CyberTrust | Проверка подлинности сервера, проверка подлинности клиента |
| DigiCert | Корневой центр сертификации Digicert Global | Проверка подлинности сервера, проверка подлинности клиента |
| Сертификат Digicert высокой надежности | Корневой центр сертификации Digicert Global | Проверка подлинности сервера, проверка подлинности клиента |
| Entrust | Центр сертификации Entrust.net Secure Server | Проверка подлинности сервера, проверка подлинности клиента |
| Entrust (2048) | Центр сертификации Entrust.net Secure Server | Проверка подлинности сервера, проверка подлинности клиента |
| Equifax | Центр сертификации Equifax Secure | Проверка подлинности сервера, проверка подлинности клиента |
| GlobalSign | Центр сертификации GlobalSign | Проверка подлинности сервера, проверка подлинности клиента |
| Go Daddy | Центр сертификации Go Daddy Class 2 | Проверка подлинности сервера, проверка подлинности клиента |
| Network Solutions | Центр сертификации Network Solutions | Проверка подлинности сервера, проверка подлинности клиента |
| PositiveSSL | Центр сертификации Comodo | Проверка подлинности сервера, проверка подлинности клиента |
| SECOM | Центр сертификации SECOM Trust Systems | Проверка подлинности сервера, проверка подлинности клиента |
| UTN-UserFirst-Hardware | Центр сертификации Comodo | Проверка подлинности сервера, проверка подлинности клиента |
| Verisign | Центр сертификации Class 3 Public Primary | Проверка подлинности сервера, проверка подлинности клиента |
| Verisign | VeriSign Trust Network | Проверка подлинности сервера, проверка подлинности клиента |
Дополнительные сведения о требованиях к сертификатам для федерации см. в разделе Федерация.
Где в Windows хранятся корневые сертификаты Центров Сертификации (CA)
Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.
В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.
Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:
certmgr.msc
Перейдите в раздел «Доверенные корневые центры сертификации» → «Сертификаты»:
Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.
Просмотр сертификатов в PowerShell
Чтобы просмотреть список сертификатов с помощью PowerShell:
Get-ChildItem cert:\LocalMachine\root | format-list
Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):
Get-ChildItem cert:\LocalMachine\root | Where | format-list
Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:
Сертификаты уровня пользователей:
- HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates — содержит настройки сертификатов для текущего пользователя
- HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates — как и предыдущее расположение, но это соответствует сертификатам пользователей, развёрнутым объектом групповой политики (GPO (Group Policy))
- HKEY_USERS\SID-User\Software\Microsoft\SystemCertificates — соответствует настройке определённых пользовательских сертификатов. У каждого пользователя есть своя ветка в реестре с SID (идентификатор безопасности).
Сертификаты уровня компьютера:
- HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates — содержит настройки для всех пользователей компьютера
- HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates — как и предыдущее расположение, но это соответствует сертификатам компьютера, развёрнутым объектом групповой политики (GPO (Group Policy))
Сертификаты уровня служб:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Services\ServiceName\SystemCertificates — содержит настройки сертификатов для всех служб компьютера
Сертификаты уровня Active Directory:
- HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates — сертификаты, выданные на уровне Active Directory.
И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.
Пользовательские сертификаты (файлы):
- %APPDATA%\Microsoft\SystemCertificates\My\Certificates
- %USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\SID
- %USERPROFILE%\AppData\Roaming\Microsoft\Credentials
- %USERPROFILE%\AppData\Roaming\Microsoft\Protect\SID
Компьютерные сертификаты (файлы):
- C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.
Google Chrome
Использует общесистемные доверенные корневые центры сертификации.
Чтобы перейти к списку сертификатов из веб браузера:
Настройки → Приватность и Защита → Безопасность → Управление сертификатами → Просмотр сертификатов → Центры сертификации → Доверенные корневые центры сертификации:
Opera
Чтобы перейти к списку сертификатов из веб браузера: Настройки → Перейти к настройкам браузера → Дополнительно → Безопасность → Ещё → Настроить сертификаты → Доверенные корневые центры сертификации:
Firefox
Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:
Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».
Связанные статьи:
- Как добавить сертификат Центра Сертификации (CA) в доверенные в Windows (99.4%)
- Как включить DNS через HTTPS (DoH) в веб-браузерах (58%)
- Как в Windows 11 поменять веб-браузер по умолчанию (52.5%)
- Почему Windows 10 использует так много трафика и как это исправить (50.8%)
- Программное обеспечение для компьютерной криминалистики на Windows (50.8%)
- 20 сочетаний клавиш Windows, о которых вы могли не знать (RANDOM — 50%)
Центры сертификации и иерархии доверия
Центры сертификации (CA) выдают цифровые сертификаты. Цифровые сертификаты — это верифицируемые файлы данных, которые содержат сведения, чтобы помочь веб-сайтам, людям и устройствам подтвердить свою идентификацию в сети (ее подлинность проверяется центром сертификации). Центры сертификации играют важнейшую роль в работе интернета и в выполнении прозрачных и надежных онлайн-транзакций. Центры сертификации выдают миллионы цифровых сертификатов каждый год, и эти сертификаты используются для защиты информации, шифрования миллиардов транзакций и обеспечения безопасного обмена данными.
Сертификат SSL — это популярный тип цифрового сертификата, который привязывает информацию о владельце веб-сервера (и веб-сайта) к ключу шифрования. Эти ключи используются в ючу шифрования. Эти ключи используются в протоколе SSL/TLS для создания безопасной сессии между браузером и веб-сервером, на котором расположен SSL-сертификат. Чтобы браузер мог доверять SSL-сертификату и выполнял сессию SSL/TLS без предупреждений безопасности, SSL-сертификат должен содержать доменное имя веб-сайта, использующего этот сертификат, должен быть выдан надежным центром сертификации и быть действующим.
По данным аналитического сайта Netcraft (www.netcraft.com), в августе 2012 года на общедоступных веб-сайтах использовались почти 2,5 млн SSL-сертификатов. Есть вероятность, что на самом деле их на 50% больше, но реальное число на общедоступных веб-сайтах Netcraft определить не в состоянии. Это делает SSL одной из самых распространенных технологий безопасности, применяемых в настоящее время.
Как при таком обилии SSL-сертификатов определить, какому центру сертификации можно доверять?
Браузеры, операционные системы и мобильные устройства используют авторизованные программы «членства» центров сертификации, и каждый центр сертификации должен выполнить подробные условия, чтобы быть стать участником такой программы. После принятия центра сертификации в программу он получает возможность выдавать SSL-сертификаты, которым будут доверять браузеры и, соответственно, люди и устройства, использующие этот сертификат. Существует относительно небольшое количество авторизованных центров сертификации, от частных до правительственных, и, как правило, чем дольше работает центр, тем больше браузеров и устройств доверяют его сертификатам. Чтобы сертификаты обеспечивали прозрачное доверие, они должны иметь хорошую совместимость с более старыми браузерами и особенно с более старыми мобильными устройствами — это называется универсальностью и является одной из важнейших характеристик, которые центр сертификации может предложить своим клиентам.
Перед выпуском цифрового сертификата центр сертификации выполнит множество проверок идентификации заявителя. Эти проверки зависят от класса и типа сертификата, на который подана заявка. Например, для выпуска SSL-сертификата с проверкой домена будет проверяться право владения доменом, отражаемое в сертификате, а сертификат SSL с расширенной проверкой будет включать дополнительную информацию о компании, которая будет проверяться центром сертификации многими разными методами.
Более подробная информация о разных классах SSL-сертификатов содержится в статье: Классы сертификатов и примеры их использования.
PKI и иерархии доверия
Браузеры и устройства доверяют центру сертификации, принимая корневой сертификат в свое хранилище — специальную базу данных об утвержденных центрах сертификации, которая предустановлена в браузерах и на устройствах. Windows поддерживает свое хранилище корневых сертификатов, так же поступают Apple и Mozilla (для своего браузера Firefox). Многие операторы мобильной связи также имеют собственное хранилище.

Хранилище Apple OSX доверенных корневых сертификатов
Центры сертификации используют эти предустановленные корневые сертификаты для выдачи промежуточных корневых сертификатов и цифровых сертификатов конечным объектам. Центры сертификации получают запросы на сертификаты, проверяют заявки, выпускают сертификаты и публикуют текущий статус проверки выпущенных сертификатов, так что каждый, кто пользуется сертификатом, имеет полное представление о действительности этого сертификата.
Обычно центры сертификации создают множество корневых сертификатов промежуточных центров сертификации (ICA), которые выдают сертификаты конечным пользователям, в том числе SSL-сертификаты. Это называется иерархией доверия и выглядит следующим образом:

Центры сертификации не должны выдавать цифровые сертификаты напрямую из корневого сертификата, передаваемого операторам, а только через один или несколько промежуточных центров сертификации (ICA). Центры сертификации обязаны выполнять рекомендации по безопасности чтобы свести к минимуму уязвимость корневого центра сертификации для хакерских атак. GlobalSign — один из немногих центров сертификации, которые всегда (с 1996 года) использовали ICA.
Что входит в работу центра сертификации?
Центры сертификации служат оплотом доверия в интернете и поэтому несут особую ответственность. Работа центра сертификации с соблюдением всех требований к аудиту является сложной задачей. Инфраструктура центров сертификации включает в себя значительное количество операционных элементов, аппаратного и программного обеспечения, политик отправителей и положений о правилах, проверок, элементов инфраструктуры безопасности и персонала. В совокупности эти элементы называются доверенной инфраструктурой открытого ключа (PKI).

Сертификаты бывают разных форматов и поддерживают не только SSL, а еще и аутентификацию людей и устройств, а также заверяют подлинность кода и документов. Посетите раздел Продукты GlobalSign для получения более подробной информации.
Статьи информационного центра
- Что такое SSL?
- Что такое SSL-сертификат?
- Корневой сертификат УЦ
- Какие бывают типы SSL-сертификатов?
- Рекомендации по требованиям безопасности для сетей и систем сертификации
- 9 распространенных мифов о ЦС
- Что такое EV SSL?
- Использование печати доверия сайта
- Как отличить сертификаты DV от OV
- Выбор безопасного размера ключа и алгоритмов хэширования
- Переход на SHA-256
- Открытые и закрытые ключи длиной 1024 бита
- Безопасность и производительность сайта
- Опасности самоподписанных сертификатов
- Dangers of SSL Certificate Expiration
- Удаление новых основных доменов верхнего уровня (gTLD)
- Что такое шифрование с помощью открытого ключа?
- Why Should I Sign Code?
- Что такое подпись кода (Code Signing)?
- Разница между электронными и цифровыми подписями
- DUNS Number
- Адрес местонахождения организации
