Как установить сертификаты Минцифры для Сбербанка и других сайтов в Windows
При входе в Сбербанк онлайн через веб-интерфейс пользователям сообщается о возможной недоступности сервисов, если не будут установлены российские сертификаты НУЦ Минцифры РФ, а если попробовать зайти по защищенному протоколу на главную страницу Сбербанка, то уже сейчас без установленных российских сертификатов вы столкнетесь с ошибкой «Подключение не защищено» с кодом ERR_CERT_AUTHORITY_INVALID
В этой инструкции подробно о том, как проверить наличие установленных сертификатов Национального Удостоверяющего Центра Минцифры России и установить их в Windows 11, Windows 10 и других версиях системы для беспроблемной работы со Сбербанком в Google Chrome, Microsoft Edge или других браузерах.
Проверка наличия установленных российских сертификатов
Для быстрой проверки того, установлены ли сертификаты Минцифры на сайте Сбербанка есть специальная страница http://www.sberbank.ru/ru/certificates.
Достаточно перейти на неё и посмотреть на результат. Если в нём указано: «Сертификаты не найдены», значит в текущем браузере (и, соответственно, в системе в целом) необходимых для работы российских сертификатов нет и их требуется установить.
Вы можете обойтись и без ручной установки российских сертификатов, для этого потребуется скачать и установить Яндекс Браузер или браузер Атом, где поддержка сертификатов НУЦ Минцифры встроена.
Установка сертификатов НУЦ Минцифры в Windows 11 и Windows 10
Для того, чтобы установить корневые сертификаты НУЦ Минцифры для Сбербанк онлайн и других государственных Интернет-сервисов в Windows, используйте следующие шаги:
- Скачайте корневой сертификат и выпускающий сертификат. Ссылки доступны на сайте госуслуг в разделе «Сертификаты для Windows» — https://www.gosuslugi.ru/crt, либо можно использовать прямые ссылки для загрузки файлов: russian_trusted_root_ca.cer и russian_trusted_sub_ca.cer
- Если файл сертификата открывается в браузере как простой текст с кодом, нажмите по ссылке правой кнопкой мыши и выберите пункт «Сохранить ссылку как» для сохранения файла сертификата.
- Нажмите правой кнопкой мыши по первому из скачанных файлов: russian_trusted_root_ca.cer — корневому сертификату и выберите пункт «Установить сертификат» в контекстном меню.
- Подтвердите открытие сертификата.
- Выберите опцию «Текущий пользователь».
- Выберите «Поместить все сертификаты в следующее хранилище», нажмите «Обзор» и выберите «Доверенные корневые центры сертификации».
- Нажмите «Готово» и еще раз подтвердите установку. Корневой сертификат установлен.
- Начните установку выпускающего сертификата: правый клик по файлу russian_trusted_sub_ca.cer — установить сертификат. Пройдите все шаги установки, не меняя каких-либо параметров: то есть на этапе выбора хранилища сертификатов оставьте выбранным пункт «Автоматически выбрать хранилище на основе типа сертификата».
После завершения установки сертификатов Минцифры потребуется перезапустить браузер (в некоторых случаях — Windows), чтобы они начали работать. Для проверки достаточно зайти на ту же страницу http://www.sberbank.ru/ru/certificates на сайте Сбербанка:
Как видите, всё работает и, когда Сбербанк онлайн полностью перейдёт на российские сертификаты, он останется доступным на вашем компьютере.
Просмотр сертификатов в Windows 10
Благодаря цифровым сертификатам пользователь может безопасно обновлять систему через «Центр обновлений» и выполнять другие действия в интернете, например обмениваться данными без опасения, что на ПК попадут подозрительные утилиты или файлы. В Windows 10 предусмотрен «Диспетчер сертификатов», через который можно посмотреть зашифрованные данные:
- Отыщите через «Пуск» диспетчер, прописав certmgr.msc . Запустите приложение от имени администратора.
- На панели слева отобразятся разделы с различными типами цифровых сертификатов.
- В каталоге «Личное» по умолчанию сертификатов нет, поскольку пользователь самостоятельно их устанавливает с токена или делает импорт данных. «Доверенные корневые центры сертификации» позволяют посмотреть данные от крупнейших издательств, которые представлены во внушительном списке. Благодаря им используемый браузер доверяет сертификатам большинства сайтов. Это обеспечивает безопасное пребывание в сети.
Способ 2: Оснастка «MMC»
Штатный инструмент «Microsoft Management Console» («MMC») представляет собой графический интерфейс, предназначенный для настройки различных программ. Оснастка является компонентом «MMC», в которую встроен набор параметров модуля ОС или приложения. Просматривать и редактировать сертификаты Windows 10 можно, используя оснастку:
-
Через «Пуск» Windows 10 найдите средство и запустите его с расширенными правами: это позволит вручную вносить изменения.
Визуально оснастка станет такая же, как и в Способе 1, когда напрямую открывался «Диспетчер сертификатов».
Способ 3: «Панель управления»
Следующий способ подойдет, если никаких изменений в сертификаты вноситься не будет, то есть для визуального просмотра зашифрованных данных. В этом случае перейдите в раздел со свойствами интернета в классической «Панели управления»:
-
Запустите «Панель управления» через кнопку меню «Пуск».
В этом способе просмотр данных доступен без прав администратора.
Способ 4: Браузер Microsoft Edge
Еще один способ открыть окно с информацией о добавленных сертификатах – это использовать настройки фирменного браузера Microsoft Edge.
-
Запустите обозреватель и откройте главное меню, кликнув по трем точкам в верхнем правом углу. Выберите «Настройки».
После этого запустится системное окно, где можно посмотреть сертификаты Windows 10.
Добавление корневого сертификата для операционной системы Microsoft Windows 10
В Диалоговом окне «Управлении сертификатами» выбираем вкладку «Центры сертификации» и нажимаем кнопку «Импортировать…», в появившемся диалоговом окне выбираем предоставленный корневой сертификат. Корневой сертификат должен быть предварительно скопирован на НЖМД АРМ СЗО
Устанавливаем галочку на пункте «Доверять при идентификации веб-сайтов» и нажимаем «ОК»
Для других Web-браузеров:
Дважды щелкаем мышью на предоставленный сертификат и нажимаем кнопку «Установить сертификат»
При выборе расположения хранилища выбираем пункт «Локальный компьютер» и нажимаем кнопку «Далее»
Выбираем раздел «Поместить все сертификаты в следующее хранилище» и нажимаем кнопку «Обзор». Выбираем папку «Доверенные корневые центры сертификации»
Нажимаем последовательно кнопки «ОК» и «Далее»
Нажимаем кнопку «Готово».
Техническая поддержка проекта ЕСПД «Цифровая экономика».
Государственные контракты № 0410/151 от 30.12.2021, № 0410/56 от 10.08.2022, № 0410/121 от 26.12.2022
Регламент технической поддержки
Где в Windows хранятся корневые сертификаты Центров Сертификации (CA)
Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.
В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.
Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:
Перейдите в раздел «Доверенные корневые центры сертификации» → «Сертификаты»:
Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.
Просмотр сертификатов в PowerShell
Чтобы просмотреть список сертификатов с помощью PowerShell:
Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):
Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:
Сертификаты уровня пользователей:
- HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates — содержит настройки сертификатов для текущего пользователя
- HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates — как и предыдущее расположение, но это соответствует сертификатам пользователей, развёрнутым объектом групповой политики (GPO (Group Policy))
- HKEY_USERS\SID-User\Software\Microsoft\SystemCertificates — соответствует настройке определённых пользовательских сертификатов. У каждого пользователя есть своя ветка в реестре с SID (идентификатор безопасности).
Сертификаты уровня компьютера:
- HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates — содержит настройки для всех пользователей компьютера
- HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates — как и предыдущее расположение, но это соответствует сертификатам компьютера, развёрнутым объектом групповой политики (GPO (Group Policy))
Сертификаты уровня служб:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Services\ServiceName\SystemCertificates — содержит настройки сертификатов для всех служб компьютера
Сертификаты уровня Active Directory:
- HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates — сертификаты, выданные на уровне Active Directory.
И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.
Пользовательские сертификаты (файлы):
- %APPDATA%\Microsoft\SystemCertificates\My\Certificates
- %USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\SID
- %USERPROFILE%\AppData\Roaming\Microsoft\Credentials
- %USERPROFILE%\AppData\Roaming\Microsoft\Protect\SID
Компьютерные сертификаты (файлы):
- C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.
Google Chrome
Использует общесистемные доверенные корневые центры сертификации.
Чтобы перейти к списку сертификатов из веб браузера:
Настройки → Приватность и Защита → Безопасность → Управление сертификатами → Просмотр сертификатов → Центры сертификации → Доверенные корневые центры сертификации:
Opera
Чтобы перейти к списку сертификатов из веб браузера: Настройки → Перейти к настройкам браузера → Дополнительно → Безопасность → Ещё → Настроить сертификаты → Доверенные корневые центры сертификации:
Firefox
Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:
Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».