Меню Рубрики

Не найдены цепочки сертификатов в хранилище pkcs7 windows 10

Как проверить хранилище сертификатов Windows на наличие недоверенных корневых сертификатов

Пользователям Windows все более тщательное внимание стоит уделать установленным на компьютере сертификатам. Недавние скандалы с сертификатами Lenovo Superfish , Dell eDellRoot и Comodo PrivDog лишний раз свидетельствуют о том, что пользователю нужно быть внимательным не только при установке новых приложений, но и четко понимать, какое ПО и сертификаты предустановлены в системе производителем оборудования. Через установку поддельных или специально сгенерированных сертификатов злоумышленники могут осуществить атаки MiTM (man-in-the-middle), перехватывать трафик (в том числе HTTPS), разрешать запуск вредоносного ПО и скриптов и т.п.

Как правило такие сертификаты устанавливаются в хранилище доверенных корневых сертификатов Windows (Trusted Root Certification Authorities). Разберемся, каким образом можно проверить хранилище сертификатов Windows на наличие сторонних сертификатов.

В общем случае в хранилище сертификатов Trusted Root Certification Authorities должны присутствовать только доверенные сертификаты, проверенные и опубликованные Microsoft в рамках программы Microsoft Trusted Root Certificate Program . Для проверки хранилища сертификатов на наличия сторонних сертификатом можно воспользоваться утилитой Sigcheck (из набора утилит Sysinternals).

  • Скачайте утилиту Sigcheck с сайта Microsoft ( https://technet.microsoft.com/ru-ru/sysinternals/bb897441.aspx )
  • Распакуйте архив Sigcheck . zip в произвольный каталог (например, C:\install\sigcheck\)
  • Откройте командную строку и перейдите в каталог с утилитой: cd C:\install\sigcheck\
  • В командной строке выполните команду sigcheck.exe–tv, или sigcheck64.exe –tv (на 64 битных версиях Windows)

При первом запуске утилита sigcheck попросит принять условия использования

  • После этого утилита скачает с сайта Microsoft и поместит свой каталог архив authrootstl.cab со списком корневых сертификатов MS в формате Certification Trust List . Совет . Если на компьютере отсутствует прямое подключение к Интернету, файл authrootstl.cab можно скачать самостоятельно по ссылке http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab и вручную поместить в каталог с утилитой SigCheck

Утилита сравнит список сертификатов установленных на компьютере со списком корневых сертификатов MSFT в файле authrootstl.cab. В том случае, если в списке коревых сертификатов компьютера присутствуют сторонние сертификаты, SigCheck выведет их список. В нашем примере на компьютере имеется один сертификат с именем test1 (это самоподписанный сертификат созданный с помощью командлета New-SelfSignedCertificate , который я создавал для подписывания кода PowerShell скрипта )

  • Каждый найденный сторонний сертификат стоит проанализировать на предмет необходимости его присутствуя в списке доверенных. Желательно также понять какая программа установила и использует его. Совет . В том случае, если компьютер входит в домен, скорее всего в списке «сторонних» окажутся корневые сертификаты внутреннего центра сертификации CA, и другие сертификаты, интегрированные в образ системы или распространенные групповыми политиками , которые с точки зрения MSFT могут оказаться недоверенными.

Чтобы удалить данный сертификат их списка доверенных, откройте консоль управления сертификатами ( msc ) и разверните контейнер Trusted Root Certification Authorities (Доверенные корневые центры сертификации) -> Certificates и удалите сертификаты, найденные утилитой SigCheck.

Таким образом, проверку хранилища сертификатов с помощью утилиты SigCheck стоит обязательно выполнять на любых системах, особенно на OEM компьютерах с предустановленной ОС и различных сборках Windows, распространяемых через популярные торрент-трекеры.

Источник

Континент-АП

barfly пишет: Здравствуйте, подскажите в чем можеть быть проблема , пишет ошибка не найдены цепочки сертификатов в хранилище PKCS7, присланом сервером 0х80092004 (объект или свойство не найдено ) , виндоус 8 64 бит , версия континетка 3.7.2.1229. пробывал переустановить не помогает, пробовал установить 3,7,7,605 зависает при попытки подключения даже не доходит до стадии выбора сертификата при подключении.

Не установлены корневые сертификаты.

Установлены ,отображаются корректно ,пишет что сертификаты действительные

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Wmffre
  • —>
  • Не в сети

Matvey_smi пишет: Добрый день! Подскажите куда копать. Windows 10 Pro 1709 сборка 16299.15. Ставим континент ап 3.7.7 (версии 625, 641). Установка проходит нормально. После перезагрузки сообщение. Антивирусы-защитники-брэндмауры отключены.

Вложение не найдено

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Alex555
  • —>
  • Не в сети

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Wmffre
  • —>
  • Не в сети

barfly пишет: пишет ошибка не найдены цепочки сертификатов в хранилище PKCS7, присланом сервером 0х80092004 (объект или свойство не найдено ) , виндоус 8 64 бит , версия континетка 3.7.2.1229. пробывал переустановить не помогает, пробовал установить 3,7,7,605 зависает при попытки подключения даже не доходит до стадии выбора сертификата при подключении.

Посмотрите статью из базы знаний на сайте Кода Безопасности по Континент АП v3.7 и ошибке 0x80092004.

Ваш случай там описан, или не Ваш, в любом случае проверьте:

  • В параметрах Континент-АП (правая кнопка на значок Континент-АП) криптопровайдером по умолчанию выбран КриптоПро CSP, а не Security Code CSP
  • Проверка целостности Континент-АП завершается успешно (В папке, где установлен Континент-АП в Program Files, есть exe-файл для ручного запуска проверки целостности файлов установленного Континент-АП)
  • Сетевое соединение не блокируется после установки Континент-АП

Правильная установка Континент-АП: удаление установленной версии Континент-АП —> Перезагрузка —> установка Континент-АП без Межсетевого экрана с запуском инстоллятора от имени Администратора.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Wmffre
  • —>
  • Не в сети

Alex555 пишет: Нужен Континент-АП v.3.7.5.514 или Континент-АП v.3.7.5.474.
Спасибо.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • barfly
  • —>
  • Не в сети

barfly пишет: пишет ошибка не найдены цепочки сертификатов в хранилище PKCS7, присланом сервером 0х80092004 (объект или свойство не найдено ) , виндоус 8 64 бит , версия континетка 3.7.2.1229. пробывал переустановить не помогает, пробовал установить 3,7,7,605 зависает при попытки подключения даже не доходит до стадии выбора сертификата при подключении.

Посмотрите статью из базы знаний на сайте Кода Безопасности по Континент АП v3.7 и ошибке 0x80092004.

Ваш случай там описан, или не Ваш, в любом случае проверьте:

  • В параметрах Континент-АП (правая кнопка на значок Континент-АП) криптопровайдером по умолчанию выбран КриптоПро CSP, а не Security Code CSP
  • Проверка целостности Континент-АП завершается успешно (В папке, где установлен Континент-АП в Program Files, есть exe-файл для ручного запуска проверки целостности файлов установленного Континент-АП)
  • Сетевое соединение не блокируется после установки Континент-АП

Правильная установка Континент-АП: удаление установленной версии Континент-АП —> Перезагрузка —> установка Континент-АП без Межсетевого экрана с запуском инстоллятора от имени Администратора.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • DVL
  • —>
  • Не в сети

Добрый день!
При попытке соединиться с помощью Континент-АП (3.7.7.625) выдается ошибка:

«628. Соединение прервано удаленным компьютером раньше, чем могло быть установлено.»

и в журнале появляется много предупреждений такого содержания:

«CoID=<889A9B05-172D-4B50-ABB1-9A6B40D69165>: Связь с сервером удаленного доступа установлена пользователем»

А также появляются такие ошибки:

«CoID=: Пользователь EMERCOM\levkin установил удаленное подключение Континент АП, которое завершилось сбоем. Возвращен код ошибки 0.»

ОС — Win 7, 64-битная. С нашей стороны везде всё открыли, ограничений никаких нет.

Кто-нибудь что-нибудь может подсказать?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • ulibka
  • —>
  • Не в сети

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • DVL
  • —>
  • Не в сети

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • tda
  • —>
  • Не в сети

sseemm пишет: В версии 3.5.50.0 Континента-АП была возможность установить сертификат пользователя из реестра. Установил Континент-АП 3.7.2.1229 по причине необходимости использования новой версии КриптоПро CSP 4.0.98.42. При установке сертификата из реестра Континент-АП не видит ключевой контейнер сертификата пользователя. Что я не так делаю, подскажите, как я могу установить в новую версию Континента АП сертификат пользователя из реестра?

Сертификат в данном случае не причем.
А вот закрытый ключ — причем. С определенной версии континента (>=3.7) нельзя использовать реестр, только съемные устройства: флешки, токены и т.д. Требование ФСБ.

Возражаю. У меня в конфигурации Win10(версия 1709) , Крипто Про 4.0.9932, Континент АП 3.7.7.625 закрытый ключ находится в реестре. И подключение работает! Правда сейчас не могу восстановить последвательность действий, которая привела к этому результату. На других компах с такой же конфигурацией не удалось повторить. Наверное можно попробовать через реестр, никто не подскажет какую ветку реестра нужно скопировать ??

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

Континент АП, проблема с сертфиикатами

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • two_oceans
  • —>
  • Не в сети

С обновлением как всегда информации мало. Замечу только, что возможно проблема не в самом Континенте, а в связанных программах. Если у Вас сертификат сгенерирован через КриптоПро надо не забыть и КриптоПро переустановить. Кроме переустановку Континента лучше делать с зачисткой специальной утилитой после удаления одной версии и до установки другой версии.
Про корневой сертификат — скорее всего Вы скачали не тот корневой сертификат — есть 3 сертификата ФК: неквалифицированный (Континент 3), квалифицированный старый 2013 года, действующий до 28.06.2018 (УЦ Федерального казначейства), квалифицированный июля 2017 года (Федеральное Казначейство). Посмотрите в сертификате, которым подключаетесь, «Кем выдан» — выше указано в скобках. Если у Вас до переустановки сертификат работал, то скорее всего первый или второй.

Немного повторюсь про их установку. Для первого варианта не нужен сертификат головного удостоверяющего центра, его выдают с сертификатом Континента, ставится в «доверенные корневые». Для второго — действующая цепочка доверия также без головного удостоверяющего центра и УЦ 2 ИС ГУЦ. Здесь в какой-то теме уже выкладывали сертификат без головного удостоверяющего центра, тоже ставится в «доверенные корневые». Он истекает через 9 дней, так что если у Вас вариант второй пора формировать запрос на новый сертификат.
Для третьего все наоборот — обязательна установка сертификата головного удостоверяющего центра в «доверенные корневые», а сертификат ФК ставится в «промежуточные». Пока нет подтверждения, что сертификаты выданные третьим вариантом можно использовать в Континенте. 99% тех, у кого был один сертификат второго варианта для континента и СУФД, теперь сказали делать отдельный для Континента первого варианта и отдельный для СУФД третьего варианта.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Не найдены подходящие графические устройства windows 7 как исправить
  • Не найдены подписанные драйверы устройства при установке windows 7 с флешки
  • Не найдены необходимые драйверы устройства при установке windows 7
  • Не найдены необходимые драйвера для дисковода оптических дисков windows 7
  • Не найдены драйверы оптических дисков при установке windows 7 с флешки