Във всяка организация, която работи с Windows, цифрови сертификати, подписи на драйвери и криптографски устройства Те са станали нещо обичайно. Независимо дали управлявате само няколко компютъра или цял домейн, ако искате сигурност, силно удостоверяване и контрол върху инсталирания софтуер, трябва да разберете как работи тази екосистема.
В допълнение към типичните сертификати за данъчната служба или социалното осигуряване, в професионалната среда е ключово да се знае как управлява потребителски сертификати, сертификати на администратори, вътрешни сертифициращи органи и инструменти като Adobe, браузъри или токениЗвучи сложно, но ако го разгледаме стъпка по стъпка, ще видите, че е доста лесно за управление, стига да разбирате концепциите и да следвате определени най-добри практики.
Какво е цифров сертификат и защо е толкова важен в Windows?
Цифровият сертификат е по същество електронен документ, който служи като ваша лична карта в интернетИздава се от признат сертифициращ орган (CA). Служи за уникално идентифициране на лице, компания или дори сървър или уебсайт.
Този сертификат включва идентификационни данни на притежателя (име, данъчен номер или номер по ДДС, организация и др.), които CA е проверил предварително. Благодарение на това можем да го използваме, за да подписваме документи, да се удостоверяваме пред администрацията или да валидираме дали даден уебсайт или администратор се считат за надеждни.
В света на Windows тези сертификати позволяват електронно подписване на документи, програми, драйвери и установяване на защитени връзкиЕто защо е толкова важно да ги управлявате правилно: инсталирайте ги там, където трябва да бъдат, подновявайте ги преди изтичане, експортирайте резервни копия, отменяйте ги, ако има проблеми, и не ги изтривайте безразборно.
Има сертификати за почти всичко: личен, компания, електронен щаб, контролер, коренни сертификати, междинен, клиент, сървър и т.н. Windows ги съхранява в различни „магазини“, до които имат достъп приложения като Edge, Chrome, Adobe Reader, AutoFirma или административни инструменти.
Видове цифрови сертификати, с които ще се сблъскате
В екосистемата на Windows ще срещнете различни Видове сертификати според употребата и притежателяТова са:
- лични сертификатиТе се издават на името на физическо лице. Използваме ги, за да се идентифицираме в онлайн процедури, да подписваме PDF документи, да имаме достъп до Испанската данъчна агенция (AEAT), Испанската агенция за движение по пътищата (DGT), Администрацията за социално осигуряване и др.
- Сертификати за юридически лица. Това са документи, свързани с компания, асоциация или организация. Самото юридическо лице се подписва или идентифицира, дори ако документът се използва от упълномощен представител. Те се използват за подаване на данъчни декларации на компанията, подписване на корпоративни документи или взаимодействие с държавни агенции от името на организацията.
- Електронни сертификати за централатаТе идентифицират официален уебсайт или портал като принадлежащ на публична администрация или организация, гарантирайки, че сайтът е легитимен и че комуникацията е защитена.
В магазина на Windows ще видите и категории като Доверени издатели на root сертификати, посреднически организации, други потребители, удостоверяване на клиенти или „неотстраними сертификати“. Това са части от веригата на доверие, които позволяват валидирането на окончателните сертификати.
Сертификати за подписване на код и подписване на драйвери в Windows
Когато говорим за драйвери и софтуер в Windows, следва да се отбележи следното: сертификати за подписване на кодНеговата функция е да гарантира, че дадена програма или драйвер е издаден от конкретен издател и не е бил променян от подписването му.
В конкретния случай на драйвери в режим на ядрото, Windows е особено строг. Започвайки от Windows 7 (с обновена версия на SHA-256) и Windows 8И още повече, от Windows 10 насам, драйверите трябва да бъдат подписани със защитени алгоритми (като SHA-256) и в много случаи със сертификати за подписване на код с разширена проверка (EV).
Инструментът, често използван за подписване на контролери SignToolкойто е част от Windows SDK. С него можете да зададете опции като сертификата, PFX паролата, хеш алгоритъма, допълнителни сертификати (например, кръстосания сертификат на Microsoft) и сървъра за времеви печати.
Ключовите параметри на SignTool са /f за указване на PFX файла, /p за паролата, /fd за хеш алгоритъма (напр. /fd sha256), /ac за добавяне на кръстосан сертификат, /tr за конфигуриране на RFC 3161 сървър за времеви печати и /n за избор на конкретен складов сертификат по общоприетото му име.
След като двоичните файлове на драйвера (обикновено файловете .sys и .cat) са подписани, можете Проверете подписа с командата signtool verify -v -kp., който валидира според специфичните критерии на драйверите в режим на ядрото. Консултирайте се с ръководството за sigcheck за допълнителни инструменти за проверка. Ако всичко е правилно, Windows ще инсталира драйвера, показвайки издателя като „известен и надежден“.
Необходими условия: Програма за разработчици на хардуер и сертификати за електрически превозни средства
Ако ще публикувате драйвери чрез екосистемата на Microsoft, като администратор на Партньорски център за хардуерЩе трябва да се справите с добавянето, актуализирането и премахването на сертификати за подписване на код, свързани с вашата организация.
Първият е Регистрирайте се за Програмата за разработчици на хардуер от Microsoft. Ако вашият фирмен акаунт все още не съществува, ще трябва да завършите процеса на регистрация, като следвате стъпките и свържете организацията си.
За да качите и подпишете драйвери, ви е необходим сертификат за подписване на код, за предпочитане EVиздаден от доверен доставчик. Ако вашата компания вече има валиден сертификат, можете да го използвате повторно. В противен случай ще трябва да се сдобиете с такъв чрез признат сертифициращ орган (CA). CA ще провери самоличността на вашата компания (документация, информация за контакт, телефонен номер и др.) и след одобрение ще ви предостави инструкции за изтегляне на сертификата.
В съвременната среда е важно да се работи с Сертификати и времеви печати, базирани на SHA-2 (SHA-256)Поддръжката на SHA-1 на практика се оттегля за нови приложения, както в сертификати за подписване на код, така и в сървъри за времеви марки.
Как да добавяте, подновявате или отменяте сертификати за подписване на код в Центъра за партньори
След като вече е издаден сертификат за електромобил или стандартен сертификат, следващата стъпка е Добавете го към панела за хардуер в Центъра за партньоритака че Microsoft да го разпознае, когато подписва и валидира вашите драйвери. Ето стъпките:
- Влезте в портала с идентификационни данни на администратора на хардуерен акаунтОттам отворете иконата на зъбно колело в горния десен ъгъл и влезте в настройките на акаунта или секцията с настройки за разработчици.
- Щракнете върху опцията „Управление на сертификати“ (в страничното меню).
- Изберете „Добавяне на нов сертификат“ и продължаване с помощникаПорталът ще ви позволи да изтеглите двоичен файл (обикновено Signablefile.bin), който ще трябва да подпишете локално, използвайки SignTool, с вашия сертификат за подписване на код. алгоритъма SHA-256, заедно с валиден времеви печат SHA-2.
- Накрая Качете сертификата обратно в Партньорския центърMicrosoft ще провери дали подписът съответства на сертификат, издаден на вашата организация, и ако всичко е правилно, ще добави този сертификат към списъка с приети сертификати за подписване на код за вашия акаунт.
Как да преглеждате и управлявате сертификати, инсталирани в Windows
Всички инсталирани сертификати, както лични, така и системни, се съхраняват в мениджър на сертификати за WindowsОттам приложенията проверяват кои сертификати са налични за удостоверяване, подписване или криптиране.
Да мине през тях сертификати за оборудване (на ниво машина), използван от системата и от много услуги, можете да използвате командата certlm.msc От лентата за търсене или от прозореца „Изпълнение“ (Win + R). Конзолата за сертификати на локалния компютър ще се отвори с различни папки, категоризирани по предназначение.
Въпреки това, за да видя вашето лични потребителски сертификатиИнструментът е certmgr.mscТук ще намерите сертификати, свързани само с вашия профил в Windows: тези, които използвате за административни процедури, служебни сертификати, тези, инсталирани от определени приложения или браузъри и др.
За по-напредналите потребители е възможно и проверете за наличие на сертификати в системния регистър на WindowsНапример, сертификатите на текущия потребител се съхраняват в пътища като HKEY_CURRENT_USER/Software/Microsoft/SystemCertificates/CA/Certificates, докато сертификатите, свързани с групови правила (GPO), се виждат в клонове под HKCU/Software/Policies/Microsoft/SystemCertificates.
В много случаи не е необходимо да докосвате нищо в системния регистър, но е полезно да знаете за него, ако трябва да поставите диагноза. проблеми със зареждането на сертификати, дубликати или прилагани политики за всеки домейн.
Експортиране, архивиране и изтриване на сертификати в Windows
Ако често работите със сертификати, е задължително да имате такъв. стратегия за резервно копиеЗагубата на сертификат без резервно копие може да означава, че трябва да се повтори целият процес на кандидатстване и акредитация присъствено.
Windows позволява Експортиране на сертификати от мениджъра на сертификатиПросто намерете сертификата в съответната папка, щракнете с десния бутон на мишката, отидете на „Всички задачи“ и изберете „Експортиране“. Ще се отвори съветник, който ще ви попита дали искате да включите личния ключ и какъв формат за експортиране предпочитате.
За да преместите личен сертификат на друг компютър или да го запишете на USB устройство, обичайната процедура е да генерирате Защитен с парола PFX/P12 файлПо този начин, като щракнете двукратно върху друг компютър и предоставите ключа, можете да инсталирате сертификата със свързания с него частен ключ.
Относно изтриването, трябва да се обърне специално внимание. В същия администратор, като изберете сертификат и изберете опцията за За да го изтриете, го премахвате от хранилището и той става недостъпен за Windows и всяко приложение.Ако допуснете грешка, можете да прекъснете удостоверяването, да предотвратите използването на програми или дори да повлияете на стабилността на системата.
Ето защо се препоръчва Не изтривайте системните сертификати произволно и винаги правете резервно копие предварителноОсобено ако не сте напълно сигурни за какво се използва всеки един от тях. Същото важи и за потребителските сертификати, които все още са валидни и които може да ви потрябват по-късно.
Смарт карти, криптографски токени и Bit4id PKI Manager
В много компании и публични органи сертификатите не се съхраняват на твърдия диск на компютъра, а на смарт карти или криптографски USB токениТова добавя допълнителен слой сигурност, тъй като частният ключ никога не напуска физическото устройство.
Един от често срещаните инструменти за управление на тези устройства е Bit4id PKI мениджърТози инструмент комуникира с токени и карти, за да отключва, променя ПИН/ПУК код, импортира сертификати, експортира публични ключове и много други. По подразбиране работи в потребителски режим, но можете да активирате разширени опции с клавишната комбинация Ctrl + A.
От панела на устройството можете да видите Информация за четеца, информация за картата, състояние на ПИН и PUK кода и списък със съхранени потребителски и CA сертификатиАко вашият ПИН код е заключен или не го помните, можете да използвате функцията за отключване с PUK, стига да не сте достигнали максималния брой опити.
В допълнение, PKI Manager позволява Променете ПИН кода си, когато подозирате, че някой друг го знае., променете PUK кода, влезте и излезте от устройството, актуализирайте съдържанието, за да се показват нови сертификати, и преименувайте устройството за по-добра идентификация.
Импортирането на сертификати към картата обикновено се извършва с помощта на .p12 или .pfx файлове, които включват частния ключ. Трябва да предоставите ПИН кода на устройството, паролата за PFX файла и по избор идентификатор CKA_ID полезно за определени PKCS#11 приложения.
За износ, само публичен ключ във формат .cer, никога частенТова ви позволява да споделяте сертификата с трети страни или да инсталирате публичната част, където е необходимо, за да проверявате подписи или удостоверявания.Проверете рисковете от свързване на неизвестни USB устройства).
Разширена конфигурация и проверки за качване на сертификати
В лентата с инструменти на Bit4id PKI Manager ще намерите и пряк път до Хранилище за сертификати на Windows, където можете да видите как сертификатите на картата се копират в папката „Лична“ на потребителя, ако тази интеграция е активирана.
Панелът за конфигурация на мидълуера ви позволява да регулирате параметри като Автоматично импортиране на CA сертификати от P12/PFX, генериране на лог файлове, изчистване на кеша на middleware и интеграция с CryptoAPI/CSP на MicrosoftТази последна опция е ключова, ако искате приложенията на Windows (включително Edge или Chrome) да виждат директно сертификатите за токени.
Ако имате проблеми, е добре да направите няколко. чекове:
- Проверете дали сертификатите се показват в certmgr.msc (потребител).
- Уверете се, че са заредени във Firefox (във вътрешното му хранилище) или че Edge или Chrome могат да ги видят от секцията си със сертификати.
- Проверете дали Adobe Reader разпознава цифрови идентификатори на Windows.
В Adobe, например, можете да изброите „Цифрови идентификатори на Windows“ За да потвърдите, че сертификатът на картата се показва правилно. Ако не се показва, проблемът може да е в мидълуера, четеца, ПИН кода или някоя настройка за системна интеграция.
Спомагателни програми и мениджъри на професионални сертификати
Само сертификатите не правят магия. За да извлечете максимума от тях, трябва приложения, които ги използват за удостоверяване, подписване на документи, криптиране или свързване с обществени услугиВ Испания има няколко почти задължителни програми.
От едната страна е FNMT-RCM конфигураторкоето улеснява генерирането на ключове и получаването на FNMT сертификати. Също така е много добре познато СамоподписРазработена от Министерството на финансите, тя се интегрира с браузърите и страниците на администрацията за електронно подписване на формуляри и документи.
Много от тези приложения зависят от Java среда за работа по време на работа (JRE)Не всяка версия е подходяща: понякога има специфични препоръчителни диапазони (например от версия 8 Update 45 до някои по-нови версии). Винаги е добра идея да проверите изискванията на всеки портал.
Съществуват и комунални услуги, като например Управление на сертификати CERES, криптографски модули PKCS#11 и специфични драйвери за работа с криптографски карти, които добавят съвместимост с Firefox и други среди или улесняват промяната на ПИН кода, отключването и преглеждането на сертификати.
В професионалната сфера, където се обработват десетки или стотици сертификати (консултантски фирми, управляващи компании, офиси...), хората прибягват до специализиран софтуер като DigiCert Certificate Utility за Windows или ADMCertТези програми ви позволяват да инвентаризирате сертификати, да прилагате правила за употреба, да контролирате кой ги използва, откъде и с каква цел, и да откривате проблеми с конфигурацията или предстоящи изтичания.
С инструменти като тези можете да конфигурирате правила, базирани на потребители или групи от Active Directory, графици, IP адреси на източници или приложения, които извикват сертификата. От съществено значение за поддържането на реда и сигурността, когато сертификатите вече не са само домейн на изолиран потребител.
Услуги за сертифициране на Active Directory и вътрешен сертифициращ орган
В корпоративни Windows среди е много често срещано да се внедрява Вътрешен сертифициращ орган с услуги за сертификати на Active Directory (AD CS)Това ви позволява да издавате сертификати за потребители, оборудване, сървъри, VPN, корпоративен Wi-Fi, вътрешно подписване на код и др., без винаги да разчитате на външен CA.
Инсталацията се извършва от Администратор на сървъра, добавящ ролята на Active Directory Certificate ServicesСъветникът ще ви подкани да изберете сървъра, да проверите ролята на сертифициращ орган и по избор ролята на уеб регистрация на сертифициращ орган (CA Web Enrollment), което също ще изисква добавяне на функции като IIS.
След инсталирането на ролята, трябва да стартирате съветника за конфигуриране на AD CS. Там избирате ролите за конфигуриране (CA и CA Web Enrollment), вида CA (обикновено корпоративен CA) и вида на обекта (често коренен CA, ако е първият)Ще трябва да решите дали да създадете нов частен ключ, криптографския алгоритъм (препоръчва се SHA-256) и размера на ключа, както и името на CA и периода на валидност на коренния сертификат.
Конфигурацията включва и пътищата, където база данни със сертификати и регистрационни файловеПрепоръчително е тези маршрути да бъдат добре документирани, защото ще ви трябват за бъдещи архивирания, възстановявания и миграции.
След като климатикът е конфигуриран, ще можете да Издаване на шаблони за сертификати, автоматизиране на записването чрез GPOПубликувайте компютърни и потребителски сертификати в Active Directory и създайте цялостна екосистема от вътрешни сертификати, интегрирани с вашите домейни.
Предвид този общ преглед, управлението на сертификати и подписи на драйвери в Windows изисква ясно разбиране на основите. Също така е важно винаги да се прилагат най-добрите практики. Не споделяйте пароли, правете резервни копия, следете датите на изтичане, отменете достъпа, ако имате някакви съмнения, и избягвайте да изтривате каквото и да е, без да знаете какво е то.С тази основа, навигирането в този свят престава да бъде главоболие и се превръща просто в още една част от управлението на ежедневната среда.
