Как удалить сертификаты из хранилища в Windows 10
Сертификат электронной цифровой подписи представляет собой специальный файл, хранящий персональные данные, необходимые для авторизации пользователя на защищенных государственных сайтах, а также сайтах некоторых коммерческих организаций. Сертификаты ЭЦП используются браузерами, однако хранятся они в отдельном хранилище сертификатов Windows. Исключение составляет браузер Mozilla Firefox, который располагает собственным хранилищем сертификатов.
Способ 1: Использование оснастки «certmgr»
Сертификат, сохраненный во встроенное хранилище Windows, может быть удален средствами операционной системы, точнее, средствами оснастки «certmgr».
- Запустите оснастку просмотра и управления сертификатами, для чего вызовите нажатием клавиш Win + R окошко быстрого выполнения команд, введите в него certmgr.msc и нажмите клавишу Enter.
- В правой колонке оснастки найдите раздел, в котором хранятся более ненужные вам сертификаты. Обычно это подраздел «Личное» → «Сертификаты». Кликните правой кнопкой мыши по сертификату и выберите из контекстного меню «Удалить».
Способ 2: Через апплет «Свойства браузера»
Удалить ставший ненужным сертификат в Windows 10 можно также из апплета «Свойства браузера», хотя этот способ является менее надежным в том смысле, что при удалении некоторых записей электронных подписей пользователи могут столкнуться с ошибками.
-
Откройте классическую «Панель управления» командой control из вызванного нажатием Win + R окошка «Выполнить».
Удаление сертификата в Firefox
Если вы устанавливали сертификат через браузер Firefox, то и удалить его можно будет через Firefox. Также этот браузер поставляется с собственным набором электронных подписей, которые могут потребоваться для входа в учетные записи некоторых специализированных веб-ресурсов.
- Зайдите в общие настройки браузера. Через встроенный поиск Firefox найдите подраздел «Сертификаты» и нажмите кнопку «Просмотр сертификатов».
- Отыщите ненужный сертификат, на вкладке «Ваши сертификаты», выделите его мышкой и нажмите кнопку «Удалить или не доверять».
- Подтвердите действие в открывшемся диалоговом окошке.
Перед удалением сертификатов в Windows 10 желательно создавать их резервные копии на тот случай, если вдруг вы ошибетесь в выборе ЭЦП или захотите восстановить электронную подпись.
Как из certsrv удалить сертификат
В домене есть центр сертификации. При перезагрузке сервера неизменно выпадает сообщение "Сертификат в цепочке сертификатов ЦС 0 для *****просрочен. Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле. 0x800b0101 (-2146762495)." В консоли центра сертификации видно, что есть 2 просроченных сертификата. Что с ними делать? Как их удалить? В остальном ЦС работает нормально.
Все ответы
Добрый день!
Вы пытались удалить истекшие сертификаты CA из pkiview.msc следующим образом:
Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com
Воспользовался pkiview.msc, но ситуация не изменилась.
- Изменено ВСН 31 мая 2021 г. 8:44
Привет,
Вы имели в виду, что даже если вы удалили сертификаты с истекшим сроком действия из PKIVIEW.MSC, они все равно вернутся?
Пытался удалить сертификат с истекшим сроком действия из windows / system32 / CertSrv / CertEnroll
Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com
1. Есть вышестоящий СА ? Если есть, то удалите эти серты и с него.
2. Посмотрите не указаны ли эти сертификаты в GPO.
Вышестоящего CA нет.
Сертификаты, кажется, нигде в политиках не используются.
Вышестоящего CA нет.
Сертификаты, кажется, нигде в политиках не используются.
Подскажите Вы решили свою проблему?
У меня подобная проблема, кто то накосячил с ЦС и навыпускал кучу корневых и перекрёстных.
так же не могу удалить, все время после перезапуска возвращаются.
Как из certsrv удалить сертификат
В этой статье я подробно расскажу о процессе установки и настройки Active Directory Certificate Services.
Служба сертификации Active Directory создает центр сертификации, предназначенный для выдачи сертификатов пользователям. Служба может быть настроена и работать через веб-интерфейс.
В примере я разбираю Active Directory Certificate Services на операционной системе Windows Server 2012.
Первым делом нам нужно установить службу сертификации Active Directory.
Установка службы сертификации Active Directory
Для этого нужно запустить диспетчер сервера.
Далее жмем «Добавить роли и компоненты». Кнопка далее.
Выбираем пункт установка ролей или компонентов, а затем выбираем наш сервер.
В следующем окне выбираем пункт службы сертификатов Active Directory.
В окне выбора компонентов жмем далее.
В окне служба ролей выбираем пункт центр сертификации.
Запускаем процесс установки.
После этого по аналогии устанавливаем веб-службу регистрации сертификатов.
Установка завершена. Перейдем к настройке.
Настройка службы сертификатов Active Directory
Заходим в настройки.
Выбираем службу центр сертификации.
Вариант установки – центр сертификации предприятия.
Тип центра сертификации – корневой. Это необходимо для того, что бы в дальнейшем мы могли самостоятельно выдавать и подписывать сертификаты.
В следующем окне нужно выбрать пункт создать новый закрытый ключ.
Затем необходимо указать параметры шифрования. Вы можете указать свои параметры, или параметры как у меня на рисунке ниже.
В следующем окне указывается имя центра шифрования.
Затем указывается срок действия центра сертификации. По умолчанию он равен 5 годам. Так и оставим.
После нажатия кнопки далее вам нужно будет указать физическое место на жестком диске для хранения базы данных.
Перейдем к настройке web-службы регистрации сертификатов.
Настройка web-службы регистрации сертификатов
В окне указать центр сертификации для веб-службы регистрации сертификатов выбираем пункт «Имя ЦС».
Тип проверки подлинности – имя пользователя и пароль.
Учетная запись службы CES – использовать встроенное удостоверение пула приложений.
В окне выбора сертификата проверки подлинности сервера выберите существующий сертификат, затем нажмите кнопку настроить.
Выберите тип проверки подлинности – имя и пароль пользователя.
Включите режим обновления на останове ключей. Этот режим позволяет автоматически обновлять сертификаты ключей для компьютеров, которые не подключены к внутренней сети.
Установка и настройка удостоверяющего центра
Запустите консоль управления Microsoft (пуск, выполнить, mmc).
Далее нажмите файл, а затем добавить или удалить оснастку.
В левой части нужно выбрать пункт «Сертификаты» и нажать кнопку добавить.
В появившемся окне выбрать пункт учетной записи компьютера.
В следующем окне ничего не меняем и нажимаем кнопку готово. Оснастка добавлена.
В левой части окна можно увидеть папки, в которых хранятся сертификаты (11 штук). Они сортированы по типам сертификатов. Если нажать на папку «Личное» то можно посмотреть сертификаты в этой папке.
Запросим новый ключ, для этого нужно нажать на сертификате и выбрать меню «все задачи», а затем «запросить сертификат с новым ключом».
Появится окно перед началом работы. Жмем далее.
Видим окно запрос сертификатов и нажимаем «заявка».
Запускается процесс установки сертификата. После успешной установки появиться следующая надпись «Состояние: Успешно».
Теперь нам нужно связать сертификат с веб-сервером. Для этого нужно запустить диспетчер служб IIS.
В левой части окна нажать сайты, default web site, изменить привязки.
В появившемся окне нажмите добавить и введите данные как на изображении ниже.
Сохраните изменения и закройте окно.
Для проверки работоспособности Центра сертификации запустите браузер Internet Explorer и в строке навигации наберите адрес «https://192.168.0.1/certsrv/» (ip-адрес может отличаться от того, который указали вы).
Управление шаблонами сертификата
Работа с шаблонами сертификата требует установки оснастки «Шаблоны сертификатов». Откроем нашу консоль, которую мы создавали ранее и добавим оснастку «Шаблоны сертификатов».
Откроем шаблоны в главном окне консоли. Создадим новый шаблон.
Сначала нужно выбрать любой шаблон сертификата и нажать скопировать его.
Настроим шаблон. Выберите совместимость шаблона сертификата.
Задайте общие свойства шаблона.
В поле «отображаемое имя» , в строке «имя шаблона» будет тоже самое только без пробелов.
Параметры достоверности по умолчанию и периода обновления для сертификатов, выдаваемых службами сертификатов Active Directory (AD CS), предназначены удовлетворить большинство требований безопасности. Однако для сертификатов, используемых определенными группами пользователей, может потребоваться указать другие параметры достоверности и обновления, такие как более короткие срок действия или периоды обновления.
За это два параметра отвечают для поля «период действия» и «период обновления».
Параметр «опубликовать сертификат в Active Directory» определяет, будут ли сведения о шаблоне сертификата доступными по всему предприятию.
Параметр «не использовать автоматическую перезаявку, если такой сертификат уже существует в Active Directory». С помощью этого параметра автоматическая подача заявки на сертификат не подаст запрос повторной заявки, если в доменных службах Active Directory (AD DS) существует дубликат сертификата. Это дает возможность обновлять сертификаты, но предотвращает выдачу нескольких дубликатов сертификатов.
Обработка запроса. Цель имеет 4 возможных параметра:
- Вход с подписью и смарт-картой. Разрешает первоначальный вход в систему с помощью смарт-карты и цифровую подпись данных. Нельзя использовать для шифрования данных.
- Подпись. Содержит шифровальные ключи только для подписи данных.
- Подпись и шифрование. Охватывает все основные применения шифровального ключа сертификата, включая шифрование данных, дешифрование данных, первоначальный вход в систему и цифровую подпись данных.
- Шифрование. Содержит шифровальные ключи для шифрования и дешифрования.
Параметр «включить симметричные алгоритмы, разрешенные субъектом» позволяет администратору выбрать алгоритм стандарта AES для шифрования закрытых ключей, когда они передаются в ЦС для архивации ключа.
Если установлен этот параметр, клиент будет использовать симметричное шифрование AES-256 (наряду с сертификатом обмена ЦС для асимметричного шифрования), чтобы отправить закрытый ключ в ЦС для архивации.
Параметр «авторизация дополнительных учетных записей служб для доступа к закрытому ключу» позволяет задать настраиваемый список управления доступом (ACL) к закрытым ключам сертификатов компьютеров на основе любых шаблонов сертификатов компьютера версии 3 за исключением корневого ЦС, подчиненного ЦС и перекрестных шаблонов ЦС.
Настраиваемый список управления доступом необходим в случае, если учетная запись службы, которой требуется доступ к закрытому ключу, не включена в разрешения по умолчанию.
Вкладка шифрование. Определяется максимальный размер ключа. Я оставлю его без изменений.
Безопасность можно настроить по вашему усмотрению.
Шаблон сертификата готов.
На этом статья подходит к концу. Мы установили и настроили Active Directory Certificate Services.
Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.
2 комментариев к записи “ Установка и настройка Active Directory Certificate Services ”
Ну одноуровневый CA без изолированного корневого CA — так себе затея.
Настройка шаблонов практически не рассмотрена, настройки публикации CRL тоже нет. Хлипенький CA получился(
Эта статья предназначена для общего понимания. Она не претендует на подробное руководство по развертыванию полноценного центра сертификации. Так как у всех есть свои задачи, и написать универсальную статью, которая подойдет всем практически невозможно, да и времени столько у меня нет.
Если есть желание помочь людям – вы можете стать соавтором, поделитесь опытом.
Get rid of those annoying self-signed certificates with Microsoft Certificate Services, Part 4
In Part 1 of the guide, we introduced Certificate Services and we discussed the design and the plan to deploy these services.
In Part 2, we installed and configure the Web Server used to distribute Certificate Revocation Lists (CRLs), requests and issue certificates and create a CNAME DNS record for the Web Server.
In Part 3 of the guide, we installed and configured the Standalone Root CA.
In this part, we will install and configure the Enterprise Subordinate CA server used to request and issue certificates. Let’s get to work!
Requirements:
Install a server with Windows Server 2016 or 2019 for the Enterprise CA server, set a name for the server, configure the computer with a static IP address and join the machine to the domain.
Before the setup of Certificate Services in the server, publish the Root CA to AD and add the Root CA cert and CRL to the local certificate store.
Add the Root CA certificate and CRL to the local certificate store
To add the Root CA certificate and CRL to the local certificate stores, type the following command in an elevated command prompt:
Installing Enterprise Subordinate CA:
Open Server Manager, click on the Add Roles and Features option, Role-based or feature-based installation type and choose Active Directory Certificate Services under Server Roles.
Ensure you choose only the Certificate Authority role for the Enterprise CA.