Что такое корневые сертификаты

0
41

Знать, что такое корневой сертификат, должен каждый, кто занимается продвижением сайтов. Без него практически невозможно попасть в первую десятку веб-ресурсов, выдаваемых поисковыми системами, так как они отдают предпочтение доверенным сайтам, который работают с протоколом HTTPS. При отсутствии сертификата браузеры, например, Chrome ставят в адресной строке метку в виде открытого замка, или даже могут заблокировать вход ГИИС ДМДК.

Что такое корневой сертификат

Корневой сертификат (СА) – это файл, содержащий часть SSL-ключа, и содержащий информацию о центре сертификации, выдавшей данный электронный документ. Его наличие гарантирует подлинность электронной подписи. Браузеры могут проверить его подлинность и определить лицо, выдавшее СА. Цепочка доверия базируется на корневом сертификате. Без него ни одна электронная подпись не будет считаться корректной.

Перед загрузкой защищенного сайта браузер сначала проверяет, известен ли ему центр сертификации, выдавшие сертификат, тот ли это сайт, для которого был сгенерирован сертификат, после этого смотрит, не истек ли его срок действия. Если проверка не пройдена, то в браузере отображается сообщение что сервис использует небезопасное соединение.

Какая информация находится в корневом сертификате

В СА храниться не только информация о сертификационном центре, но и следующая информация:

  • номер документа;
  • сведения об алгоритме цифровой подписи;
  • срок действия;
  • сведения о хозяине сертификата;
  • открытые ключи;
  • электронная подпись.

Можно ли установить электронную подпись без корневого сертификата;

Установить ЭЦП на ПК можно и без СА, но при проверке она, скорее всего окажется недействительной и подписать таким образом ничего не получиться. В этом случае система выдаст ошибку «Невозможно проверить электронную подпись». То же самое касается и подписи расположенной на токене.

Использовать самоподписной сертификат можно только для использования внутри компании, но его нельзя использовать для публичных сервисов и сайтов, продающих какие-либо товары или услуги.

Где взять корневой сертификат

Доверенные корневые сертификаты можно получить в центре сертификации. Это организация, с безупречной честностью, открытый ключ которой широко известен. Она состоит в договорных отношениях с вышестоящим центром, который удостоверят сертификат центра.

Главное, чем отличаются удостоверяющие центры, это количество браузеров, в которых имеется их корневой сертификат. Ведь если в обозревателе не будет представлен центр сертификации, то все сайты, которым он выдал документы не будут доверенными, и при попытке их посещения будет выдаваться ошибка.

Чтобы получить сертификат нужно сформировать запрос на изготовление сертификата. При этом придется ответить на несколько вопросов. После проверки введенных данных сертификационный центр выдаст сертификат.

Стоимость сертификата зависит от количества проверок, при выдаче недорогих УЦ проверит только соответствие доменного имени, чтобы получить дорогой, нужно будет пройти множество различных проверок.

Пошаговая инструкция по установке корневого сертификата

Расскажем, как установить сертификат удостоверяющего центра. Для этого нужно

  • скачать файл сертификата на официальном сайте центра сертификации;
  • кликнуть два раза по загруженному файлу, чтобы открыть его;
  • нажмите «Установить сертификат»;
  • когда появится окно «Мастер импорта сертификатов» укажите место, где будут храниться сертификат, рекомендуется выбрать «Локальный компьютер» и кликните «Далее»;
  • выберите «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор»;
  • в окне «Выбор хранилища сертификата» кликните по строке «Промежуточные центры сертификации» подтвердите свои действия нажав кнопку «Ок»;
  • потом нажмите «Далее»;
  • в конце нажмите готово.

Вопрос-ответ

Вопрос: Что делать если сертификат не устанавливается?

Ответ: Существуют две самые распространённые причины, по которым могут возникнуть проблемы с установкой.

Во-первых, для установки сертификата может не хватать прав. В этом случае нужно войти в систему с правами администратора и попробовать завершить процедуру в этом режиме. В сети предприятия сертификат переносится на сервер, для этого также нужны права.

Во-вторых, если появляется сообщение «Windows не может проверить подлинность сертификата», то необходимо разобраться с версией операционной системы. Если у вас установлена Windows 7, то установите обновление Service Pack 1, после этого продолжить установку. Кроме этого центры сертификации рекомендуют работать с 64-х битными операционными системами.

Вопрос: Что делать если срок действия сертификата истек?

Ответ: Удостоверяющий центр не имеет права выдать сертификат срок действия которого превышает срок действия собственного. Если срок действия истек, тот нужно получить в центре сертификации новый документ и установить его. Кроме этого многие центры, при покупке сертификата предлагают оформить подписку, в этом случае,

Вопрос: Как узнать в каком УЦ выпущен корневой сертификат?

Ответ: Что бы посмотреть все установленные на компьютере сертификаты и узнать в каком центре сертификации выпущен интересующий вас нужно зайти в «Панель управления», перейти в раздел «Сеть и интернет» и выбрать «Свойства браузера». В новом окне открыть «Содержание» и нажать кнопку «Сертификаты». Свои сертификаты можно найти на вкладке личные, и посмотреть кем он выдан, в соответствующей колонке.

Кроме этого всю информацию, хранящуюся в сертификате можно получить с помощью онлайн сервиса CSR Decoder.

Вопрос: Чем отличается корневой сертификат от промежуточного?

Ответ: Обычно удостоверяющие центры не выдают сертификаты от корневого. Чаще они подписывают промежуточные сертификаты и делают доверенными. После этого они подписывают закрытым ключом промежуточного сертификата SSL-документ конечного пользователя. Этот процесс может повторяться несколько раз, то есть одним промежуточным сертификатом подписывается другой. Это минимизирует риск в случае ошибочной выдачи сертификата.

Вопрос: Как посмотреть какие сертификаты установлены в Mozilla Firefox?

Ответ: Чтобы посмотреть сертификаты, установленные в Mozilla Firefox нужно зайти в настройки браузера, кликнуть по строке «Приватность и защита», нажать кнопку «Сертификаты» и отрыть вкладку «Центры сертификации».

Вопрос: Можно ли самостоятельно создать коревой сертификат?

Ответ: Чтобы самому создать корневой сертификат нужно зарегистрироваться как удостоверяющий центр. Это занимает много времени и стоит дорого, поэтому лучше использовать существующие центры сертификации. Хотя в некоторых случаях это может быть выгодно. Например, Webmoney зарегистрирован как удостоверяющий центр и выдает своим пользователям сертификаты, которые используются для аутентификации клиентов.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь