Установка корневых сертефикатов
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Установка корневых сертефикатов - 2010-10-20 17:15:21.206666
|
|
|
WinLinux
Сообщений: 491
Оценки: 0
Присоединился: 2008-07-18 14:06:33.563333
|
Ищу любое решение, чтобы автоматически устанавливались корневые сертификаты без уведомления безопасноти, в Доверенные корневые центры Windows. Это может быть bat файл, vbs скрипт или что-либо другое.
|
|
|
|
|
RE: Установка корневых сертефикатов - 2010-10-20 18:50:03.283333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Просмотри http://technet.microsoft.com/ru-ru/library/cc738069(WS.10).aspx , возможно поможет.
|
|
|
|
|
RE: Установка корневых сертефикатов - 2010-10-21 07:00:49.300000
|
|
|
WinLinux
Сообщений: 491
Оценки: 0
Присоединился: 2008-07-18 14:06:33.563333
|
Спасибо! Но нет… Нужен именно исполняемый файл.
|
|
|
|
|
RE: Установка корневых сертефикатов - 2010-10-21 07:08:30.226666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
А его не будет под тебя лично. Сам понимаешь, у каждого свои настройки сети и пользовательские настройки. И охватить весь спектр… - ну это как удовлетворить ВСЕХ женщин, ну хотя бы России. Поэтому тебе придёться самому писать даный исполняемый файл. Даже по заказу тебе, сомневаюсь что напишут. Ну как можно учесть все ньюансы не работая в этой сети.
|
|
|
|
|
RE: Установка корневых сертефикатов - 2010-10-21 08:14:29.246666
|
|
|
WinLinux
Сообщений: 491
Оценки: 0
Присоединился: 2008-07-18 14:06:33.563333
|
Причем здесь настройки сети??? Есть корневой сертефикат ca_rsa.cer, когда его добавляешь в хранилище Windows необходимо пройти процедуру диалогов подтвержедения установки. Так вот я ищу скрипт, что он автоматически его добавлял в Доверенные корневые центры Windows и не запрашивал ни чего.
|
|
|
|
|
RE: Установка корневых сертефикатов - 2010-10-21 19:03:16.883333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Начнём с того, что такое корневой сертификат. Ты хоть знаешь что это такое? И как он устанавливается? И для чего он нужен?
Объясняю.
Более-менее понятно.
Для чего нужно?
обеспечение конфиденциальности информации;
обеспечение аутентификации пользователей и ресурсов, к которым обращаются пользователи;
обеспечение возможности подтверждения совершенных пользователями действий с информацией.
Как работает?
Модель клиент-сервер, то есть проверка какой-либо информации, предоставляемой инфраструктурой может происходить только по инициативе клиента.
Сервер?
Удостоверяющий центр (УЦ) - является основной структурой, формирующей цифровые сертификаты подчиненных центров сертификации и конечных пользователей.
Сам сертификат?
Сертификат открытого ключа (чаще всего просто сертификат) - это данные пользователя и его открытый ключ, скрепленные подписью удостоверяющего центра. Выпуская сертификат открытого ключа, удостоверяющий центр тем самым подтверждает, что лицо, поименованное в сертификате, владеет секретным ключом, который соответствует этому открытому ключу.
Кто пользуется?
Конечные пользователи - пользователи, приложения или системы, являющиеся владельцами сертификата и использующие инфраструктуру управления открытыми ключами.
УЦ по запросу конечного пользователя подтверждает, что данный запрос пришёл от другого именно этого конечного пользователя. А значит можно передавать данные в виде защищенной переписки. Кроме того подтверждается, что в процессе передачи данные не были изменены.
В основном выделяют 5 видов архитектур PKI, это:простая PKI (одиночный УЦ), иерархическая PKI, сетевая PKI, кросс-сертифицированные корпоративные PKI, архитектура мостового УЦ.
В основном PKI делятся на разные архитектуры по следующим признакам: количество УЦ (а также количество УЦ, которые доверяют друг-другу), сложность проверки пути сертификации, последствия выдачи злоумышленника себя за УЦ.
Это самая малая и фундаментальная часть инфы по корневым серитификатам. Как видишь, даная технология предусматривает при своей настройке и работе обязательное учитывание сетевой архитиктуры. Имеющейся сетевой структуры и структуры самого метода выдачи корневого сертификата.
Ах да, ты же его получил и тупо жмёшь на кнопку "Да" при его установке. А что в это время происходит и какой обмен на уровне сети происходит и как фиксируется что ты нажимаешь и на что, ты хоть задумывался? Я видел УЦ, который при установке сертификатов вообще не принимал никакие автоматы, только нажатие пользователем. Он учитывал время реагирования пользователя при работе. Есть другие способы ухода от автоматов. Какой у тебя используется, ты знаешь? Что-то где-то интересовался по этому поводу? И почему нет автоматов для данной технологии, ты задумывался? Именно потому, что она и придумана специльно для противодействию взлому. И установка тоже с подковыркой, чаще всего. Потому изучай и делай сам.
|
|
|
|
|
RE: Установка корневых сертефикатов - 2010-10-22 07:52:33.080000
|
|
|
WinLinux
Сообщений: 491
Оценки: 0
Присоединился: 2008-07-18 14:06:33.563333
|
Если бы я не знал зачем мне это нужно, то заче бы я тогда задавал такой вопрос?
Я знаю что такое УЦ и разбираюсь в PKI технологиях потому-что сам работаю в этой сфере. Вопрос был совсем не в этом. Кароче спасибо буду разбиратся сам…
|
|
|
|
|
RE: Установка корневых сертефикатов - 2010-11-26 16:13:00.070000
|
|
|
mango3
Сообщений: 1
Оценки: 0
Присоединился: 2010-11-26 13:23:13.686666
|
Меня тоже интересует эта тема.
Сертификаты, установленные групповыми политиками:
HCU\Software\Microsoft\SystemCertificates
HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates
Локальные сертификаты:
HCU\Software\Policies\Microsoft\SystemCertificates
HKLM\SOFTWARE\Microsoft\EnterpriseCertificates
HKLM\SOFTWARE\Microsoft\SystemCertificates
HKLM\SYSTEM\CurrentControlSet\Services\CertSvc
Они в виде бинарных блобов. Если у тебя дойдут руки - скопируй их с соседней машины, и пожалуйста, отпишись, заработает ли.
А Firefox хранит ЭТО в файлах cert8.db. Если разберешься, как в Windows изменить этот файл (наверное, это sqlite) - отпишись, пожалуйста, тоже.
zzsnn, твои посты нерелевантны - работа центра сертификации нас не интересует :)
|
|
|
|
|
RE: Установка корневых сертефикатов - 2010-11-27 04:52:37.546666
|
|
|
lkesh
Сообщений: 208
Оценки: 0
Присоединился: 2008-12-07 11:14:59.056666
|
quote:
Так вот я ищу скрипт, что он автоматически его добавлял в Доверенные корневые центры Windows и не запрашивал ни чего.
Может это? (редактировать под себя придется в любом случае)
http://www.ureader.com/msg/16751651.aspx
(правда не проверял, просто навскидку по поиску нашел).
Лучше всего пользоватся Майкростовским утилем.
http://msdn.microsoft.com/en-us/library/e78byta0(vs.71).aspx
|
|
|
|
|
RE: Установка корневых сертефикатов - 2010-11-27 21:11:08.643333
|
|
|
WinLinux
Сообщений: 491
Оценки: 0
Присоединился: 2008-07-18 14:06:33.563333
|
И так теперь по порядку:
mango3 - мне удалось установить сертификаты не много другим способ не очень удобным но он работает, чуть позже выложу способ. Касательно реестра я пока окончательно не проверял, фаакт то что:
В этих 2-х ветках реестра пусто:
[HCU\Software\Policies\Microsoft\SystemCertificates
HKLM\SOFTWARE\Microsoft\EnterpriseCertificates/i]
А вэтих содержатся бинарники, но я с ними ещё не эксперементировал.
HKLM\SOFTWARE\Microsoft\SystemCertificates
HKLM\SYSTEM\CurrentControlSet\Services\CertSvc
Касательно Firefox, действительно за хранение сертоф у него отвечает файл cert8.db в него мне тоже удалось добавить сертификат с помощью дополнительных скриптов.
lkesh - по первой ссылке, я пытался воспользоватся предложенным VBS скриптом, но ни чего не получилось, скрипт отрабатывает но сертифкат не устанавливается, буду ещё проверять. А использование "Майкростовским утилем" вариант не подходит так как по умолчанию certmgr.exe не установлена в системе.
И кстати подскажите хранилище корневых сертификатов Opera?
|
|
|
|
|
RE: Установка корневых сертефикатов - 2010-11-27 22:30:00.516666
|
|
|
lkesh
Сообщений: 208
Оценки: 0
Присоединился: 2008-12-07 11:14:59.056666
|
quote:
А использование "Майкростовским утилем" вариант не подходит так как по умолчанию certmgr.exe не установлена в системе.
Ну и положи на него.
quote:
lkesh - по первой ссылке, я пытался воспользоватся предложенным VBS скриптом, но ни чего не получилось, скрипт отрабатывает но сертифкат не устанавливается, буду ещё проверять.
Вот в этой ссылке я просто увидел увидел майкросовтовскую руку. Точнее попытку использовать функцию call CEnroll.installPKCS7(str), но сильно не вчитывался(язык не родной там). Там проблема в том что проблема не решена. Но кто запрещает гуглить по увиденному? Теги: ENROLL, CA, CERTIFICATE, AUTOMATING, SCRIPT, …
А вот еще метод создания скриптов от производителя – WMI Code Creator. (можно даже, прямо там, скомпилировать любой скрипт (vbs, c#, .net) в PE)
В нем есть четыре вкладки. Последняя вкладка для справки. Первая для входящих. Вторая для управления. Но там есть одна тонкость. Можно подсмотреть транскрипцию команд. А это очень важно. Имея на руках транскрипцию валидную можно черта лысого вытащить из системы.
В вашем случае я бы поискал в root\CIMV2\Applications\MicrosoftIE в классе MicrosoftIE_Certificate … а далее как ляжет)))
|
|
|
|
|
RE: Установка корневых сертефикатов - 2010-11-28 14:08:40.103333
|
|
|
WinLinux
Сообщений: 491
Оценки: 0
Присоединился: 2008-07-18 14:06:33.563333
|
Попытка игры с реестром не увинчалась успехом. Выложу пока свой способ:
Необходимо скачать утилиту CERTUTIL (depositfiles.com/files/1cilrk9i2)
Затем запускается bat файл примерного такого содержания:
Где ca_rsa.cer и ca_gost.cer Ваши корневые сертификаты.
@echo off
certutil.exe -f -enterprise -addstore root ca_rsa.cer
certutil.exe -f -enterprise -addstore root ca_gost.cer
for /d %%a in ("%appdata%\Mozilla\Firefox\Profiles\*") do copy "%%a"\cert8.db
certutilmoz.exe -A -n "Natilnal CA" -t "cCu" -i ca_rsa.cer -d .
for /d %%a in ("%appdata%\Mozilla\Firefox\Profiles\*") do copy cert8.db "%%a"
del cert8.db
|
|
|
|
|
|
