Получить сертификат сайта в доверенные

Как добавить сертификат сайта

Откройте страницу chrome://settings.

Как добавить сертификат сайта:

Как добавить сертификат с сайта:

Как добавить сертификат сайта в доверенные:

Куда установить сертификат сайта:

Как добавить HTTPS сертификат:

Как загрузить сертификат:

Как включить доверие к сертификату:

Как заставить Chrome доверять сертификату:

Как сделать Импорт сертификата:

Как добавить сертификат с сайта

Чтобы установить сертификат:

Как включить доверие к сертификату

Откройте страницу chrome://settings:

Как сделать Импорт сертификата

Импорт сертификата предполагает его размещение в соответствующую папку сертификатов:

Как установить сертификат в список доверенных

Нажмите кнопку Пуск, выберите Начать поиск, введите mmc, а затем нажмите клавишу ВВОД. В меню Файл выберите пункт Добавить или удалить оснастку. В группе Доступные оснастки щелкните Сертификаты, а затем нажмите кнопку Добавить. Щелкните Локальный компьютер, а затем нажмите кнопку Готово.

Как загрузить сертификат на сервер

Для того, чтобы загрузить сертификат перейдите в Диспетчер серверов («Пуск» — «Администрирование» — «Диспетчер серверов»):

Как сделать и установить бесплатный сертификат на сайт

Сертификат устанавливается за 5 шагов:

Как сделать так чтобы сайт был защищен

Чтобы пополнить ряды «Надежных» веб-сайтов, необходимо установить SSL-сертификат на свой сайт или интернет-магазин. Но прежде нужно разобраться в том, что такое SSL-сертификат, какие бывают виды сертификатов безопасности, в чем их отличие и как перевести свой сайт на HTTPS.

Как установить сертификат безопасности

В ответ веб-сервер отправляет браузеру или серверу копию своего SSL-сертификата. Браузер или сервер проверяет, является ли этот SSL-сертификат доверенным. Если это так, он сообщает об этом веб-серверу. Затем веб-сервер возвращает подтверждение с цифровой подписью и начинает сеанс, зашифрованный с использованием SSL.

Как достать сертификат с сайта

Откройте диспетчер сертификатов — меню «Настройки» — «Свойства браузера»,:

Как включить SSL

Для этого выполните следующие действия: В консоли управления компьютерами щелкните правой кнопкой мыши веб-сайт, на котором требуется применить SSL, и выберите «Свойства». Выберите вкладку «Веб-сайт». В разделе «Идентификация веб-сайта» убедитесь, что поле порта SSL заполнено числовым значением 443.

Как добавить сертификат в PDF

Добавление сертификата из цифровой подписи в файл PDF:

Как установить сертификат другому пользователю

Для этого нажимаем клавиши Ctrl +M, или же открываем в верхнем меню пункт «Файл», в нем выбираем «Добавить или удалить оснастку». Откроется окошко добавления или удаления оснасток. В левом столбце (который называется «Доступные оснастки») ищем Сертификаты, выделяем и нажимаем «Добавить».

Оставить отзыв

В этой статье мы покажем, как добавить (установить) новый сертификат в список доверенных корневых сертификатов в Linux.

Например, вы используете на своем сайте самоподписанный SSL/TLS сертификат и не хотите, чтобы на клиентах при открытии сайта появлялась ошибка SEC_ERROR_UNKNOWN_ISSUER.

Чтобы проверить, что ваш хост Linux не может проверить (и соответственно не доверяет) SSL сертификату на определенном сайте, выполните команду:

$ curl –I https://www.sberbank.ru

В данном случае нам нужно добавить корневой центр сертификации этого сайта в список доверенных корневых сертификатов Linux.

Установка корневого сертификата в Linux

Для обновления хранилища доверенных сертификатов в Linux вам нужен файл сертификата в формате PEM с расширением файла .crt. P EM сертификат представляет собой текстовый файл в формате base64, который содержит в начале файла строку —-BEGIN CERTIFICATE—- и в конце ——END CERTIFICATE——.

Если ваш файл сертификата в формате DER, вы можете конвертировать его в PEM формат с помощью утилиты openssl:

$ openssl x509 -in my_trusted_sub_ca.der -inform der -out my_trusted_sub_ca.cer

Сначала рассмотрим, как добавит корневой сертификат вашего CA в доверенные в дистрибутивах Linux на базе DEB (Ubuntu, Debian, Mint, Kali Linux).

Обновите хранилище сертификатов командой:

$ sudo update-ca-certificates -v

Если команда не найдена, установите пакет в Ubuntu:

$ sudo apt-get install -y ca-certificates

Если сертификаты успешно добавлены, появится сообщение о том, что сертфикат скопирован в /etc/ssl/certs/:

Также вы можете добавить новые сертификаты в хранилище с помощью команды:

$ sudo dpkg-reconfigure ca-certificates

Выберите из списка сертификаты, которые нужно добавить в доверенные.

В Linux список доверенных сертификатов содержится в файле /etc/ssl/certs/ca-certificates.crt. Обе рассмотренные выше команды обновят этот файл и добавят в информацию о новых сертификатах.

Вы можете проверить, что ваши сертификаты были добавлены в доверенные с помощью команды:

Укажите часть Common Name вашего сертификата вместо YourCASubj для поиска в хранилище по subject.

Вы можете убедиться, что ваша ОС доверяет сертификату с помощью команду:

$ openssl verify my_trusted_sub_ca.crt

Если Linux не доверяет сертификату, появится ошибка:

error 20 at 0 depth lookup: unable to get local issuer certificate
error my_trusted_sub_ca.crt: verification failed

Теперь проверьте, что на сайте используется доверенный SSL сертификат с помощью curl:

Можно также вручную добавить путь к сертификату:

Чтобы удалить сертификат, удалите ваш crt файл:

И обновите хранилище:

$ sudo update-ca-certificates —fresh

В дистрибутивах Linux на базе RPM (CentOS, Oracle, RHEL, Rocky Linux, Fedora) для добавления сертификата в доверенные:

Добавить корневой доверенный сертификат для браузеров Mozilla, Chrome

Теперь все системные утилиты будут доверять сайтам, использующим данный CA. Но это не повлияет на веб браузеры Mozilla Firefox или Google Chrome. Они по-прежнему будут показывать предупреждение о недоверенном сертификате.

Дело в том, что браузеры Firefox, Chromium, Google Chrome, Vivaldi и даже почтовый клиент Mozilla Thunderbird не используют системное хранилище сертификатов Linux. Хранилище сертификатов для этих программ находится в директории пользователя в файле cert8.db (для Mozilla) или cert9.db (для Chromium и Chrome). Для обновления этих хранилищ сертификатов используется утилита certutil из пакета libnss3-tools.

$ sudo apt install libnss3-tools

Теперь выполните следующие скрипты для добавления ваших сертификатов в хранилище через NSS:

После запуска скрипта, сайтам с данным CA будут доверять все браузеры.

Как настроить сертификат безопасности

Решение Чтобы устранить эту проблему, организация, на которой размещен защищенный веб-сайт, может приобрести сертификат для каждого веб-сервера у стороннего поставщика. Кроме того, организация может установить центр сертификации Microsoft Enterprise в лесу Active Directory.

Где находится сертификат безопасности

Откройте «Пуск/Панель управления/Свойства браузера» или «Пуск/Панель управления/Сеть и интернет/Свойства браузера». В открывшемся окне перейдите на вкладку «Содержание». Нажмите кнопку «Сертификаты».

Где взять сертификат безопасности

Как получить сертификат безопасности? Для оформления разрешительного документа в одной из систем сертификации следует обратиться в специальную компанию — центр сертификации, который имеет аккредитацию по соответствующему направлению оценки соответствия.

Как настроить сертификат HTTPS

Все дело в сертификате, который нужен для шифрования трафика по протоколу SSL. И ошибка с незащищенным подключением появляется в результате сбоя при проверке сертификата. Как правило, проблема в браузере, или каких-то настройках на компьютере. Но проблема так же может быть на стороне сайта.

Где в хроме найти сертификаты

Если возникает подобная проблема, значит причина не в кэше вашего сайта и файлах cookie. Ошибка может появиться, потому что ваша дата и время установлены неправильно. Браузеры учитывают дату и время на вашем компьютере, чтобы проверить действительность SSL-сертификата.

Как обновить сертификаты безопасности сайтов

Как продлить SSL сертификат?:

Как обновить сертификат безопасности на компьютере

Установить скачанный сертификат в систему. Для этого нажмите сочетание кнопок Win+R и введите команду certmgr. msc — OK. В открывшемся центре сертификатов в Windows откройте вкладку «Доверенные корневые центры сертификации/сертификаты» — клик правой кнопкой мыши — выберите «Все задачи — импорт».

Кто выдает сертификаты безопасности

Сертификат соответствия выдает уполномоченный для этого орган после проведения испытаний для каждого вида товара, требующего сертификации. Сертификат безопасности может выдаваться на основании гигиенического заключения органов Госэпиднадзора, которые производят лабораторные испытания образцов товара.

Как установить сертификаты безопасности в доверенные центры сертификации

Установка сертификатов используя КриптоПРО:

Как открыть сертификат безопасности

Выберите параметр Выполнить в меню Пуск, а затем введите certmgr. msc. Отобразится инструмент диспетчера сертификатов для текущего пользователя. Чтобы просмотреть сертификаты, в разделе Сертификаты — текущий пользователь в левой области разверните каталог для типа сертификата, который нужно просмотреть.

Как подтвердить сертификат SSL

Чтобы подтвердить владение доменом через txt файл, напишите запрос в тех поддержку. Специалист отправит Вам txt файл, сгенерированный в сертификационном центре. Полученный txt файл необходимо разместить в корневую директорию домена. Бот сертификационного центра с промежутком в 10 минут сканирует наличие файла.

Где устанавливается SSL сертификат

Если ssl-запросы обрабатывает Apache, то сертификат устанавливается в файле конфигурации Apache. Ubuntu / Debian — /etc/apache2/apache2. conf. Centos — /etc/httpd/conf/httpd.

Как сделать доверие к сертификату

Вы можете устанавливать разрешения для конкретных сайтов и удалять сохраненные ими данные:

Почему сертификат не действителен

Ошибка связана с тем, что сертификат удостоверяющего центра не установлен в списке доверенных. Что бы устранить данную ошибку, необходимо установить корневой сертификат в хранилище операционной системы.

Что такое ошибка сертификата

Ошибка сертификата может означать, что подключение перехвачено или этот веб-сервер выдает себя за какой-либо другой. Если вы полностью уверены в удостоверении веб-сайта, знаете, что подключение не подвержено угрозам, и осознаете риски, то можно перейти на веб-сайт.

Как отключить проверку сертификатов в браузере

Что будет если удалить сертификат безопасности

Если вы удалите национальный сертификат безопасности со своего устройства, то у представителей спецслужб не будет абсолютного доступа к вашему трафику. Это значит, что они не смогут его подменять, но это не значит, что они не смогут его считывать.

Какие бывают сертификаты безопасности

Загруженные сертификаты нужно импортировать: Зайти в Сонате в «Меню — криптобиблиотеки — Посмотреть сертификаты» Снизу нажать «Импортировать», выбрать все загруженные сертификаты и нажать кнопку «Открыть»

Как обновить сертификаты безопасности Windows 10

Управление корневыми сертификатами в Windows 10 и 11:

Как добавить сертификат для HTTPS

Ручная установка в панели хостинга:

Как установить сертификат сайта на компьютер

Импорт сертификата в локальное хранилище компьютеров

В меню «Файл» выберите « Добавить или удалить оснастку». В диалоговом окне «Добавление и удаление оснастки» выберите « Добавить». В диалоговом окне «Добавление автономной оснастки» выберите «Сертификаты», а затем нажмите кнопку «Добавить».

Как добавить SSL сертификат в доверенные

Чтобы отключить сертификат, щелкните его правой кнопкой мыши, выберите Свойства, нажмите Отключить все цели для этого сертификата и выберите ОК.

Как установить сертификат безопасности на Windows 10

Создание и удаление исключений для выбранных сайтов

Как изменить настройки для всех сайтов:

Почему Яндекс браузер блокирует сайты

В Яндекс Браузере включена защита от вредоносного ПО, которая блокирует зараженные сайты и страницы. Эту защиту вы можете отключить. Кроме вас защиту могут отключить без вашего ведома другие пользователи компьютера или вредоносное расширение.

Как внести сертификат сайта в список надежных

Вы можете либо отказаться от посещения сайта, либо внести сертификат в список надежных, нажав в диалоге Подробности, а затем Сделать исключение для этого сайта. В списке надежных сертификат будет находиться в течение 30 дней, после чего вам придется снова сделать для него исключение.

Как включить исключение

С помощью групповой политики:

Как управлять расширениями в Яндекс браузере

Чтобы получить доступ к настройкам расширения:

Как добавить свой сайт в Яндекс

Как добавить сайт в Яндекс. Вебмастер:

Как в Яндексе отключить блокировку сайтов

Чтобы отключить блокировку опасных страниц:

Как попасть на небезопасный сайт

Как посмотреть небезопасные сайты и файлы:

Что блокирует Яндекс DNS

DNS», так и в «семейном поиске» ограничивается страницами, содержащими порнографический контент, но не блокирует доступ к сайтам, с обсценной и агрессивной лексикой, а также к ресурсам, предположительно призывающим к суициду или информирующим о способах приготовления наркотиков.

Как удалить сертификат сайта

Откройте раздел «Сервис» и выберите в нем пункт «Свойства браузера». Перейдите во вкладку «Содержание» и нажмите на кнопку «Сертификаты». В списке сертификатов выберите нужный и удалите его с помощью одноименной кнопки.

Как обойти проверку сертификата

Самый простой способ обхода данного запрета — это, разумеется, нажатие на вкладку»Дополнительные« и согласиться с Небезопасным режимом.

Что будет если не обработать исключение

Если не было предпринято дополнительных действий, в этой ситуации нет никаких хитростей. Всё приложение, и даже метод main(), выполняется в потоках. Поток, в котором было выброшено и не обработано исключение, остановится, и распечатает стектрейс в вывод System.

Что такое исключение правило

Иными словами, если существует исключение, то должно быть и правило, из которого это исключение сделано, даже если это правило явно никогда не формулировалось. Дело было выиграно. Таким образом, существование исключений подтверждает существование правила, из которого эти исключения делаются.

Как сделать сайт надежным

Чтобы пополнить ряды»Надежных« веб-сайтов, необходимо установить SSL-сертификат на свой сайт или интернет-магазин. Но прежде нужно разобраться в том, что такое SSL-сертификат, какие бывают виды сертификатов безопасности, в чем их отличие и как перевести свой сайт на HTTPS.

Как добавить свой сайт в поиск Google и Яндекс

Введите в поисковую строку Google запрос «Add URL». Добавьте адрес новой страницы или сайта в поле и нажмите «Отправить». Альтернативный способ, разместить свой сайт здесь: www.google.com/addurl.

Как поднять свой сайт в поиске Яндекс

Как поднять сайт в поиске:

Как изменить настройки браузера

Как настроить браузер по умолчанию в Windows

Как прописать сертификат в браузере

Использование SSL гарантирует, что данные, передаваемые между пользователями и веб-сайтами или между двумя системами, невозможно прочитать сторонним лицам или системам. S SL использует алгоритмы для шифрования передаваемых данных, что не позволяет злоумышленникам считать их при передаче через зашифрованное соединение.

В окне с информацией о корневом сертификате УЦ нажмитеУстановить сертификат. В мастере импорта сертификатов нажмите Далее. Выберите пункт Поместить все сертификаты в следующее хранилищеи нажмите Обзор. В списке хранилищ выберите Доверенные корневые центры сертификации, после чего нажмите ОК.

Как отменить разрешение на сайте

Как изменить настройки для одного сайта:

Как добавить сайт в исключения Доктор веб

Часто задаваемые вопросы по темам:

Как добавить сайт в исключения Java

Для этого необходимо:

Как настроить Эцп в Яндекс браузере

Установка дополнения браузера «КриптоПро ЭЦП»:

Как обойти блокировку Яндекса в хроме

Все что нам нужно, это установить последнюю версию браузера. Затем зайти в»Меню« —»Настройки«, на вкладку»Безопасность«, и поставить галочку возле»Включить VPN». Осталось просто включить VPN, и можете заходить на сайты, которые вам заблокировал интернет-провайдер. Можно менять виртуальное местоположение.

Что делать если Браузер блокирует сайты

Проверьте настройки прокси сервера в браузере (если вы подключены к Интернету напрямую, скорее всего нужно отключить использование прокси сервера в настройках браузера), отключите лишние плагины и расширения. Попробуйте установить другой браузер (например, если у вас установлен Chrome — установите Firefox).

Как оптимизировать Яндекс браузер

Однако браузер «Яндекса» можно сделать еще быстрее, активировав специальную опцию в настройках. Перейдите на страницу browser://settings/system и отрегулируйте параметры в разделе «Производительность». Включите следующие три опции: «Использовать аппаратное ускорение, если возможно».

На чем проще всего сделать сайт

Без навыков программирования человек может сделать сайт на конструкторе или с помощью CMS. Популярные решения для создания веб-сайта:

Сколько стоит написание одного сайта

Цены начинаются от 70.000 рублей на шаблонный сайт и доходят до 560.000 рублей без текста на уникальный проект. Дополнительные расходы на домен и хостинг от 10.000 до 50.000 рублей.

Что такое исключение в C#

Иногда при выполнении программы возникают ошибки, которые трудно предусмотреть или предвидеть, а иногда и вовсе невозможно. Например, при передачи файла по сети может неожиданно оборваться сетевое подключение. такие ситуации называются исключениями.

В новостях несколько раз проскакивала информация о том, что госучреждения в связи с санкциями начали использовать на российские TLS сертификаты. В частности, Сбер сообщает, что через несколько дней его сервисы начнут переход на российские TLS-сертификаты Минцифры. В этой статье говорим об особенностях таких сертификатов, их поддержке и установке в различных устройствах и браузерах.

Российские сертификаты Национального удостоверяющего центра Минцифры России должны обеспечивать защищённый доступ к сайтам и онлайн-сервисам российских банков и госорганизаций. Данные сертификаты могут использоваться российские организации под санкциями, которые не могут продлить или перевыпустить сертификаты в иностранных CA (в случае их отзыва или окончания срока действий). Минцифры предоставляет бесплатный услугу по выпуску TLS сертификата юридическим лицам, владельцам сайтов по запросу в течение 5 рабочих дней.

Однако главная проблема в том, что сертификаты, выданные Минцифрой, считаются недоверенными на большинстве устройств и браузерах и отсутствуют в списках корневых сертификатов операционных систем.

Вы можете проверить, доверяет ли ваш компьютер (браузер) сертификатам, выданным Минцифрой, перейдя на сайт https://fgiscs.minstroyrf.ru/. В моем случае браузер Edge выдает:

Your connection isn’t private
Attackers might be trying to steal your information from fgiscs.minstroyrf.ru (for example, passwords, messages, or credit cards).
NET::ERR_CERT_AUTHORITY_INVALID
Subject: *.minstroyrf.ru
Issuer: Russian Trusted Sub CA

Поддержка российских TLS сертификатов встроена только в российские интернет-браузеры (Атом и Яндекс браузер). Все остальные браузеры (Chrome, Opera, Microsoft Edge, Firefox и т.д.) будут выдавать ошибку проверки сертификатов при открытии таких сайтов. Это означает, что вам нужно вручную установить корневые сертификаты на ваши устройства.

Перед установкой проверьте отпечаток корневого сертификата удостоверяющего центра с помощью PowerShell:

$cert = New-Object System. Security. Cryptography. X509Certificates. X509Certificate2 «C:Temp
ussian_trusted_root_ca.cer»$cert. Thumbprint

Он должен быть

Инструкции по установки доступны на сайте Госуслуги: https://www.gosuslugi.ru/crt. Здесь же есть полный список сайтов, для которых выпущен сертификат от CA Минцифры.

В случае с Windows корневой и выпекающий сертификат нужно установить в доверенные центры сертификации текущего пользователя. Откройте CER файл, нажмите Install Certificate, и следуйте шагам мастера установки.

Mozilla Firefox по-умолчанию не использует хранилище сертификатов Windows и смотрит на собственное хранилище доверенных сертификатов. Чтобы добавить корневой сертификат Минцифры в Firefox:

Вероятно, TLS сертификаты Национального удостоверяющего центра Минцифры России в скором времени будут внедрены на большинство российских сайтов госорганов.

В конце статьи хочу отменить, что установка таких сертификатов в ОС вносит определенный риск утечки данных и реализации MITM атаки со стороны владельца сертификата (такое было пару лет назад в Казахстане). Возможно в данный момент оптимальное решение не устанавливать сертификаты на компьютеры, а использовать российские браузеры (Яндекс.браузер) для доступа к веб сайтам, использующие российские TLS сертификаты.

Я думаю, что почти каждый пользователь (особенно в последнее время) сталкивался с ошибкой в браузере о том, что сертификат такого-то сайта не является доверенным, и рекомендацией не посещать его.

С одной стороны это хорошо (все-таки и браузер, и вообще популяризация подобных сертификатов — обеспечивает нашу безопасность), но с другой — подобная ошибка иногда всплывает даже на очень известных сайтах (на том же Google). 👋

Суть происходящего, и что это значит?

Однако, сертификаты могут выпускать, как всем известные организации (Symantec, Rapidssl, Comodo и др.), так и вообще кто-угодно. Разумеется, если браузер и ваша система «не знает» того, кто выпустил сертификат (или возникает подозрение в его правильности) — то появляется подобная ошибка.

Т.е. я веду к тому, что под раздачу могут попасть как совсем белые сайты, так и те, которые реально опасно посещать. Поэтому, появление подобной ошибки это повод внимательно взглянуть на адрес сайта.

Ну а в этой статье я хочу указать на несколько способов устранения подобной ошибки, если она стала появляться даже на белых и известных сайтах (например, на Google, Яндекс, ВК и многих других. Их же вы не откажетесь посещать? 😉).

Как устранить ошибку

👉 1) Обратите внимание на адрес сайта

Первое, что сделайте — просто обратите внимание на адрес сайта (возможно, что вы по ошибке набрали не тот URL).

Также иногда такое происходит по вине сервера, на котором расположен сайт (возможно, вообще, сам сертификат просто устарел, ведь его выдают на определенное время). Попробуйте посетить другие сайты, если с ними все «OK» — то вероятнее всего, что проблема не в вашей системе, а у того конкретного сайта.

Пример ошибки «Сертификат безопасности сайта не является доверенным»

👉 2) Проверьте дату и время, установленные в Windows

Второй момент: подобная ошибка может выскакивать, если у вас в системе неверно задано или . Для их корректировки и уточнения достаточно щелкнуть мышкой по «времени» в панели задач Windows (в правом нижнем углу экрана).

См. скрин ниже. 👇

Как настроить дату и время в Windows 10/11: см. пошаговую инструкцию

Настройка даты и времени

После установки правильного времени, перезагрузите компьютер и попробуйте заново открыть браузер и сайты в нем. Ошибка должна исчезнуть.

Также обращаю внимание на то, что, если у вас постоянно сбивается время — вероятно у вас села батарейка на материнской плате. Представляет она из себя небольшую «таблетку», благодаря которой компьютер помнит введенные вами настройки, даже если вы его отключаете от сети (например, те же дата и время как-то высчитываются?).

Батарейка на материнской плате ПК

👉 3) Попробуйте провести обновление корневых сертификатов

Обновление от сент. 2022г.

Зарубежные сертификаты (по всем известным событиям в 2022г.) могут «приказать долго жить» (а для некоторых сайтов их уже отозвали/не продлили)!

В целях подстраховки, конечно, неплохо бы в систему установить рос. сертификаты. О том, как это сделать, расскажет одна из моих заметок (ссылочка ниже). 👇

Как установить сертификаты НУЦ Минцифры России (стало появл. предупреждение на некоторых сайтах)

👉 4) Установка «доверенных» сертификатов в систему

Этот способ хоть и рабочий, но хотелось бы предупредить, что он «может» стать источником проблем в безопасности вашей системы. По крайней мере, прибегать к этому советую только для таких крупных сайтов как Google, Яндекс и т.д.

Для избавления от ошибки, связанной с недостоверностью сертификата, должен подойти спец. пакет GeoTrust Primary Certification Authority.

Кстати, на этой страничке расположено еще несколько сертификатов, их также можно до-установить в систему.

Теперь необходимо скачанный сертификат установить в систему. Как это делается, по шагам расскажу чуть ниже:

👉 5) Обратите внимание на антивирусные утилиты

Поэтому, если у вас установлен антивирус/брандмауэр, проверьте и на время отключите настройку сканирования https трафика (см. пример настроек AVAST на скрине ниже). 👇

Avast — основные настройки (отключение сканирование https трафика)

Либо, как вариант, на время удалите его или полностью отключите!

Управление экранами Avast — отключить на 10 минут

Чтобы открыть проблемный сайт — загрузите браузер MX5 (я о нем рассказывал в заметке о флеш-играх). При попытке перейти на «проблемный» сайт в нем — он вас предупредит, что это не безопасно, но если вы подтвердите свое намерение — н загрузит страничку!

В общем, рекомендую иметь такой инструмент под-рукой. 👌

За дополнения по теме — отдельное мерси!

Рассмотрим процедуру централизованной установки сертификата на компьютеры домена и добавление его в список доверенных корневых сертификатов с помощью групповых политик. После распространения сертификата все клиентские устройства будут доверять сервисам, которые подписаны данным сертификатом. В нашем случае, мы распространим самоподписанный SSL сертификат Exchange (роль Active Directory Certificate Services в доменен не развернута) на компьютеры пользователей в Active Directory.

Если вы используете самоподписанный SSL сертификат для своего сервера Exchange, то на клиентах, при первом запуске Outlook будет появляться сообщение, что сертификат не доверенный и пользоваться им небезопасно.

Чтобы убрать это предупреждение, нужно на компьютере пользователя добавить сертификат Exchange в список доверенных сертификатов системы. Это можно сделать вручную (либо путем интеграции сертификата в корпоративный образ ОС), но гораздо более проще и эффективнее автоматически распространить сертификат с помощью возможностей групповых политик (GPO). При использовании такой схемы распространения сертификатов, все необходимые сертификат будет автоматически устанавливаться на все старые и новые компьютеры домена.

В первую очередь, нам нужно экспортировать самоподписанный сертификат с нашего Exchange сервера. Для этого на сервере откройте консоль mmc.exe и добавьте в нее оснастку Certificates (для локального компьютера).

В мастере экспорта выберите формат DER encoded binary X.509 (. CER) и укажите путь к файлу сертификата.

Также вы можете экспортировать SSL сертификат прямо из браузера. В Internet Explorer откройте HTTPS адрес вашего веб сервера с недоверенным сертификатом (в случае Exchange это обычно адрес вида). Щелкните на значок Certificate Error в адресной строке, нажмите View Certificate, и перейдите на вкладку Details. Нажмите кнопку Copy to File чтобы открыть мастер экспорта сертификата в CER файл.

Также вы можете получить SSL сертификат HTTPS сайта и сохранить его в CER файл с из PowerShell с помощью метода WebRequest:

Итак, вы экспортировали SSL сертификат Exchange в CER файл. Нужно поместить сертификат в сетевой каталог, куда у всех пользователей должен быть доступ на чтение (вы можете ограничить доступ к каталогу с помощью NTFS разрешений, или дополнительно скрыть его с помощью ABE). К примеру, пусть путь к файлу сертификата будет таким: \msk-fs01GroupPolicy$Certificates.

Укажите имя политики (Install-Exchange-Cert) и перейдите в режим ее редактирования.

В левой части окна редактора GPO щелкните ПКМ и выберите пункт меню Import.

Укажите путь к импортируемому файлу сертификата, который мы разместили в сетевом каталоге.

Политика распространения сертификатов создана. Возможно более точно нацелить ( таргетировать) политику на клиентов с помощью Security Filtering (см. ниже) или WMI фильтрации GPO.

Вы можете проверить, что в браузере при открытии вашего HTTPS сайта (в нашем примере это Exchange OWA) больше не появляется предупреждение о недоверенном SSL сертификате. Теперь при настройке Outlook на ваш почтовый сервер Exchange (в Outlook 2016 ручная настройки почтового сервера возможна только через реестр) в программе перестанет появляться окно с предупреждением о недоверенном сертификате.

Одной политикой вы можете распространить сразу несколько клиентских SSL сертификатов. Подробную информацию о сертификатах, которые распространяются вашей политикой можно посмотреть в консоли GPMC на вкладке Settings. Как вы видите, отображаются поля сертификата Issued To, Issued By, Expiration Date и Intended Purposes.

Если на компьютерах нет доступа в интернет, таким образом вы можете распространить на все устройства домена доверенные корневые сертификаты. Но есть более простой и правильный способ обновления корневых и отозванных сертификатов в изолированных доменах.

Итак, вы настроили политику автоматического распространения сертификата на все компьютеры домена (на определенный организационной юнит или группу безопасности домена). Сертификат будет автоматически устанавливаться на все новые компьютеры, не требуя от служб техподдержки никаких ручных действий (в целях безопасности желательно периодически проверять списки доверенных сертификатов на клиентах на поддельные и отозванные).

Если вы пользуетесь сайтом Сбербанка (и рядом др. гос. структур) — то, возможно, заметили, что там стало появляться сообщение с предложением установки сертификатов НУЦ Минцифры России (в целях безопасности и стабильности работы). См. скрин ниже. 👇

По делу ли оно появляется и нужно ли что-то делать?

Сайт Сбербанка предупреждает, что на вашем ПК нет сертификатов от Минцифры и рекомендует их установить