При установке на клиентскую машину Java 1.6 система выдала ошибку:

Error 1330.A file that is required cannot be installed because the cabinet file C:\Documents and settings\…\Application Data\Sun\Java\…\Data1.Cab has an invalid digital signature . This may indicate that the cabinet file is corrupt.

Скачал другой дистрибутив . Установка с той же ошибкой. Что за чудо? Открыл свойства Data1. Cab посмотрел подпись: написано – не могу проверить сертификат. Перенес файл на свой компьютер – проверка прошла. Уже легче. Сравнил списки корневых сертификатов на своей машине и на проблемной. На моей машине корневых сертификатов намного больше. С чего бы это?

Когда-то я разбирался с обновлениями корневых сертификатов, что свелось к настройке WSUSи установке обновления KB931125, которое периодически прилетает в новой версии. Сейчас посмотрел внимательнее на это обновление и обнаружил, что счетчик установленных меньше, чем всего компьютеров в сети – обновление ставится не на все компьютеры… Прочитал описание обновления KB931125: оно предназначено только для XP! А за последнее время появились компьютеры на Windows 7, и число их растет. Значит с новыми версиями надо разбираться отдельно.

Тут же была обнаружена статья Technet, которая описывает механизм обновления корневых сертификатов на Vista и Windows 7 Certificate Support and Resulting Internet Communication in Windows Vista .

Существует два способа доставки корневых сертификатов на компьютеры в ActiveDirectory :

1. Задание политики GPO User Configuration – Windows Settings – Security Settings – Public Key Policies

Первый способ позволяет администраторам ActiveDirectory целиком контролировать, каким корневым сертификатам можно доверять. Насколько это нужно? Если ваша компания достаточно крупная и проводит жесткую политику контроля доступа, то скорее всего потребуется жесткий контроль корневых сертификатов. Если компания небольшая и/или не использует сертификаты для управления доступом, цифровых подписей кода и т.п., то этот способ вызовет только лишние траты времени администраторов и раздражение пользователей.

Второй способ гарантирует автоматическую загрузку только проверенных Microsoftкорневых сертификатов с сайта http://www.download.windowsupdate.com Это лучшее решение в смысле простоты, минимума затрат и надежности для небольших компаний и компаний не использующих на полную катушку PKI в своем бизнесе. Этот способ фактически аналог установки обновления KB931125 на системы XP сертификата, которые необходим для проверки в данный момент.

Чтобы второй способ заработал, достаточно открыть всем клиентам Vista/ Windows 7 доступ на сайт http://www.download.windowsupdate.com и запретить политику Turn off Automatic Root Certificates Update.

Все настройки описаны в выше упомянутой статье.

Остается добавить, что после выполнения этих настроек и политик, Lavaчудесным образом установилась J

В операционных системах семейства Windows, начиная с Windows 7, присутствует система автоматического обновления корневых сертификатов с сайта Microsoft. MSFT в рамках программы Microsoft Trusted Root Certificate Program , ведет и публикует в своем онлайн хранилище список сертификатов для клиентов и устройств Windows. В том, случае если проверяемый сертификат в своей цепочке сертфикации относится к корневому CA, который участвует в этой программе, система автоматически скачает с узла Windows Update и добавит такой корневой сертификат в доверенные.

В том случае, если у Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневой сертификат, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия), либо с установкой / запуском подписанных приложений или скриптов .

В этой статье попробуем разобраться, как можно вручную обновить список корневых сертификатов в TrustedRootCA в изолированных системах, или системах без прямого подключения к интернету.

• Утилита rootsupd.exe
• Получения списка корневых сертификатов с узла Windows Update с помощью Сertutil
• Список корневых сертификатов в формате STL

Примечание . В том случае, если пользователи получают доступ в интернет через прокси сервер, для того, что работало автоматическое обновление корневых сертификатов на компьютера пользователей, Microsoft рекомендует открыть прямой доступ (bypass) к узлам Microsoft. Но это не всегда возможно/применимо.

Утилита rootsupd.exe

В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe , список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates). Посмотрим, можно ли использовать ли ее сейчас.

Но , как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до окончания официальной поддержки Windows XP ). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов.

Получения списка корневых сертификатов с узла Windows Update с помощью Сertutil

Последняя версия утилиты для управления и работы с сертификатам Сertutil (представленная в Windows 10), позволяет скачать и сохранить в SST файл актуальный список корневых сертификатов.

Для генерации SST файла, на компьютере Windows 10 с прямым доступом в Интернет, выполните с правами администратора команду:

certutil.exe -generateSSTFromWU roots.sst

В результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий сертификаты.

Как вы видите, откроется знакомая оснастка управления сертификатами, из которой вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 358 элементов. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.

Совет . Для генерации индивидуальных файлов сертификатов можно использовать команду certutil -syncWithWU. Полученные таким образом сертификаты можно распространить на клиентов с помощью GPO .

Для установки всех сертификатов, содержащихся в файле, воспользуемся утилитой updroots. exe (она содержится в архиве rootsupd.exe, который мы распаковали в предыдущем разделе).

Установка сертификатов из STT фалйла выполняется командой:

updroots.exe roots.sst

Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority.

Список корневых сертификатов в формате STL

Есть еще один способ получения списка сертификатов с сайта Microsoft. Для этого нужно скачать файл http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (обновляется дважды в месяц).С помощью любого архиватора (или проводника Windows) распакуйте содержимое архива authrootstl.cab . Он содержит один файл .

Файл authroot.stl представляет собой контейнер со списком доверенных сертификатов в формате Certification Trust List.

Данный файл можно установить в системе с помощью контекстного меню файла STL ().

Или с помощью утилиты certutil:

certutil -addstore -f root authroot.stl

После выполнения команды, в консоли управления сертификатами (certmgr.msc) в контейнере Trusted Root Certification Authorities появится новый раздел с именем Certificate Trust List .

Аналогичным образом можно скачать и установить список с отозванными сертификатами, которые были исключены из программы Root Certificate Program. для этого, скачайте файл disallowedcertstl.cab (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab ), распакуйте его и добавьте в раздел Untrusted Certificates командой:

certutil -addstore -f disallowed disallowedcert.stl

В это статье мы рассмотрели несколько простейших способов обновления списка корневых сертификатов на изолированной от Интернета системе Windows. В том случае, если возникла задача регулярного обновления корневых сертификатов в отделенном от внешней сети домене, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. Об этом подробнее в одной из ближайших статей.

В операционных системах семейства Windows, начиная с Windows 7, присутствует система автоматического обновления корневых сертификатов с сайта Microsoft. MSFT в рамках программы Microsoft Trusted Root Certificate Program , ведет и публикует в своем онлайн хранилище список сертификатов для клиентов и устройств Windows. В том, случае если проверяемый сертификат в своей цепочке сертфикации относится к корневому CA, который участвует в этой программе, система автоматически скачает с узла Windows Update и добавит такой корневой сертификат в доверенные.

В том случае, если у Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневой сертификат, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия, см. статью об ошибке в Chrome « «), либо с установкой / запуском подписанных приложений или .

В этой статье попробуем разобраться, как можно вручную обновить список корневых сертификатов в TrustedRootCA в изолированных системах, или системах без прямого подключения к интернету.

Примечание . В том случае, если пользователи получают доступ в интернет через прокси сервер, для того, что работало автоматическое обновление корневых сертификатов на компьютера пользователей, Microsoft рекомендует открыть прямой доступ (bypass) к узлам Microsoft. Но это не всегда возможно/применимо.

Утилита rootsupd.exe

В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe , список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates). Посмотрим, можно ли использовать ли ее сейчас.

Но , как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до ). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов.

Получения списка корневых сертификатов с узла Windows Update с помощью Certutil

Последняя версия утилиты для управления и работы с сертификатам Certutil (представленная в Windows 10), позволяет скачать и сохранить в SST файл актуальный список корневых сертификатов.

Для генерации SST файла, на компьютере Windows 10 с прямым доступом в Интернет, выполните с правами администратора команду:

certutil.exe -generateSSTFromWU roots.sst

В результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий сертификаты.

Как вы видите, откроется знакомая оснастка управления сертификатами, из которой вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 358 элементов. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.

Совет . Для генерации индивидуальных файлов сертификатов можно использовать команду certutil -syncWithWU. Полученные таким образом .

Для установки всех сертификатов, содержащихся в файле, воспользуемся утилитой updroots. exe (она содержится в архиве rootsupd.exe, который мы распаковали в предыдущем разделе).

Установка сертификатов из STT фалйла выполняется командой:

updroots.exe roots.sst

Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority.

Список корневых сертификатов в формате STL

Есть еще один способ получения списка сертификатов с сайта Microsoft. Для этого нужно скачать файл http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (обновляется дважды в месяц).С помощью любого архиватора (или проводника Windows) распакуйте содержимое архива authrootstl.cab . Он содержит один файл .

Файл authroot.stl представляет собой контейнер со списком доверенных сертификатов в формате Certification Trust List.

Данный файл можно установить в системе с помощью контекстного меню файла STL ().

Или с помощью утилиты certutil:

certutil -addstore -f root authroot.stl

После выполнения команды, в консоли управления сертификатами (certmgr.msc) в контейнере Trusted Root Certification Authorities появится новый раздел с именем Certificate Trust List .

Аналогичным образом можно скачать и установить список с отозванными сертификатами, которые были исключены из программы Root Certificate Program. для этого, скачайте файл disallowedcertstl.cab (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), распакуйте его и добавьте в раздел Untrusted Certificates командой:

certutil -addstore -f disallowed disallowedcert.stl

В это статье мы рассмотрели несколько простейших способов обновления списка корневых сертификатов на изолированной от Интернета системе Windows. В том случае, если возникла задача регулярного обновления корневых сертификатов в отделенном от внешней сети домене, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. Об этом подробнее в одной из ближайших статей.

Шаг 1. Удаление старых сертификатов из контейнера cacer.p7b

В проводнике наберите в адресной строке адрес: «mmc.exe» (без кавычек) и нажмите Enter.

Откроется окно консоли управления Microsoft.

В основном меню консоли, выберите «Файл» — «Добавить или удалить оснастку». Будет открыто окно «Добавление и удаление оснасток».

В левом списке выберите пункт «Сертификаты» и нажмите на кнопку «Добавить». Будет открыто окно «Оснастка диспетчера сертификатов».

Нажмите на кнопку «Готово». Окно «Оснастка диспетчера сертификатов» будет закрыто, Вы вернетесь в окно консоли управления Microsoft.

В левом списке раскройте дерево «Сертификаты — текущий пользователь». Раскройте пункт «Доверенные корневые центры сертификации». Выберите пункт «Сертификаты». В центральной части будут отображены сертификаты выбранного раздела.

В списке сертификатов (центральная часть) найдите сертификаты, выданные УЦ КРИПТО-ПРО (6 сертификатов). Выделите найденные сертификаты и нажмите правую кнопку мыши. В контекстном меню выберите пункт «Удалить».

Будет открыто окно предупреждения. Сертификаты КРИПТО-ПРО не являются ключевыми и могут быть удалены без последствий. Нажмите «Да».

Перед удалением каждого из сертификатов контейнера будет выводиться окно подтверждения на удаление. Во всех окнах следует нажать кнопку «Да»

Шаг 2. Удаление старого сертификата безопасности для веб-узла сroInform.ru

В левом списке раскройте дерево «Сертификаты — текущий пользователь». Раскройте пункт «Другие пользователи». Выберите пункт «Сертификаты».

При входе в систему Контур.Экстерн будет предложено обновить квалифицированный сертификат (КЭП), если до окончания срока его действия осталось менее 60 дней. Также обновить КЭП будет предложено, если ранее пользователь обращался в сервисный центр по вопросу незапланированной замены сертификата.

Описанная ниже инструкция не подходит абонентам 78 и 47 регионов, сертификаты которых выданы Удостоверяющим центром ФГУП ЦентрИнформ.

Для обновления следует:

1. При входе в Контур.Экстерн нажать кнопку «Отправить заявку на обновление» рядом с сертификатом, который необходимо обновить.

Если сертфикат не истек, то появится кнопка «Запросить сертификат », нужно ее нажать.

2. В открывшемся окне указать номер телефона, на который будет удобно получить пароль для входа, и нажать кнопку « Получить пароль». Ввести поступивший пароль и нажать кнопку «Войти».

Если сообщение с паролем не поступило, следует нажать на ссылку «Получить код повторно». Если после повторного запроса сообщение также не поступит, то следует обратиться в техническую поддержку.

При входе в личный кабинет может потребоваться установка последней версии компонента Kontur.Toolbox. Следует нажать кнопку «Скачать приложение», скачать и установить компоненту. После этого обновить страницу.

3. Прочитайте инструкцию. Если нужно, скачайте памятку «Как подготовить документы». Нажмите кнопку «Приступить».

Шаг 1: Проверьте данные

Проверьте данные, если все данные в заявке указаны верно, то следует нажать кнопку «Подписать заявление старым сертификатом».

Появится окно «Заявление подписано». Заявление, подписанное действующим обновляемым сертификатом, не нужно распечатывать, подписывать вручную и предоставлять в сервисный центр.

Если срок действия старого сертификата уже истек, то следует воспользоваться ссылкой «Распечатайте заявление и подпишите вручную» и нажать кнопку «Скачать и распечатать заявление».

Если у нового сертификата будет другой владелец (ФИО и/или СНИЛС в старом и новом сертификатах будут отличаться), для изменения данных, необходимо выбрать ссылку «Редактировать» около поля «Владелец сертификата». После сохранения данных, появится кнопка «Скачать и распечатать заявление». Для отправки заявки на проверку, следует воспользоваться .

Если владелец останется прежним, но необходимо изменить его паспортные данные, электронную почту, должность или подразделение, необходимо отредактировать эти данные и подписать заявление старым сертификатом.

Если реквизиты организации указаны неверно, то следует обратиться в по месту подключения.

Шаг 2: Проверьте документы

Шаг 3: Отправьте заявку

После проверки заявки можете приступать к выпуску сертификата.
Если вместо окна для выпуска сертификата появится сообщение «Оплатите счет», то следует обратиться в сервисный центр по месту подключения.

Выпуск сертификата

В открывшемся окне следует выбрать, куда будет записан сертификат - на съемный носитель (рутокен, дискета, флешка) или в реестр компьютера. После выбора носителя, необходимо нажать «Далее».

Если выбрать «Реестр», то сразу поле этого появится датчик случайных чисел.

Если выбрать «Съемный носитель», то в следующем окне потребуется отметить, на какой именно носитель будет записан закрытый ключ сертификата. Поле выбора носителя появится датчик случайных чисел.

В окне датчика случайных чисел следует нажимать клавиши или двигать курсором мыши в области окна датчика.

В окне установки pin-кода на создаваемый контейнер следует ввести стандартное значение 12345678 и нажать «ОК». Если стандартный пин-код на рутокене был изменен, то в данном окне следует вводить пин-код, установленный самостоятельно.

Если сертификат был запрошен на дискету, флешку или в реестр, то появится окно ввода пароля. Рекомендуется оставить его пустым и нажать «ОК». При утере пароля восстановить его будет невозможно!

Начнется процесс выдачи сертификата удостоверяющим центром, который занимает до 60 минут.


После запроса на выпуск сертификата в течение двух минут на номер телефона, указанный в заявлении на изготовление сертификата, вновь поступит сообщение с паролем. В открывшемся окне личного кабинета следует ввести полученный пароль и нажать на кнопку «Подтвердить».

Как только открытый ключ сертификата будет выдан, появится кнопка «Установить сертификат». Следует нажать на нее.

Сертификат установлен и готов к использованию. Рекомендуем сделать копию сертификата на случай утери или повреждения ключевого носитля. Чтобы скопировать контейнер, нажмите на кнопку «Сделать резервную копию».

Укажите, куда записать копию сертификата — на съемный носитель (рутокен, дискета, флешка) или в реестр компьютера.

Укажите пин-код, если копируете сертификата с рутокена или рутокен-лайта. Если копируете сертификат на дискету, флешку или в реестр, то появится окно ввода пароля. Рекомендуем оставить поля для паролей пустыми и нажать «ОК». Восстановить утерянный пароль невозможно!

Сертификат скопирован.

Обязательно необходимо сохранять все устаревшие сертификаты, с которыми когда-либо производилась работа в системе. Они потребуются для расшифровки старых документов. Для удобства рекомендуется копировать такие сертификаты в реестр (см. ).

После получения нового сертификата в системе Контур.Экстерн необходимо:

1. Зайти в раздел меню «Реквизиты и настройки» > «Реквизиты плательщика» и выбрать новый сертификат для подписи отчетов ФНС и Росстат.
2. Войти в раздел «ПФР» > «Регистрационная информация ПФР», выбрать новый сертификат для подписания отчетности и отправить регистрационную информацию в ПРФ.
3. Обратиться в УПФР и уточнить, нужно ли перезаключать соглашение об электронном документообороте с ПФР или можно отчитываться со старым.