Сертификат pfx как установить
Как установить личный сертификат
Подробная инструкция: как установить личный сертификат в программе КриптоПро.
Установить личный сертификат можно двумя способами:
Установка через меню «Просмотреть сертификаты в контейнере»
1. Выберите «Пуск» > «Панель управления» > «КриптоПро CSP», перейдите на вкладку «Сервис» и кликните по кнопке «Просмотреть сертификаты в контейнере».
2. В открывшемся окне нажмите на кнопку «Обзор», чтобы выбрать контейнер для просмотра. После выбора контейнера нажмите на кнопку «Ок».
3. В открывшемся окне нажмите кнопку «Далее».
4. В следующем окне нажмите на кнопку « Установить», после чего утвердительно ответьте на уведомление о замене сертификата (если оно появится). Сертификат установлен.
5. Если кнопка « Установить » отсутствует, то в окне « Сертификат для просмотра » нажмите на кнопку « Свойства ».
Установка через меню «Установить личный сертификат»
3. Далее укажите путь к сертификату и нажмите на кнопку « Открыть »> « Далее » .
4. В следующем окне кликните по кнопке « Далее ».
5. Нажмите кнопку « Обзор » .
6. Укажите контейнер закрытого ключа, соответствующий сертификату, и нажмите кнопку « Ок ».
7. После выбора контейнера нажмите на кнопку « Далее » .
8. В окне « Выбор хранилища сертификатов » кликните по кнопке « Обзор ».
Если установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, то поставьте галку « Установить сертификат в контейнер ».
Дождитесь сообщения об успешной установке. Сертификат установлен.
ИТ База знаний
Полезно
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Протоколы и стандарты
Установка SSL сертификата на IIS – сервере
Простой способ сделать HTTPS
Подключение по HTTPS – признак надежности и безопасной передачи данных. Чтобы реализовать безопасное подключение по HTTPS, нужно иметь SSL сертификат. В статье расскажем, как сгенерировать самоподписанный сертификат (self signed), а также как импортировать файл сертификата в формате .pfx. После, покажем установку и применение сертификатов к сайту в веб – сервере Microsoft IIS (Internet Information Services).
Онлайн курс по Linux
Мы собрали концентрат самых востребованных знаний, которые позволят тебе начать карьеру администратора Linux, расширить текущие знания и сделать уверенный шаг к DevOps
В статье мы используем IIS (Internet Information Services) версии 10.0.14393.0
Создание и установка самоподписанного сертификата
Открываем IIS Manager. Далее, в меню слева (раздел Connections) нажимаем на корень (как правило это хостнейм вашей машины) и в открывшейся в центральной части рабочей области дважды кликаем левой кнопкой на Server Certificates:
IIS так же можно запустить из под Administrative Tools
В правом меню видим меню навигации Actions. Нажимаем на Create Self-Signed Certificate…. Открывается следующее окно:
Указываем имя для нашего сертификата и нажимаем «OK». Далее, выбираем наш сайт в меню слева:
Как только нажали на наш сайт, выбираем в правом поле меню Bindings, далее, редактируем текущее HTTPS подключение (по 443 порту) нажав Edit и выбираем сгенерированный самоподписанный SSL сертификат.
Нажимаем ОК. После, открываем командную строку cmd и перезагружаем IIS сервер командой:
Кстати, для рестарта, можно использовать просто команду iisreset без ключа restart
Аналогично как и с самоподписанным сертификатом (раздел Connections) нажимаем на корень и кликаем на Server Certificates. Далее, справа, нажимаем Import:
Открываем на .pfx файл:
Когда для вас создавали .pfx, на него установили пароль – введите этот пароль в поле ниже и нажмите OK.
Далее, все стандартно – выбираем сайт слева → Bindings → редактируем текущее подключение по 443 порту → выбираем сертификат, который только что сделали в разделе SSL certificate → нажимаем OK.
По окончанию, снова рестартуем IIS:
Как установить личный сертификат?
2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Просмотреть сертификаты в контейнере:
3. В следующем окне нажмите кнопку Обзор, чтобы выбрать контейнер для просмотра (в нашем примере контейнер находится на смарт-карте JaCarta):
4. После выбора контейнера нажмите кнопку Ок, затем Далее.
* Если после нажатия на кнопку Далее Вы видите такое сообщение:
«В контейнере закрытого ключа отсутствует открытый ключ шифрования», следует установить сертификат по рекомендациям, описанным в разделе Вариант 2.
5. В окне Сертификат для просмотра нажмите кнопку Установить:
6. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:
7. Дождитесь сообщения об успешной установке:
8. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.
Вариант 2. Установка через меню «Установить личный сертификат».
Для установки сертификата этим способом Вам понадобится файл сертификата (файл с расширением.cer). Он может находиться, например, на съемном носителе или на жёстком диске компьютера (если Вы делали копию сертификата или Вам присылали его по электронной почте).
В случае, если файл сертификата отсутствует, напишите письмо с описанием проблемы в техническую поддержку по адресу pu@skbkontur.ru.
2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Установить личный сертификат: 
3. В следующем окне нажмите кнопку Обзор, чтобы выбрать файл сертификата:
4. Укажите путь к файлу сертификата и нажмите кнопку Открыть (в нашем примере файл сертификата находится на Рабочем столе):
5. В следующем окне нажмите кнопку Далее; в окне Сертификат для установки нажмите Далее.
6. Поставьте галку в окне Найти контейнер автоматически (в нашем примере контейнер находится на смарт-карте JaCarta) и нажмите Далее: 
7. В следующем окне отметьте пункт Установить сертификат (цепочку сертификатов) в контейнер и нажмите Далее:
8. В окне Завершение мастера установки личного сертификата нажмите Готово:
9. Если КриптоПро CSP запрашивает pin-код от контейнера, введите нужный код или попробуйте стандартные pin-коды носителей:
10. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:
11. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.
Установка SSL сертификата на Microsoft IIS 8.x (файл *.pfx)
Рассмотрим как установить SSL сертификат в IIS 8.
Прежде чем установить сертификат, необходимо убедиться, что у Вас есть файл с расширением *.pfx
Что такое *.pfx и как его получить ознакомьтесь в инструкции.
Если же Вы решили самостоятельно установить купленный SSL сертификат, ниже мы рассмотрим, как произвести установку сертификата на выделенный хостинг (VDS).
Подключаемся к хостингу через RDP соединение. Далее откройте IIS 8, нажимаем на корневой элемент в подключениях, и в открывшейся странице нажмите на «Server Certificates» (раздел сертификатов) (рис.1)
Рисунок 1.
Затем в открывшемся разделе нажмите «Import» (рис.2, цифра 1)
Рисунок 2.
Далее выберите файл с расширением *.pfx (предварительно загрузите его на RDP) (рис.2, цифра 2)
Введите пароль и «Ok» (рис.2, цифра 3,4)
Если всё сделано верно, сертификат отобразится в таблице с сертификатами (рис. 3):
Рисунок 3.
Следующим шагом будет добавление доменного имени по протоколу https в bindings.
Для этого раскройте дерево с сайтами, правой кнопкой мыши нажмите на необходимом сайте (если сайт один, то нажимаем по нему соответственно) и во всплывающем меню выбираете «Edit Bindings» (изменение биндингов) (рис.4).
Рисунок 4.
В открывшемся окне нажимаем на кнопку «Add» (Добавить домен) и далее пропишем настройки для доменного имени (на примере test.ru) (рис. 5)
Рисунок 5.
Затем повторяем процедуру (рис. 5) для доменного имени с www. Будет всё аналогично, только в п.3 прописываете Ваше доменное имя с www (у нас на примере www.test.ru).
После того как всё завершено, для проверки в адресной строке браузера переходите на сайт по https соединению (в нашем примере: https://test.ru, https://www.test.ru).
Если сайт открылся по защищенному соединению, Вы всё сделали верно.
Готово, мы рассмотрели как установить ssl сертификат для домена в IIS 8.
Настройка и использование импортированных сертификатов PKCS в Intune
В Microsoft Intune можно использовать импортированные сертификаты с парой открытых ключей (PKCS), которые обычно используются для шифрования S/MIME с профилями электронной почты. Некоторые профили электронной почты в Intune позволяют включать S/MIME, чтобы определить сертификат для подписи S/MIME и сертификат шифрования S/MIME.
Шифрование S/MIME — это сложная задача, так как электронная почта шифруется с помощью определенного сертификата:
Так как один и тот же сертификат нужно использовать на разных устройствах, для этого нельзя использовать профили сертификатов SCEP или PKCS, так как соответствующие механизмы доставки сертификатов передают уникальный сертификат на каждое устройство.
См. сведения об использовании S/MIME с Intune в статье Использование S/MIME для шифрования электронной почты.
Поддерживаемые платформы
Intune поддерживает импорт сертификатов PFX для следующих платформ:
Требования
Чтобы использовать импортированные сертификаты PKCS с Intune, необходима следующая инфраструктура:
Соединитель сертификатов для Microsoft Intune
Соединитель сертификатов обрабатывает запросы к PFX-файлам, импортированным в Intune для шифрования электронной почты S/MIME для конкретного пользователя. Убедитесь, что каждый устанавливаемый соединитель имеет доступ к закрытому ключу, используемому для шифрования паролей отправленных PFX-файлов.
Дополнительные сведения о соединителе сертификатов см. в следующих статьях.
С 29 июля 2021 г. соединитель сертификатов для Microsoft Intune заменяет использование соединителя сертификатов PFX для Microsoft Intune и соединителя Microsoft Intune. В новом соединителе объединены функциональные возможности обоих предыдущих соединителей. С выпуском соединителя сертификатов для Microsoft версии 6.2109.51.0 предыдущие соединители больше не поддерживаются.
Windows Server:
Соединитель сертификатов устанавливается на сервере Windows Server, соответствующем предварительным требованиям к соединителям.
Visual Studio 2015 или последующие версии (необязательно):
С помощью Visual Studio можно создать вспомогательный модуль PowerShell с командлетами для импорта сертификатов PFX в Microsoft Intune. Командлеты вспомогательного модуля PowerShell доступны в этом репозитории GitHub.
Как это работает
Когда вы используете Intune для развертывания импортированного сертификата PFX для пользователя, кроме самого устройства задействовано еще два компонента:
Служба Intune. В ней хранятся сертификаты PFX в зашифрованном состоянии и выполняется развертывание сертификата на устройстве пользователя. Пароли, защищающие закрытые ключи сертификатов, шифруются перед их передачей с помощью аппаратного модуля безопасности (HSM) или шифрования Windows. Это гарантирует, что Intune не сможет получить доступ к закрытому ключу в любое время.
Соединитель сертификатов для Microsoft Intune. Когда устройство запрашивает сертификат PFX, импортированный в Intune, зашифрованный пароль, сертификат и открытый ключ устройства передаются в соединитель. Соединитель расшифровывает пароль с помощью локального закрытого ключа, а затем повторно шифрует пароль (и все профили plist при использовании iOS) с помощью ключа устройства перед отправкой сертификата обратно в Intune. Затем Intune доставляет сертификат на устройство, после чего устройство расшифровывает его с помощью закрытого ключа устройства и устанавливает сертификат.
Импорт сертификатов PFX в Intune
Для импорта в Intune пользовательских сертификатов PFX используется Microsoft Graph. Вспомогательный модуль, доступный для скачивания в этом репозитории GitHub, предоставляет командлеты, упрощающие эту задачу.
Если вы предпочитаете использовать c Graph собственное пользовательское решение, используйте тип ресурса userPFXCertificate.
Сборка командлетов PFXImport PowerShell Project
Чтобы использовать командлеты PowerShell, вам нужно самостоятельно выполнить сборку проекта с помощью Visual Studio. Этот простой процесс можно запустить на сервере, но мы рекомендуем выполнять его на локальном компьютере.
Перейдите в корневой каталог репозитория Intune-Resource-Access на сайте GitHub, а затем скачайте или клонируйте репозиторий с помощью Git на свой компьютер.
Вверху перейдите из режима Отладка в режим Выпуск.
Перейдите в меню Сборка и выберите Собрать PFXImportPS. Через несколько секунд в левом нижнем углу Visual Studio отобразится сообщение Сборка успешно завершена.
Эта папка Release будет использоваться на следующих шагах.
Создание открытого ключа шифрования
Сертификаты PFX и их закрытые ключи импортируются в Intune. Пароль, защищающий закрытый ключ, шифруется с помощью открытого ключа, хранящегося локально. Для создания и хранения пар открытого и закрытого ключей можно использовать шифрование Windows, аппаратный модуль безопасности или другой тип шифрования. В зависимости от типа используемого шифрования пара открытого и закрытого ключей может быть экспортирована в виде файла для резервного копирования.
Модуль PowerShell предоставляет методы для создания ключа с помощью шифрования Windows. Для создания ключа также можно использовать другие средства.
Создание ключа шифрования с помощью шифрования Windows
Скопируйте созданную в Visual Studio папку Release на сервер, на котором установлен соединитель сертификатов для Microsoft Intune. В этой папке находится модуль PowerShell.
На сервере откройте PowerShell с правами администратора и перейдите в папку Release, содержащую модуль PowerShell.
Используемый поставщик необходимо выбрать еще раз при импорте сертификатов PFX. Вы можете использовать поставщик хранилища ключей Microsoft Software Key Storage Provider или другой поставщик. Ключу можно задать произвольное имя.
Закрытый ключ нужно импортировать на сервер, на котором размещается соединитель сертификатов для Microsoft Intune, для обработки импортированных сертификатов PFX.
Использование аппаратного модуля безопасности (HSM)
Для создания и хранения пары открытого и закрытого ключей можно использовать аппаратный модуль безопасности (HSM). Дополнительные сведения см. в документации поставщика HSM.
Импорт сертификатов PFX
В следующем примере сертификаты PFX импортируются с помощью командлетов PowerShell. Выбор параметров определяется вашими задачами.
Предполагаемое назначение (группирование сертификатов по тегам):
Выберите поставщик хранилища ключей, соответствующий поставщику, используемому для создания ключа.
Импорт сертификата PFX
Экспортируйте сертификаты из любого центра сертификации (ЦС), следуя инструкциям из документации поставщика. Для служб сертификатов Microsoft Active Directory можно использовать этот пример скрипта.
На сервере откройте PowerShell с правами администратора и перейдите к папке Release, содержащей модуль PowerShell IntunePfxImport.psd1.
Для клиентов GCC High и DoD перед запуском модуля IntunePfxImport.psd1 необходимо внести изменения, описанные ниже.
С помощью текстового редактора или интегрированной среды сценариев PowerShell измените файл, чтобы обновить конечные точки службы для среды GCC High. Обратите внимание, что эти обновления изменяют коды URI с суффикса .com на .us. В общем в IntunePfxImport.psd1 есть два обновления: одно для AuthURI, а другое — для GraphURI.
Сохранив изменения, перезапустите PowerShell.
При выполнении аутентификации для входа в Graph необходимо предоставить разрешения для AppID. Если вы впервые используете эту служебную программу, вам понадобятся права глобального администратора. Командлеты PowerShell используют тот же идентификатор AppID, что и в примерах PowerShell для Intune.
VPN не поддерживается в качестве IntendedPurpose.
Сведения о других доступных командах см. файле сведений в этом репозитории на сайте GitHub.
Создание профиля импортированного сертификата PKCS
После импорта сертификатов в Intune создайте профиль импортированного сертификата PKCS и назначьте его группам Azure Active Directory.
После создания профиля сертификата, импортированного PKCS, значения Назначение и Поставщик хранилища ключей в профиле будут доступными только для чтения без возможности изменения. Если для любого из этих параметров требуется другое значение, создайте и разверните новый профиль.
Выберите Устройства > Профили конфигурации > Создать профиль.
Укажите следующие свойства.
Нажмите Создать.
В разделе Основные укажите следующие свойства:
Нажмите кнопку Далее.
В разделе Параметры конфигурации укажите следующие свойства:
Предполагаемое назначение: указывает предполагаемое назначение сертификатов, импортированных для этого профиля. Администраторы могут импортировать сертификаты с разными назначениями (например, для подписывания или шифрования S/MIME). Предполагаемое назначение, выбранное в профиле сертификата, соответствует профилю сертификата с соответствующими импортированными сертификатами. Предполагаемое назначение обозначается тегом для группирования импортированных сертификатов. При этом нет гарантии, что импортированные сертификаты с определенным тегом будут соответствовать предполагаемому назначению.
Поставщик хранилища ключей (KSP) — для Windows выберите место для хранения ключей на устройстве.
Нажмите кнопку Далее.
В разделе Назначения выберите пользователей или группы, которые будут принимать ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.
Нажмите кнопку Далее.
(Применимо только к Windows 10/11.) В разделе Правила применимости укажите правила применимости, чтобы уточнить назначение этого профиля. Вы можете как назначить, так и не назначать профиль на основе выпуска ОС или версии устройства.
Сведения о правилах применимости см. в руководстве по созданию профиля устройства в Microsoft Intune.
Нажмите кнопку Далее.
В окне Проверка и создание проверьте параметры. При выборе «Создать» внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.
Поддержка сторонних партнеров
Следующие партнеры предоставляют поддерживаемые методы или средства, которые можно использовать для импорта сертификатов PFX в Intune.
DigiCert
При использовании службы платформы PKI DigiCert можно использовать средство импорта сертификатов Intune/MIME DigiCert для импорта сертификатов PFX в Intune. Если используется это средство, следовать инструкциям, указанным в разделе Импорт сертификатов PFX в Intune этой статьи, не требуется.
Дополнительные сведения о средстве импорта DigiCert и о том, как получить это средство, см. в статье https://knowledge.digicert.com/tutorials/microsoft-intune.html базы знаний DigiCert.
KeyTalk
Если вы используете службу KeyTalk, то можете настроить ее для импорта сертификатов PFX в Intune. По завершении интеграции вам не нужно будет выполнять инструкции из раздела Импорт сертификатов PFX в Intune этой статьи.