Farklı web tarayıcılarında dijital sertifikalar nasıl yönetilir?

Jardines de Viveros dijital sertifikalar Elektronik sitelerde kimliğinizi belirlemek, belgeleri imzalamak, kurumsal intranetlerde kimliğinizi doğrulamak veya güvenli bağlantıları onaylamak için vazgeçilmez hale geldiler. Ancak birçok kişi bunların nerede olduğunu, nasıl görüntüleneceğini veya tarayıcıları bunları sunmadığında ne yapacağını bilmiyor. Bu pratik kılavuzda, bunları tek bir yerde yönetmek için ihtiyacınız olan her şeyi bir araya getirdik. farklı tarayıcılar ve sistemler.

Sertifikaların nasıl bulunacağını, içe aktarılacağını ve doğrulanacağını adım adım inceleyelim. Windows ve macOSChrome, Internet Explorer/Edge ve diğer tarayıcılarda hangi ayarlara dokunulacağı Adobe Acrobat Okuyucu ve sertifika yetkililerinin cihazlara nasıl dağıtılacağı Yönetilen ChromeOSAyrıca, hazırlıksız yakalanmamanız için bazı kamusal alanların hâlâ zorunlu tuttuğu tipik gereksinimleri ve mobil uyumlulukla ilgili bir notu da ekledik.

Dijital sertifika nedir ve ne işe yarar?

Un dijital sertifika Kimliğinizi, iletişim ve imzaları güvence altına almak için kriptografik bir anahtara bağlayan bir dosyadır. Bu, idari prosedürleri gerçekleştirmenize, hizmetlere kimliğinizi doğrulamanıza ve web sitelerini doğrula veya belgeleri tam yasal geçerlilikle imzalayın. Bu, dijital imza ile aynı şey değildir: sertifika kimliği doğrularken, imza belgeleri doğrulanabilir bir şekilde mühürlemek için kullanılır.

Orada gerçek kişi sertifikaları, proxy, sunucu, ara veya kök CA ve her biri güven zincirinde bir rol oynar. Hangi türü yüklediğinizi ve nerede bulunduğunu (bilgisayar, tarayıcı veya belirteç/DNIe) tarayıcının uygun olduğunda bunu önermesi için önemlidir.

Chrome veya Firefox gibi tarayıcılarda HTTPS site doğrulaması ve istemci sertifika seçimi sertifika depolarına dayanır. sertifika yetkilileri (CA). Yeni bir kök veya ara CA kurarken veya kişisel sertifikanızı içe aktarırken, güven hatalarından kaçınmak için sertifikanızı doğru depoya yerleştirdiğinizden emin olun.

Kullanıcı sertifikalarına ek olarak, birçok uygulama ve sayfa bilgisayarınızın bir ağa güvenmesini gerektirir. Beton CA (örneğin, bir kamu kuruluşundan veya şirketten). Bu güven, CA'nın uygun depoya kurulması ve uygunsa işletim sistemi veya programın kendi deposuyla entegrasyonunun sağlanmasıyla sağlanır.

Her sistemdeki sertifikalar nerede ve nasıl görüntülenebilir?

Herhangi bir şeyi ithal etmeden önce bilmek iyi olur neyin yüklü olduğunu nereden kontrol edebilirimHem Windows hem de macOS'ta kullanıcı, bilgisayar ve CA sertifikalarını keşfetmek için yerel araçlar bulunmaktadır.

Windows

Windows'ta şunu açın: Sertifika yöneticisi Windows + R tuşlarını kullanarak "certmgr.msc" yazın. Bu, kişisel sertifikaları, diğer kişilere ait sertifikaları ve kök veya ara yetkileri inceleyebileceğiniz bir konsol açacaktır.

1. Sol panelde şuraya gidin: Personel → Sertifikalar Kimlik doğrulama veya imzalama için kullanılan kullanıcı kimlik bilgilerini görmek için.
2. Keşfetmek Güvenilir Kök Sertifika Yetkilileri ve varsa, kurulan güven zincirini doğrulamak için ara olanlar.
3. Sertifikayı görüntülemek için çift tıklayın ihraççı, son kullanma tarihi ve kullanımları izin verilmiş.

Kişisel sertifikanızın bir kopyasını Windows'taki Chrome'a ​​aktarmanız gerekiyorsa, Chrome'un Windows Mağazası, böylece içe aktarma işlemi sistem üzerinden gerçekleştirilir. Aşağıda adım adım içe aktarma sihirbazını göreceksiniz.

macOS

macOS'ta sertifikalar şu şekilde yönetilir: Anahtarlıklara ErişimSpotlight'tan açın (cmd + Boşluk) tuşuna basın ve başlatmak için adını yazın. Bu yardımcı program, sistem ve kullanıcı kimlik bilgilerini merkezileştirir.

1. Kenar çubuğundan seçin Oturum aç o Sistem İncelemek istediğiniz sertifika türüne bağlı olarak.
2. Üst filtreyi kullanın «Sertifikalar» yalnızca bu tür öğeleri göstermek için.
3. Ayrıntıları görmek için çift tıklayın ihraç eden kuruluş ve son kullanma tarihiBu, sertifikanın doğru olduğunu teyit eder.

Prosedürler veya imzalar için yeni sertifikalara ihtiyacınız varsa, bunları yüklediğinizden emin olun. doğru anahtarlık (kullanıcı veya sistem) bunları kimin kullanması gerektiğine ve gereken izinlere bağlıdır.

Google Chrome'da (Windows) sertifikaları içe aktarın ve yönetin

Sertifikanızı Windows'taki Chrome'a ​​aktarmak için şunlara ihtiyacınız var: geçerli kopya Aynısı. Sertifikayı ve özel anahtarını içeren bir .pfx veya .p12 dosyası (sertifika ve anahtar içeren açık bir zarf simgesi) olmalıdır. Özel anahtarı olmayan bir .cer dosyası, kullanıcı olarak imzalama veya kimlik doğrulama için kullanılamaz.

Chrome'u açın ve şuraya gidin: Ayarlar → Gizlilik ve güvenlik → Güvenlik → Sertifikaları yönetSol üst köşedeki "Sertifikalarınız"a gidin ve görünürse seçin Windows'dan içe aktarılan sertifikaları yönetin sistem deposuyla çalışmak.

sekmesinde Kişisel "İçe Aktar"a tıklayarak "İçe Aktarma Sihirbazı"nı başlatın. Bu sihirbaz, her şeyi hazır hale getirmek için gereken adımlarda size rehberlik edecektir.

1. Tıklayın aşağıdaki Ardından .pfx veya .p12 dosyanızı bulmak için "Gözat"a tıklayın. İletişim kutusunun açılır menüsünden "Kişisel bilgilerin paylaşımı» .pfx/.p12'nin görünmesi için.
2. Kopyanızda bir şifre varsa, şifreyi girin. Ayrıca kutuyu işaretleyin. Bu anahtarı dışa aktarılabilir olarak işaretle gelecekte yedekleme yapabilmek için.
3. seçmek "Sertifika deposunu otomatik olarak seç" ve “Son”a kadar “İleri” ile devam edin.

Her şey yolunda giderse, başarı mesajını göreceksiniz ve sertifika hazır olarak görünecektir. Kişisel sekmeArtık bir web sitesi kimlik doğrulama istediğinde Chrome, uygun sertifikayı seçme penceresini gösterecek.

Dosyanız bir özel anahtarı olmayan .cer"Diğer kişiler" altında yer alacak ve AEAT gibi ofislerdeki imza veya prosedürler için geçerli olmayacaktır. Bu durumda, yenileme veya dışa aktarma işlemini doğru bir şekilde yapamazsınız: bir talepte bulunmanız gerekecektir. yeni sertifika tedarikçiye.

Sertifika seçimi için Internet Explorer/Edge'i yapılandırın

Bazı siteler ve hizmetler hâlâ Internet Explorer/Edge ile klasik Windows entegrasyonuna dayanmaktadır. Kimlik doğrulaması olan bir web sitesine eriştiğinizde sertifika istenmiyorsa ve seçici görünür, bu davranışı güvenlik seçeneklerinde ayarlayın.

Git Araçlar → İnternet Seçenekleri → Güvenlik → İnternet ve "Özel Seviye"ye dokunun. İlgili kategoride seçeneği belirleyin Desactivar "Bir sertifika mevcut olduğunda veya hiç sertifika bulunmadığında istemci sertifika seçimi için soru sorma." Bu, tarayıcının onay isteyecektir tek bir geçerli sertifika olsa bile.

Bu ayar, birden fazla sertifikanız olduğunda veya bir kişiye hangi kimliği sunacağınızı kontrol etmeniz gerektiğinde çok yararlıdır. elektronik ofis veya kurumsal bir portal. Eski bağımlılıklara sahip 64 bit ortamlarınız varsa, birçok sitenin 32 bit Internet Explorer 32-bit Java ile birlikte.

Adobe Acrobat Reader'da sertifikaları yapılandırma ve güvenme

PDF'lerdeki imzaları doğrulamak için Adobe Acrobat Reader şunlara güvenebilir: Windows Mağazası veya kendi güvenilir sertifika deponuzu kullanın. Duruma bağlı olarak, güven zincirlerinin geçerli olarak tanınması için bir veya iki seçenekle ilgileneceksiniz.

Adobe ile Windows Sertifika Deposunu Kullanma

İlk olarak şunu kurun: Kök CA Belgeleri imzalamak için kullanılan sertifikayı veren kuruluş. Sertifikayı ilgili kurumdan indirin ve Windows sihirbazını başlatmak için çift tıklayarak açın.

1. sekmesinde "Detaylar" Doğru sertifika olduğunu onaylamak için nitelikleri (verici, parmak izi, kullanım) kontrol eder.
2. basın "Sertifikayı yükle" ve sonra "İleri".
3. seçmek "Muayene etmek" ve "Güvenilir Verenler" mağazasını seçin Kök (Sertifika Yetkilileri).
4. İlerlemek için "Sonraki" Son ekrana gelip “Bitir” tuşuna basın.
5. Olmak Kök CAWindows sizden onay isteyecektir. "Evet" diyerek kabul edin.

Ardından Adobe Reader'ı açın ve şuraya gidin: Düzenle → Tercihler"Güvenlik" bölümünde "Gelişmiş Tercihler"e tıklayın ve sekmeye gidin Windows Entegrasyonu. Seçeneği kontrol edin İmzaların doğrulanması Böylece Adobe imzalı PDF'leri doğrularken sistem deposuna güvenir.

Acrobat Reader'ın kendi mağazasını kullanın

Acrobat Reader'da bir kendi güvenilir mağazamız ve varsayılan olarak buna güvenir. Bunu dahili olarak yönetmeyi tercih ederseniz, sertifikayı veren CA'yı doğrudan programa aktarın, böylece o zincir tarafından verilen imzaları geçerli olarak tanıyabilir.

1. indir kök sertifika İlgili ihraç makamından.
2. Adobe Acrobat Reader'ı açın. Önceki sürümlerde şuraya gidin: Gelişmiş → Güvenilir kimlikleri yönetin; modern versiyonlarda şuraya gidin: Belgeler → Güvenilir kimlikleri yönetin.
3. basın "Kişi ekle" ve ardından indirilen sertifikayı seçmek için “Gözat”a tıklayın.
4. Pencerede, şunu seçin: yeni ithal edilen kişiDosyada bulunan sertifikalar görüntülenecektir.
5. seçmek Sertifika Yetkilisi sertifikası ve "Güven"e tıklayın. Kutuyu işaretleyin "İmzalar ve güvenin kökü" ve kabul et.
6. İle bitmek "İthal etmek" ve "Kabul Et." Artık Acrobat, söz konusu CA'ya dayanan imzaları doğrulayacak.

Windows mağazasını mı yoksa Acrobat mağazasını mı seçeceğiniz ortamınıza bağlıdır: Zaten sistem düzeyinde bir CA'ya güvenen kuruluşlarda, Windows ile entegrasyon Bakımı kolaylaştırır; her güveni Adobe'den kontrol etmeniz gerekiyorsa, yerleşik mağaza size özerklik sağlar.

Google Konsolu ile ChromeOS'ta sertifika dağıtımı

Yönetilen ortamlarda, bir Kurumsal CA ChromeOS cihazlarının ağınıza ve uygulamalarınıza güvenmesini sağlamak için. Bu dağıtım, yetkiyi güvenilir bir sertifika olarak yükleyerek Google Yönetici konsolundan yapılır.

Önceki öneriler: Bu işlemi şu şekilde gerçekleştirin: erken aşama Kullanıcıların sitelere kesintisiz erişebilmesini sağlamak için dağıtım. Unutmayın ki LDAP:// biçimleri uyumlu değil ve maksimum ekleyebilirsiniz Kuruluş birimi başına 50 sertifika.

AC'yi yapılandırmak için şuraya gidin: Sertifikalar Konsolda. Bunu tüm kayıtlı kullanıcılara ve tarayıcılara uygulamak istiyorsanız, en üst düzey organizasyonel düzeyi koruyun; aksi takdirde, ikincil organizasyon birimiArdından “Sertifika Oluştur”a tıklayın.

1. ata isim sertifikaya.
2. Tıklayın Yükle ve bir PEM, CRT veya CER dosyası seçin. Yalnızca desteklenir dosya başına bir sertifika; birden fazla sertifika içeriyorsa veya hiç sertifika içermiyorsa reddedilecektir. DER kodlu sertifikalar kabul edilmez.
3. "Sertifika Yetkilisi" altında, hangisini seçeceğinizi seçin PLATAFORMAS CA olarak kullanılacaktır.
4. İle kaydet "Ekle".

Sertifikayı cihazlara dağıtmak için şunu kullanın: Misafir Wi-Fi'sini açınChromeOS cihazları Google ile kimlik doğrulaması yapacak ve TLS/SSL sertifikasını alacaktır. Sertifika, birincil etki alanında kayıtlı tüm ChromeOS cihazlarına uygulanacaktır.

Yönetici hilesi: Misafir ağını (oturum süresi veya internet erişimi) sınırlayarak veya üretim ağına geçişi zorlayarak bir sayfaya yönlendirin. değişikliği göster Sertifika indirildikten sonra Wi-Fi ağına bağlanın.

Daha doğrulamak AC'nin bir yönetilen ChromeOS cihazı, bilgisayardan şu adımları izleyin:

1. açılan chrome: // settings.
2. Solda girin Gizlilik ve güvenlik.
3. Tıklayın güvenlik.
4. Kaydırın Yapılandırma avanzada.
5. seçmek Sertifikaları yönet.
6. Göründüğünü kontrol edin Sertifika Yetkilisi az önce eklediğiniz.

Elektronik ofisler için tipik gereksinimler ve iyi uygulamalar

Bazı mekanlar hala çok özel konfigürasyonlar gerektirmeye devam ediyor kimlik ve imzaBirçok platform modernizasyondan geçiyor olsa da, eski platformlarla çalışırken bu gerekliliklerin farkında olmak faydalıdır.

işletim sistemleri tarihsel olarak kabul edilenler arasında şunlar yer alır: Windows XP, Vista, 7, 8 ve 8.1, Ubuntu 8–10 (32 bit) gibi. Bu ortamlarda tarayıcılar, Java ve kriptografik modüller için destek fark yarattı.

Tarayıcılar açısından, sürümleri Internet Explorer 7–11, Firefox (3.6 ila 42) ve Chrome (11 ila 44). 64 bitlik bir bilgisayar ve eski bir siteyle çalışıyorsanız, başlatmanız istenebilir. 32 bit Internet Explorer ve 32-bit Java kullanın.

Genel Devlet İdaresi'nin birçok ofisi, @firma platformuİlk bağlantı için, kurulumun yapılması gerekmektedir. Red.es sertifikasıDNIe'yi kullanacaksanız, şunlara ihtiyacınız olacak: kriptografik modül Belirli ve desteklenen Java sürümlerine sahip olun (örneğin, 1.6.0.30 ila 1.8.0.45). Etkinleştirmeyi unutmayın JavaScript Tarayıcıda

Ayrıca, ""'ye belirli URL'leri eklemek gerekebilir.Güvenilir siteler» http://sede.red.gob.es ve https://sede.red.gob.es gibi tarayıcıların adreslerini etkinleştirin. Ve eğer merkez bunu gerektiriyorsa, dosya imzalama Başvuruların elektronik imza ile yapılabilmesi için tarayıcıda.

Desteklenen Tarayıcılar ve Mobil Notlar

HTTPS sitelerinde bir sertifika ile gezinmek ve kimlik doğrulaması yapmak için genellikle uyumludurlar Microsoft Kenar, Internet Explorer, Mozilla Firefox, Google Chrome, Opera ve SafariLütfen bazı özelliklerin mevcut olmadığını veya sınırlı olduğunu unutmayın. mobil versiyonlar Bu tarayıcıların.

Sertifikanızı bir telefonda kullanmanız gerekiyorsa, sisteminiz ve tarayıcınız için özel belgeleri kontrol edin. Çoğu durumda, en iyi deneyim imza ve kimlik doğrulama Özellikle kriptografik modüller, DNIe veya Java gibi bağımlılıklar eski sitelerde yer aldığında masaüstlerinde de bu durum yaşanmaya devam ediyor.

Görüntüleme, ihracat ve iyi saklama uygulamaları

Sertifikalarınızı düzenli olarak gözden geçirmeniz sürprizlerle karşılaşmanızı önler. son veya yeni zincirlere güven eksikliğinden kaynaklanıyor olabilir. Windows'ta certmgr.msc; macOS'ta Keychain Access kullanın. Sertifikanın yayıncısını, kullanımını, tarihlerini ve parmak izlerini kontrol ederek uygunluğunu doğrulayın. kimliğiniz ve amaçlanan amaç.

İhracat veya ithalat yaptığınızda bir kopyasını saklamaya çalışın şifre korumalı Gelecekte bilgisayarlar arasında geçiş yapmayı planlıyorsanız, anahtarı dışa aktarılabilir olarak işaretleyin. PFX/P12'yi şifreleme olmadan e-postayla göndermekten kaçının ve bunlara kimin erişebileceğini kontrol edin. Özel anahtar, çünkü tüm sürecin en hassas unsurudur.

Eğer elinizdeki kopyanın basit olduğunu tespit ederseniz .cer ve tarayıcı imzalamanıza veya kimlik doğrulamanıza izin vermiyorsa, zaman kaybetmeyin: bir istekte bulunun yeni sertifika kimlik doğrulama prosedürünü takiben sağlayıcıya iletilir ve baştan itibaren güvenli bir ortamda tam bir yedek kopyası tutulur.

Bir kök sertifika yetkilisi (CA) kurun ve güvenin

Bazen tarayıcınızın veya Adobe'nin dahili imzalara veya bağlantılara güvenebilmesi için, Kök CA VermeWindows'taki tipik prosedür, CA dosyasını açmak, "Ayrıntılar" bölümündeki özniteliklerini kontrol etmek ve kullanmaktır. "Sertifikayı yükle" "Güvenilir Verenler" deposuna yerleştirmek için sihirbazı tamamlayın ve güvenlik istemini onaylayın.

CA kurulduktan sonra Adobe Reader'ın buna güvenip güvenmeyeceğine karar verebilirsiniz. Windows Mağazası (Windows entegrasyonunda "İmzaları doğrulama"yı etkinleştirerek) veya doğrudan Acrobat'ın kendi deposuna aktarmayı tercih ederseniz ("Güvenilir kimlikleri yönetme → Kişi Ekle → Güven). Bu şekilde, belgelerinizde geçersiz imza uyarılarıyla karşılaşmazsınız.

ChromeOS kullanan bir kuruluşta çalışıyorsanız, CA'yı şuradan dağıtın: Google Konsolu Tek bir sertifika (DER değil) içeren bir PEM/CRT/CER dosyası yüklerken, OU başına 50 sertifika sınırını ve LDAP:// desteklenmiyor. Misafir Wi-Fi ile dağıtın ve cihazdaki "Sertifikaları Yönet" bölümünden doğrulayın.

Yukarıdakilerin hepsiyle, en sık karşılaşılan durumlar iyi bir şekilde ele alınmış olacak: yüklü sertifikaları görüntüleme, Chrome'a ​​(Windows) içe aktarma, seçimi ayarlama Internet Explorer/Edge, Adobe ile entegrasyon ve yönetilen cihazlar için CA'ların dağıtımı. Önemli olan, her bir öğeyi doğru depoya yerleştirmek, güven zincirini gözden geçirmek ve en çok ihtiyaç duyduğunuz anda hazırlıksız yakalanmamak için güvenli yedeklemeler sağlamaktır.