Cách quản lý chứng chỉ số trong các trình duyệt web khác nhau

Các chứng chỉ số Chúng đã trở nên thiết yếu để nhận dạng bạn trên các trang web điện tử, ký tài liệu, xác thực bạn trên mạng nội bộ của công ty hoặc xác thực các kết nối an toàn. Tuy nhiên, nhiều người không biết chúng nằm ở đâu, cách xem chúng hoặc phải làm gì khi trình duyệt của họ không cung cấp chúng. Trong hướng dẫn thực tế này, chúng tôi đã tập hợp mọi thứ bạn cần để quản lý chúng tại một nơi. các trình duyệt và hệ thống khác nhau.

Chúng ta hãy cùng tìm hiểu từng bước cách xác định vị trí, nhập và xác minh chứng chỉ trong Windows và macOS, những thiết lập nào cần chạm vào trong Chrome, Internet Explorer/Edge và Adobe Acrobat Trình đọc và cách triển khai cơ quan cấp chứng chỉ trên thiết bị ChromeOS được quản lýChúng tôi cũng đã đưa ra các yêu cầu thông thường mà một số địa điểm công cộng vẫn yêu cầu, cùng với lưu ý về khả năng tương thích với thiết bị di động để bạn không bị bất ngờ.

Chứng chỉ số là gì và dùng để làm gì?

Un chứng chỉ số Đây là một tệp liên kết danh tính của bạn với một khóa mật mã để bảo mật thông tin liên lạc và chữ ký. Điều này cho phép bạn thực hiện các thủ tục hành chính, xác thực bản thân với các dịch vụ, xác thực các trang web hoặc ký các tài liệu có giá trị pháp lý đầy đủ. Điều này không giống với chữ ký số: chứng chỉ xác minh danh tính, trong khi chữ ký được sử dụng để niêm phong tài liệu theo cách có thể xác minh được.

đó giấy chứng nhận cá nhân, proxy, máy chủ, CA trung gian hoặc CA gốc, và mỗi loại đều đóng một vai trò trong chuỗi tin cậy. Việc hiểu rõ loại CA bạn đã cài đặt và vị trí của nó (máy tính, trình duyệt hoặc thiết bị) mã thông báo/DNIe) là chìa khóa để trình duyệt đề xuất khi cần thiết.

Trong các trình duyệt như Chrome hoặc Firefox, xác thực trang web HTTPS và lựa chọn chứng chỉ máy khách dựa vào kho lưu trữ chứng chỉ. cơ quan chứng nhận (CA). Khi cài đặt CA gốc hoặc CA trung gian mới hoặc nhập chứng chỉ cá nhân, hãy đảm bảo đặt chứng chỉ vào đúng kho lưu trữ để tránh lỗi tin cậy.

Ngoài chứng chỉ người dùng, nhiều ứng dụng và trang yêu cầu máy tính của bạn phải tin cậy một Bê tông CA (ví dụ: từ một tổ chức công hoặc công ty). Sự tin cậy này đạt được bằng cách cài đặt CA vào kho lưu trữ phù hợp và, nếu có thể, cho phép tích hợp với hệ điều hành hoặc kho lưu trữ riêng của chương trình.

Có thể xem chứng chỉ ở đâu và như thế nào trong từng hệ thống?

Trước khi nhập bất cứ thứ gì, bạn nên biết nơi để kiểm tra những gì đã được cài đặtTrên cả Windows và macOS, đều có các công cụ gốc để khám phá chứng chỉ người dùng, máy tính và CA.

Cửa sổ

Trên Windows, mở Người quản lý chứng chỉ Sử dụng Windows + R, nhập "certmgr.msc". Thao tác này sẽ mở ra một bảng điều khiển nơi bạn có thể xem lại chứng chỉ cá nhân, chứng chỉ từ người khác và chứng chỉ gốc hoặc trung gian.

1. Trong bảng điều khiển bên trái đi đến Nhân viên → Chứng chỉ để xem thông tin đăng nhập của người dùng được sử dụng để xác thực hoặc chữ ký.
2. Khám phá Cơ quan chứng nhận gốc đáng tin cậy và nếu có thể, các trung gian để xác minh chuỗi tin cậy đã cài đặt.
3. Nhấp đúp vào chứng chỉ để xem người phát hành, ngày hết hạn và cách sử dụng cho phép.

Nếu bạn cần nhập bản sao chứng chỉ cá nhân của mình vào Chrome trên Windows, hãy nhớ rằng Chrome sử dụng Cửa hàng Windows, do đó việc nhập được thực hiện thông qua chính hệ thống. Bên dưới, bạn sẽ thấy trình hướng dẫn nhập từng bước.

macOS

Trên macOS, chứng chỉ được quản lý bằng Truy cập vào dây móc khóa. Mở nó từ Spotlight (Cmd + Dấu cách) và nhập tên để khởi chạy. Tiện ích này tập trung thông tin đăng nhập của hệ thống và người dùng.

1. Trong thanh bên chọn Đăng nhập o Hệ thống tùy thuộc vào loại chứng chỉ bạn muốn xem xét.
2. Sử dụng bộ lọc hàng đầu «chứng chỉ» để chỉ hiển thị loại phần tử này.
3. Nhấp đúp để xem thông tin chi tiết như tổ chức phát hành và ngày hết hạn. Điều này xác nhận rằng đây là chứng chỉ chính xác.

Nếu bạn cần chứng chỉ mới cho các thủ tục hoặc chữ ký, hãy đảm bảo cài đặt chúng trong móc khóa chính xác (người dùng hoặc hệ thống) tùy thuộc vào người sử dụng và quyền cần thiết.

Nhập và quản lý chứng chỉ trong Google Chrome (Windows)

Để nhập chứng chỉ của bạn vào Chrome trên Windows, bạn cần bản sao hợp lệ của cùng một tệp. Tệp phải là tệp .pfx hoặc .p12 (biểu tượng phong bì mở có chứng chỉ và khóa), chứa chứng chỉ và khóa riêng của chứng chỉ đó. Tệp .cer không có khóa riêng không thể được sử dụng để ký hoặc xác thực với tư cách là người dùng.

Mở Chrome và truy cập Cài đặt → Quyền riêng tư và bảo mật → Bảo mật → Quản lý chứng chỉ. Ở góc trên bên trái, hãy vào "Chứng chỉ của bạn" và nếu nó xuất hiện, hãy chọn Quản lý chứng chỉ được nhập từ Windows để làm việc với hệ thống kho.

Tab Cá nhân Nhấp vào "Nhập" để khởi chạy "Trình hướng dẫn nhập". Trình hướng dẫn này sẽ hướng dẫn bạn các bước cần thiết để chuẩn bị mọi thứ.

1. Bấm vào tiếp theo và sau đó nhấp vào "Duyệt" để tìm tệp .pfx hoặc .p12 của bạn. Trong menu thả xuống của hộp thoại, chọn "Chia sẻ thông tin cá nhân» để .pfx/.p12 xuất hiện.
2. Nếu bản sao của bạn có mật khẩu, hãy nhập mật khẩu. Đồng thời đánh dấu vào ô Đánh dấu khóa này là có thể xuất để có thể sao lưu trong tương lai.
3. Chọn "Tự động chọn kho lưu trữ chứng chỉ" và tiếp tục với “Tiếp theo” cho đến khi “Kết thúc”.

Nếu mọi việc suôn sẻ, bạn sẽ thấy thông báo thành công và chứng chỉ sẽ xuất hiện sẵn sàng trong Tab cá nhânTừ bây giờ, khi một trang web yêu cầu xác thực, Chrome sẽ hiển thị cửa sổ để chọn chứng chỉ phù hợp.

Nếu tập tin của bạn là một .cer không có khóa riêng, nó sẽ được cài đặt trong mục "Người khác" và sẽ không hợp lệ để ký hoặc thực hiện các thủ tục tại các văn phòng như AEAT. Trong trường hợp đó, bạn sẽ không thể gia hạn hoặc xuất khẩu chính xác: bạn sẽ phải yêu cầu chứng chỉ mới cho nhà cung cấp.

Cấu hình Internet Explorer/Edge để chọn chứng chỉ

Một số trang web và dịch vụ vẫn dựa trên tích hợp Windows cổ điển với Internet Explorer/Edge. Nếu bạn không được yêu cầu cung cấp chứng chỉ khi truy cập trang web có xác thực và bạn muốn bộ chọn xuất hiện, điều chỉnh hành vi này trong các tùy chọn bảo mật.

Đi đến Công cụ → Tùy chọn Internet → Bảo mật → Internet và chạm vào "Cấp độ tùy chỉnh". Trong danh mục tương ứng, hãy chọn tùy chọn Vô hiệu hóa trong "Không nhắc chọn chứng chỉ máy khách khi có một hoặc không có chứng chỉ nào tồn tại." Điều này sẽ khiến trình duyệt sẽ yêu cầu xác nhận ngay cả khi chỉ có một chứng chỉ hợp lệ.

Thiết lập này rất hữu ích khi bạn có nhiều chứng chỉ hoặc khi bạn cần kiểm soát danh tính mà bạn trình bày cho trụ sở điện tử hoặc cổng thông tin doanh nghiệp. Nếu bạn có môi trường 64-bit với các phụ thuộc cũ hơn, hãy nhớ rằng nhiều trang web yêu cầu sử dụng Internet Explorer 32-bit cùng với Java 32-bit.

Cấu hình và tin cậy chứng chỉ trong Adobe Acrobat Reader

Để xác thực chữ ký trong tệp PDF, Adobe Acrobat Reader có thể dựa vào Cửa hàng Windows hoặc sử dụng kho chứng chỉ đáng tin cậy của riêng bạn. Tùy từng trường hợp, bạn sẽ quan tâm đến tùy chọn này hay tùy chọn khác để xác nhận chuỗi tin cậy là hợp lệ.

Sử dụng Windows Certificate Store với Adobe

Đầu tiên, cài đặt CA gốc đã cấp chứng chỉ dùng để ký tài liệu. Tải chứng chỉ từ cơ quan có thẩm quyền tương ứng và mở bằng cách nhấp đúp vào chứng chỉ để khởi chạy trình hướng dẫn Windows.

1. Tab "Thông tin chi tiết" kiểm tra các thuộc tính (bên phát hành, dấu vân tay, cách sử dụng) để xác nhận đó là chứng chỉ chính xác.
2. báo chí "Cài đặt chứng chỉ" và sau đó là “Tiếp theo”.
3. Chọn "Xem xét" và chọn cửa hàng "Nhà phát hành đáng tin cậy" Chân răng Cơ quan chứng nhận).
4. Tiến về phía trước với "Kế tiếp" đến màn hình cuối cùng và nhấn “Kết thúc”.
5. Là một CA gốcWindows sẽ yêu cầu bạn xác nhận. Hãy chấp nhận bằng cách chọn "Có".

Sau đó, mở Adobe Reader và đi đến Chỉnh sửa → Tùy chọn. Trong "Bảo mật", hãy nhấp vào "Tùy chọn nâng cao" và chuyển đến tab Tích hợp Windows. Kiểm tra tùy chọn Xác thực chữ ký để Adobe tin tưởng vào hệ thống lưu trữ khi xác thực các tệp PDF đã ký.

Sử dụng cửa hàng riêng của Acrobat Reader

Acrobat Reader có một sở hữu cửa hàng đáng tin cậy và mặc định dựa vào nó. Nếu bạn muốn quản lý nội bộ, hãy nhập CA phát hành trực tiếp vào chương trình để nó nhận dạng chữ ký do chuỗi đó cấp là hợp lệ.

1. Tải xuống chứng chỉ gốc từ cơ quan cấp phép có thẩm quyền.
2. Mở Adobe Acrobat Reader. Trong các phiên bản trước, hãy truy cập Nâng cao → Quản lý danh tính đáng tin cậy; trong các phiên bản hiện đại, hãy đi tới Tài liệu → Quản lý danh tính đáng tin cậy.
3. báo chí "Thêm liên hệ" và sau đó chọn “Duyệt” để chọn chứng chỉ đã tải xuống.
4. Trong cửa sổ, chọn liên hệ mới nhập khẩuCác chứng chỉ có trong tệp sẽ được hiển thị.
5. Chọn Giấy chứng nhận của Cơ quan chứng nhận và nhấp vào "Tin cậy". Đánh dấu vào ô "Chữ ký và là gốc rễ của sự tin tưởng" và chấp nhận.
6. Kết thúc với "Nhập khẩu" và "Chấp nhận". Từ bây giờ, Acrobat sẽ xác thực chữ ký dựa trên CA đó.

Việc bạn chọn cửa hàng Windows hay cửa hàng Acrobat phụ thuộc vào môi trường của bạn: trong các tổ chức đã dựa vào CA cấp hệ thống, tích hợp với Windows Đơn giản hóa việc bảo trì; nếu bạn cần kiểm soát từng mục tin cậy từ Adobe, cửa hàng tích hợp sẽ cung cấp cho bạn quyền tự chủ.

Triển khai chứng chỉ trên ChromeOS bằng Google Console

Trong môi trường được quản lý, bạn có thể phân phối một CA doanh nghiệp để cho phép các thiết bị ChromeOS tin cậy mạng và ứng dụng của bạn. Việc triển khai này được thực hiện từ Bảng điều khiển quản trị của Google, tải lên chứng chỉ tin cậy.

Các khuyến nghị trước đây: thực hiện thao tác này trong giai đoạn đầu triển khai để đảm bảo rằng người dùng truy cập các trang web mà không bị gián đoạn. Hãy nhớ rằng Định dạng LDAP:// không tương thích và bạn có thể thêm tối đa 50 chứng chỉ cho mỗi đơn vị tổ chức.

Để cấu hình AC, hãy đi tới chứng chỉ trong bảng điều khiển. Nếu bạn muốn áp dụng cho tất cả người dùng và trình duyệt đã đăng ký, hãy giữ nguyên cấp tổ chức cao nhất; nếu không, hãy chọn đơn vị tổ chức thứ cấp. Sau đó, nhấp vào “Tạo chứng chỉ”.

1. Chỉ định một tên vào giấy chứng nhận.
2. Bấm vào Tải lên và chọn tệp PEM, CRT hoặc CER. Chỉ được hỗ trợ một chứng chỉ cho mỗi tập tin; sẽ bị từ chối nếu chứa nhiều hơn một chứng chỉ hoặc không có chứng chỉ nào cả. Chứng chỉ được mã hóa DER không được chấp nhận.
3. Trong "Cơ quan chứng nhận", hãy chọn nền tảng sẽ được sử dụng làm CA.
4. Lưu với "Thêm vào".

Để triển khai chứng chỉ cho các thiết bị, hãy sử dụng Mở Wi-Fi cho kháchThiết bị ChromeOS sẽ xác thực với Google và nhận chứng chỉ TLS/SSL. Chứng chỉ này sẽ được áp dụng cho tất cả thiết bị ChromeOS đã đăng ký trên tên miền chính.

Thủ thuật quản trị: Buộc chuyển sang mạng sản xuất bằng cách giới hạn mạng khách (thời gian phiên hoặc truy cập internet) hoặc chuyển hướng đến một trang chỉ ra sự thay đổi Mạng Wi-Fi sau khi chứng chỉ đã được tải xuống.

đến tra rằng AC đã được áp dụng trong một thiết bị ChromeOS được quản lý, hãy làm theo các bước sau từ chính máy tính:

1. Mở chrome: // settings.
2. Bên trái, nhập Quyền riêng tư và bảo mật.
3. Bấm vào An ninh.
4. Di chuyển đến Cấu hình avanzada.
5. lựa chọn Quản lý chứng chỉ.
6. Kiểm tra xem có xuất hiện không Chứng nhận thẩm quyền mà bạn vừa thêm vào.

Các yêu cầu điển hình đối với văn phòng điện tử và các thông lệ tốt

Một số địa điểm vẫn tiếp tục yêu cầu cấu hình rất cụ thể cho nhận dạng và chữ kýMặc dù nhiều nền tảng đang trong quá trình hiện đại hóa, nhưng việc nhận thức được những yêu cầu này khi làm việc với các nền tảng cũ vẫn rất hữu ích.

hệ điều hành đã được chấp nhận trong lịch sử bao gồm Windows XP, Vista, 7, 8 và 8.1, cũng như Ubuntu 8–10 (32-bit). Trong những môi trường đó, việc hỗ trợ trình duyệt, Java và các mô-đun mã hóa đã tạo nên sự khác biệt.

Đối với trình duyệt, các phiên bản của Internet Explorer 7–11, Firefox (3.6 đến 42) và Chrome (11 đến 44). Nếu bạn đang sử dụng máy tính 64-bit và một trang web cũ hơn, bạn có thể được yêu cầu bắt đầu Internet Explorer 32-bit và sử dụng Java 32-bit.

Nhiều cơ quan của Tổng cục Quản lý Nhà nước xác nhận thông qua nền tảng @firma. Đối với kết nối đầu tiên, cần phải cài đặt Chứng chỉ Red.esNếu bạn định sử dụng DNIe, bạn sẽ cần mô-đun mật mã cụ thể và có Java trong các phiên bản được hỗ trợ (ví dụ: 1.6.0.30 đến 1.8.0.45). Đừng quên bật JavaScript trong trình duyệt.

Ngoài ra, có thể cần phải bao gồm một số URL nhất định trong "Các trang web đáng tin cậy» của trình duyệt, chẳng hạn như http://sede.red.gob.es và https://sede.red.gob.es. Và, nếu trụ sở chính yêu cầu, hãy bật ký tập tin trong trình duyệt để có thể gửi đơn đăng ký bằng chữ ký điện tử.

Trình duyệt được hỗ trợ và Ghi chú di động

Để duyệt và xác thực bằng chứng chỉ trên các trang web HTTPS, chúng thường tương thích Microsoft cạnh, Internet Explorer, Mozilla Firefox, Google Chrome, Opera và Safari. Xin lưu ý rằng một số tính năng không có hoặc bị hạn chế trong phiên bản di động của những trình duyệt này.

Nếu bạn cần sử dụng chứng chỉ trên điện thoại, hãy kiểm tra tài liệu hướng dẫn cụ thể cho hệ thống và trình duyệt của bạn. Trong nhiều trường hợp, trải nghiệm tốt nhất cho chữ ký và xác thực Lỗi này vẫn tiếp tục xảy ra trên máy tính để bàn, đặc biệt là khi các mô-đun mật mã, DNIe hoặc các phần phụ thuộc như Java có liên quan đến các trang web cũ.

Xem, xuất khẩu và thực hành lưu ký tốt

Việc xem xét chứng chỉ thường xuyên sẽ giúp bạn tránh được những bất ngờ. hết hạn hoặc do thiếu tin tưởng vào các chuỗi mới. Trên Windows, hãy sử dụng certmgr.msc; trên macOS, hãy sử dụng Keychain Access. Kiểm tra nhà phát hành, cách sử dụng, ngày tháng và dấu vân tay để xác minh rằng nó tương ứng với danh tính của bạn và mục đích dự kiến.

Khi bạn xuất hoặc nhập, hãy cố gắng giữ một bản sao mật khẩu được bảo vệ và đánh dấu khóa là có thể xuất nếu bạn dự định di chuyển giữa các máy tính trong tương lai. Tránh gửi PFX/P12 qua email không được mã hóa và kiểm soát những người có quyền truy cập vào nó. khóa cá nhân, vì đây là yếu tố nhạy cảm nhất của toàn bộ quá trình.

Nếu bạn phát hiện ra rằng bản sao bạn có là một bản sao đơn giản .cer và trình duyệt không cho phép bạn ký hoặc xác thực, đừng lãng phí thời gian: hãy yêu cầu chứng chỉ mới cho nhà cung cấp, tuân theo quy trình xác minh danh tính của nhà cung cấp và lưu giữ bản sao lưu đầy đủ trên phương tiện an toàn ngay từ đầu.

Cài đặt và tin cậy một cơ quan chứng nhận gốc (CA)

Đôi khi, để trình duyệt hoặc Adobe của bạn tin cậy các chữ ký hoặc kết nối nội bộ, bạn sẽ cần phải cài đặt Phát hành Root CAQuy trình điển hình trong Windows là mở tệp CA, kiểm tra các thuộc tính của nó trong "Chi tiết" và sử dụng "Cài đặt chứng chỉ" để đặt nó vào kho lưu trữ "Nhà phát hành đáng tin cậy". Hoàn tất trình hướng dẫn và xác nhận lời nhắc bảo mật.

Sau khi CA được cài đặt, bạn có thể quyết định xem Adobe Reader có tin cậy CA đó hay không. Cửa hàng Windows (bằng cách kích hoạt "Xác thực chữ ký" trong tích hợp Windows) hoặc nếu bạn muốn nhập trực tiếp vào cửa hàng riêng của Acrobat ("Quản lý danh tính đáng tin cậy → Thêm liên hệ → Tin cậy). Bằng cách này, bạn sẽ tránh được cảnh báo chữ ký không hợp lệ trên tài liệu của mình.

Nếu bạn làm việc trong một tổ chức sử dụng ChromeOS, hãy phân phối CA từ Bảng điều khiển Google Tải lên tệp PEM/CRT/CER với một chứng chỉ duy nhất (không phải DER). Hãy nhớ giới hạn 50 chứng chỉ cho mỗi OU và LDAP:// không được hỗ trợ. Triển khai bằng Wi-Fi dành cho khách và xác thực trong "Quản lý chứng chỉ" trên thiết bị.

Với tất cả những điều trên, bạn sẽ có những trường hợp thường gặp nhất được giải quyết tốt: xem chứng chỉ đã cài đặt, nhập vào Chrome (Windows), điều chỉnh lựa chọn trong Internet Explorer/Edge, tích hợp với Adobe và triển khai CA cho các thiết bị được quản lý. Điều quan trọng là đặt từng thành phần vào đúng kho lưu trữ, xem xét chuỗi tin cậy và duy trì các bản sao lưu an toàn để bạn không bị bất ngờ khi cần nhất.