Diese Seite enthält Links zu allen wichtigsten Wurzelzertifikaten der Russischen Föderation, die Anweisungen für ihre Installation werden angegeben.

Was sind russische Wurzelzertifikate?

TLS ist ein Protokoll zum Schutz vor dem Lesen und Ändern von Daten, wenn sie eine Verbindung zu den Websites auf dem HTTPS -Protokoll herstellen. (Mit HTTPS wird Port 443 im Gegensatz zu HTTP 80 verwendet). Zum Schutz wird die Verbindung vom Server vom Site -Zertifikat signiert und verschlüsselt. Auf der Seite des Kunden wird das Zertifikat überprüft und die Verbindung entschlüsselt. Wenn das Zertifikat nicht anvertraut ist, wird der Browser eine Nachricht für die Sicherheit der Verbindung aufgebaut und wenn der vertrauenswürdige in der Adressleiste zeigt, dass die Verbindung geschützt ist. In der theoretischem Zertifikate russischer Standorte sollten mit russischen Zertifikaten verschlüsselt werden. So wird technologische Souveränität umgesetzt - russische Standorte sollten nicht von ausländischen Zertifizierungszentren abhängen, die TLS -Zertifikate ausstellen.

Um ein PKI -System unabhängig von der westlichen Welt zu erstellen, wurden zwei Wurzelzertifikate für Websites erstellt:
* Russischan TrUsted Root Ca *
Russischan TrUsted sub ca **

Sie können von der Seite heruntergeladen werdenhttps: // gosuslugi.ru/crT.

Wie installiere ich russische Zertifikate unter Linux?

1. Für Versorgungsunternehmen WGet, Curl и aPT, sie müssen sie _V -Betriebssystem installieren.
2. Um das Web anzuzeigen, müssen Sie sie V browsers Mozill installierena FireFox и Chrome / Chromium

Wo ist die CA -Konfigurationsdatei bei der Installation von Zertifikaten im Betriebssystem?

Zertifikatkonfigurationsdateien für das Betriebssystem (für Dienstprogramme Curl und WGet):

/usr/lib/ssl/openssl.cnf
/etc/ca-certificates.conf

Wie installiere ich Stammzertifikate (CA) im Betriebssystem?

So installieren Sie Zertifikate im von Ihnen benötigten Linux -Betriebssystem:
0) Root -Zertifikate CA mit CRT -Erweiterung herunterladen.
1) Stammzertifikate kopieren *. Crt in einer Tochtergesellschaft
/usr/share/ca-certificates, например, /usr/share/ca-certificates/russian_trusted и добавить строки в файл конфигурации /etc/ca-certificates.conf.
2) Führen Sie den Befehl aussudo dpkg-reconfigure ca-certificates und bestätigen Sie die Hinzufügung neuer Zertifikate.
3) Überprüfen.

0) SKaming Certificate von der Seite der öffentlichen Dienste https: // gosuslugi.ru/crT[/mark] - Dateien in der "alternativen Methode - Installation des Stammzertifikats" - Zertifikate für Linux.

Klicken Sie hier, um zu erhöhen:

1) Kopieren von Zertifikaten

sudo mkdir /usr/share/ca-certificates/russian_trUsted
sudo cp ~/Загрузки/russian_trusted*.crt /usr/share/ca-certificates/russian_trUsted
cd /usr/share/ca-certificates/russian_trUsted
ls -l

2 Dateien sollten lügen. Wenn 4, lösche ich zusätzliche Kopien:
sudo rm "russian_trusted_root_ca_pem(1).crT "
sudo rm "russian_trusted_sub_ca_pem(1).crT "

2) Installation von Stammzertifikaten unter Linux:

2.1) Bearbeiten Sie die Datei /etc/ca-certificaTes.conf - Fügen Sie unsere 2 Zertifikate hinzu

Der Weg zu Zertifikaten ist relativ. Wir haben zuvor einen Ordner erstellt /usr/share/ca-certificates/russian_trusted so ist der Pfad in der Konfigurationsdatei russiantrusted/Name von Siedlung

sudo nano /etc/ca-certificaTes.conf

Fügen Sie die Zeilen hinzu:

russian_trusted/russian_trusted_root_ca_pem.crt
russian_trusted/russian_trusted_sub_ca_pem.crt

Speichern und gehen Sie aus: CTrl+O и Ctrl+x.

2.2) durchführen

sudo dpkg-reconfigure ca-certificaTes

OK gedrückt.

"Vertrauen Sie den neuen Zertifizierungszentren?"

Ja

"Dieses Paket setzt Zertifikate von Zertifizierungszentren (CA) ..."
OK gedrückt.

Im Fenster mit einer Liste von Zertifikaten hat es es bis zum Ende verschüttet und unsere 2 Zertifikate gefunden - sie werden von Sternen zugewiesen.
Ca. gepresst.
Das Programm hat die Hinzufügung russischer Zertifikate zum System abgeschlossen.

3) Überprüfen Sie:
Überprüfen Sie die Öffnung der Rosenesters -Website auf dem HTTPS -Protokoll aus der Befehlszeile.

CD ~
wget https://rosreestr.ru

So installieren Sie Stammzertifikate (CA) в веб браузеры

1) Installieren Sie das CA -Zertifikat in Mozilla Firefox

Firefox → перейдите в «Настройки» → в поиске введите «Сертификат» → выберите «Просмотр сертификатов…»

Ich habe auf die Taste "Import ..." gedrückt.
Ich habe die Datei aus "Download" -Datei ausgewähltrussian_trusted_root_ca_pem.crT und drückte die geöffnete Taste im Leiter.

Vertrauen Sie bei der Identifizierung von Websites.

Wiederholte Importe für die zweite Datei russian_trusted_sub_ca_pem.crt (auch die geöffnete Taste gedrückt)
* Import ... *
Offen **

schloss das Formular "ok.

1) Installieren Sie das CA -Zertifikat in CHromium

In Chromium установка производится таким же образом: Настройки - поиск ключевого слова "Сертификат"

Scrollen Sie im Abschnitt Sicherheitsabschnitt nach unten zum Abschnitt "Zertifikate konfigurieren"

Im Fenster habe ich das Lesezeichen "Zertifizierungszentren" gewählt.

Gedrückt Import
Im Fenster habe ich einen Scheck dagegen gestellt
"Vertrauen Sie diesem Zertifikat bei der Identifizierung von Websites.

Wenn das Zertifikat nicht früher installiert wurde, wird es dem Browser hinzugefügt.

Überprüfen Sie - Gehen Sie zur Website https: //rosreestr.ru или https: //rosreestr.gov.ru/.

Nützliche Informationen

Wo sonst können Zertifikate unter Linux rooten

Firefox beim Installieren fügt den Ordner seine Zertifikate hinzu:
/usr/share/ca-certificates/mozilla

Bei der Installation des Firefox-Pakets wird die Datei /etc/ca-certificates.conf geändert.
In welchem ​​# = Symbol für das Kommentieren, ! - Deaktiviert die Leitung.

Wie kann man den Inhalt des Zertifikats unter Linux betrachten?

1) Grafische Schnittstelle des Benutzergcr-viewer.

gcr-viewer /usr/local/share/ca-certificates/russian_trusted/russian_trusted_sub_ca_pem.crT

3) Befehlszeile: (im Ordner, in dem beispielsweise ein Zertifikat vorhanden ist,

• Verwenden des OpenSSL X509 -Befehls:

Lesen Sie ein Zertifikat aus der CE -Dateirtificate.pem Verwenden Sie den Befehl OpenSSL x509 mit dem CN -Feldfilter - Zertifikatenname:

sudo openssl x509 -in certificate.pem -noout -subject | grEP -IB "cn =" 

Quelle

Lesen eines Zertifikats Verwenden des Dienstprogramms Keytool

keytool -printcert -file certificate.pem

In Green Linux zeigt das Team beispielsweise Informationen zum Zertifikat an der Konsole:

keytool -printcert -file /usr/local/share/ca-certificates/russian_trusted/russian_trusted_root_ca_pem.crt | Weniger

Lesen Sie im Zyklus aller Zertifikate aus der Zertifikat -Set -Datei ca-certificates.crt

while openssl x509 -noout -text; do :; done < /etc/ssl/certs/ca-certificates.crt

Lesen Namen CN (von Common Name) im Zyklus:

while openssl x509 -noout -text; do :; done < /etc/ssl/certs/ca-certificates.crt | grep "CN =" 

Zum Beispiel:
Subject: C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA

Lesen Sie die Namen der Empfängerzertifikate (OU) -Zertifikate aus der Datei mit mehreren Zertifikaten mit dem Namen GlobalSign

while openssl x509 -noout -text; do :; done < /etc/ssl/certs/ca-certificates.crt | grep "CN =" | grep -iF globalsign

Referenz:

man openssl-x509

Erstellen einer Sicherungskopie des Satzes von Root -Ca -Aufgaben (tun Sie dies nicht erforderlich, da die Datei jedes Mal bei der Ausführung von DP erstellt wirdkg-reconfigure ca-certificaTes):

sudo cp /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/ca-certificates.crt.bak

So löschen Sie ein Stammzertifikat von Linux

Sie müssen die Datei beheben /etc/ca-certificates.conf

sudo cp /etc/ca-certificates.conf /etc/ca-certificates.conf.bak
sudo nano /etc/ca-certificaTes.conf

Wenn wir beispielsweise alle Zertifikate deaktivieren möchten, stellen Sie die Ausrufezeichen (!) Zu Beginn aller Zeilen ein.

Zum Massenausschluss von Stammzertifikaten können Sie das SED-Befehlszeilenprogramm verwenden:

sudo sed -i 's/^mozilla/!mozilla/g' /etc/ca-certificates.conf

So aktivieren Sie mehrere Mozilla-Stammzertifikate gleichzeitig:

sudo sed -i 's/^!mozilla/mozilla/g' /etc/ca-certificates.conf

Dann führen Sie aus:

sudo dpkg-reconfigure ca-certificates

So löschen Sie ein Stammzertifikat unter Linux aus dem Mozill -Browsera FireFox или Chromium

Einstellungen - Suchen Sie nach dem Wort "Zertifikat" - Dann "Root Certificate" - Auswahl und Löschen.

Wie installieren Sie die Linux -Betriebssystemzertifikate mit den Standardeinstellungen neu?

sudo apt install --reinstall ca-certificaTes

Dieses Team wird aus dem Ordner entfernt/etc/ssl/certs/ Fremdzertifikate und werden symbolische Links und die Datenbank von Zertifikaten "standardmäßig" wiederhergestellt.

Wie in Mozilla Firefox ein neues Profil für Experimente erstellen?

filefox -P

In jedem Profil fireFox можно настроить свой набор сертификатов сайтов. Например, при отсутствии российского сертификата в профиле, названном "temP ", es wird einen Fehler geben

Und in einer anderen Kopie von Firefox mit einem anderen Profil, in dem die Zertifikate installiert sind, gibt es keinen Fehler.

Offizielles TLS -Zertifikatsportal für russische Standorte

Alle Informationen zur Installation und Einstellung:
https: //www.gosuslugi.ru/crT [/mark]

Welche Websites der Russischen Föderation wechselte auf russische Wurzelzertifikate (CA)

Bank "Sber" (Ex. "Sberbank") warnt Kunden vor dem Übergang zu russischen Zertifikaten:
*https: //www.sberbank.com/ru/certificaTes

Bank VTB bietet Kunden, zu russischen Zertifikaten umzusteigen:
*https: //www.vtb.ru/product/otvety/certificates/

Auf der Roseesters -Website wird beim Öffnen einer Heimwebseite eine Warnung angezeigt.

Die größten Websites von Runet, die zur russischen Kryptographie umgestellt wurden:

1. Sberbank www.sberbank.ru - сертификат Russian TrUsted sub ca
2. Schatzkammer der Russischen Föderation www.roskazna.ru - сертификат Russian TrUsted sub ca
3. Roseestersrosreestr.gov.ru/ - сертификат Russian TrUsted sub ca

State Services www.gosuslugi.ru на начало 2024 года используют сертификат GlobaList.

Welche Hauptzertifikate werden von den Standorten der Russischen Föderation verwendet?

Root -Zertifikate, die für die Installation öffentlicher Dienste mit der Gosuslugi -Website empfohlen werden.ru/crT)

Root -Zertifikate für die Installation empfohlen Website Федерального казначейства (Anweisungen)

Beschreibung:
1) Russian Trusted Root CA - das Haupt-RF-Zertifikat, aus dem das russische Trusted-Sub-CA generiert wird. Es wird in der Vertrauenskette der meisten Standorte verwendet.
2) Russian Trusted Sub CA ist ein Zertifikat, das von Websites „signiert“ wird: Sber, Roskashny und Roseesters. Die häufigsten auf Websites im russischen Internet. Das offizielle Portal gibt außer diesen beiden keine anderen Zertifikate. Anscheinend reichen sie aus, um mit den Websites von "öffentlichen Diensten" und Banken zusammenzuarbeiten.
3) CEO des Kommunikationsministeriums von Russland (Head Certification Center) ID: 8B 98 3B 89 18 51 EF 9C 02 78 EA C8 D4 20 B2 55 C9 5D - Trust Root Center of Certification. Das Hauptwurzelzertifikat für alle Zertifizierungszentren (Zertifizierungszentren - CS), Zertifikate anderer CS sind mittel.
4) _guts2012 - Zertifikat des Kopf -Zertifizierungszentrums des Kommunikationsministeriums Russlands. Es wird von den Roskashny -Websites und der Webanwendung des SUFD (Budgetfinanzierung) verwendet.
5) _guts2022 - Zertifikat des Kopf -Zertifizierungszentrums des Kommunikationsministeriums Russlands. Es wird von der Roskashny-Website Web-Application des SUFD (Budgetfinanzierung) verwendet. Informationen zu Darmzertifikaten finden Sie auf der Roskazen -Website in Roskazen PDF anwesend

Wie installiere ich Root -Zertifikate (CA) in Windows?

In Windows - "Klicken" auf die Maus auf heruntergeladenen Zertifikaten, wie im Artikel auf der Website geschrieben www.gosuslugi.ru/crT.

Oder verwenden Sie eine CMD -Datei, mit der alle Zertifikate aus dem aktuellen Katalog festgelegt werden:

@echo off
for /d %%G in (\*.cer) DO call :s_subroutine %%G
goto :EOF
:s_subroutine
CertMgr.exe /c /add %1 /s root
echo:
goto :EOF

Cm.Beschreibung der Startschlüssel CErtMgr на сайте Microsoft.

Certmgr.exe ist Teil des Windows SDK, das von Microsoft erhältlich ist. Links zum Windows SDK Universal Installer für Windows 7, 8.1, 10, 11 sind gegeben Im nächsten Artikel.

Wie lade ich alle Website -Zertifikate von HTTPS herunter?

Laden Sie Zertifikate von der Site rosreestr.ru in der Datei rosreestr_bundle.crt herunter:

echo -n | openssl s_client -showcerts -connect rosreestr.ru:443 2>/dev/null  | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > rosreestr_bundle.crt

Zertifikate aus der Datei anzeigen:

while openssl x509 -noout -text; do :; done < ~/rosreestr_bundle.crt | grep "CN =" 

Gleiches gilt für den Ort der öffentlichen Dienste:

echo -n | openssl s_client -showcerts -connect gosuslugi.ru:443 2>/dev/null  | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > gu_bundle.crT

while openssl x509 -noout -text; do :; done < ~/gu_bundle.crt | grep "CN ="

Garantiert die "Sperre" in der Verbindungszeile der Site -Authentizität?

Es ist zu beachten, dass Zertifikate nur die SSL/TLS -Verbindung schützen. Das Vorhandensein der "Castle" -Kone garantiert nicht die Authentizität der Website (es wird durch DNS und die Register von Namen bestimmt - zum Beispiel NIC.ru или reg.ru, другие регистраторы). Рекомендую всегда смотреть сертификат, находящийся под "замочком" и проверить тщательно имя домена в сертификате, сравнив его с доменом, который виден в адресной строке. Во избежание атак "человек посередине" (MitM). Но "Антивирус Касперского" в Windows во включенном состоянии заменяет сертификат сайта на порту 443 - т.к. он расшифровывает трафик, проверяет его и затем зашифровывает его своим сертификатом. Это поведение Kaspersky AntivirWir sind normal.

Ergänzung ab 17.01.2024: Installieren des Yandex-Browsers für die Arbeit mit russischen Websites

Anstatt Stammzertifikate in FI -Browsern zu installierenreFox и MozillaSie können einen Webbrowser -Yandex installieren, der alle erforderlichen Zertifikate enthält.

1) Erstellung im Ordner /etc /apt/sourCES.List.d -Datei für den Browser -Repository Yandex:

cd /etc/apt/sources.list.d
sudo nano yandex-browser.Liste

Zur Repposion der Liste yandex-browser.list: Die nächste Zeile wurde hinzugefügt:

deb [arch=amd64] https://repo.yandex.ru/yandex-browser/deb stable main

CT gerettetrl+O, Ctrl+x.

2) Importieren der Signaturen des Repositorys des Yandex -Browsers

curl -fsSL https://repo.yandex.ru/yandex-browser/YANDEX-BROWSER-KEY.GPG | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/yandex-browser.gpg > /dev/NULL

Prüfung:

file /etc/apt/trusted.gpg.d/yandex-browser.Gpg

Antwort: /etc/apt/trusted.gpg.d/yandex-browser.gpg: OpenPGP Public Key Version 4, Created Tue May 16 16:15:58 2023, RSA (Encrypt or Sign, 4096 bits); User ID; Signature; OpenPGP CertificaTe
3) Überprüfen Sie den freien Speicherplatz:

df -h

Aktualisieren Sie den Apt-Cache und installieren Sie das Paket „yandex-browser-stable“:

sudo apt-get update
sudo apt install yandex-browser-stable

Yandex Browser wird im Startmenü - Internet - Yandex Browser.

Quelle für die Installation von Yandex -Browser:https: // browser.yandex.ru/help/about/install.html#browser-instaLL.

Verwandte Veröffentlichungen

Entfernen von Kernel Xanmod vom Linux-Betriebssystem

Устранение отклонений при установке драйвера видеокарты nVidia

Установка клиента Telegram в Linux несколькими способами

Установка сетевых принтеров в Linux - часть 4

Установка сетевых принтеров в Linux - часть 2