Cette page contient des liens vers tous les principaux certificats racine de la Fédération de Russie, les instructions pour leur installation sont données.

Que sont les certificats racinaires russes TLS?

TLS est un protocole de protection contre la lecture et la modification des données, lors de la connexion aux sites Web du protocole HTTPS. (Avec HTTPS, le port 443 est utilisé, contrairement à HTTP 80). Pour la protection, la connexion du serveur est signée par le certificat du site et cryptée. Sur le côté du client, le certificat est vérifié et la connexion est déchiffrée. Si le certificat n'est pas confié, le navigateur apparaît d'une vérification de message pour la sécurité de la connexion, et si la fiducie, dans la barre d'adresse, montre que la connexion est protégée. Les certificats de sites russes en théorie doivent être chiffrés à l'aide de certificats russes. C'est ainsi que la souveraineté technologique est mise en œuvre - les sites russes ne devraient pas dépendre des centres de certification étrangers émettant des certificats TLS.

Pour créer un système PKI indépendant du monde occidental, deux certificats racines ont été créés pour les sites Web:
* Russian Trusted Root CA*
Russian Trusted Sub CA**

Ils peuvent être téléchargés à partir de la page https: // gosuslugi.ru/crt.

Comment installer des certificats russes en Linux?

1. Pour les services publics wget, curl и apt, ils doivent les installer v Système d'exploitation
2. Pour afficher des sites Web, vous devez les installer dans vos navigateurs Mozilla FireFox и Chrome / Chromium

Lors de l'installation de certificats dans le système d'exploitation, où est le fichier de configuration CA?

Fichiers de configuration de certificat pour le système d'exploitation (pour les utilitaires Curl et WGET):

/usr/lib/ssl/openssl.cnf
/etc/ca-certificates.conf

Comment installer des certificats racine (CA) dans le système d'exploitation?

Pour installer des certificats dans le système d'exploitation Linux dont vous avez besoin:
0) Téléchargez les certificats racine CA avec extension CRT.
1) Copier les certificats racine * \ . CRT dans une filiale
/usr/share/ca-certificates, Par exemple, /usr/share/ca-certificates/russian_trusted et ajouter des lignes au fichier de configuration /etc/ca-certificates.conf.
2) Exécutez la commande sudo dpkg-reconfigure ca-certificates** et confirmez l'ajout de nouveaux certificats.
3) Vérifiez.

0) Skaming Certificats de la page des services publics https: // gosuslugi.ru/crt[/mark] - Fichiers dans la "Méthode alternative - Installation du certificat racine" - Certificats pour Linux.

Cliquez pour augmenter:

1) Copie de certificats

sudo mkdir /usr/share/ca-certificates/russian_trusted
sudo cp ~/Загрузки/russian_trusted*.crt /usr/share/ca-certificates/russian_trusted
cd /usr/share/ca-certificates/russian_trusted
ls -l

2 fichiers doivent mentir. Si 4, je supprime des copies supplémentaires:
sudo rm "russian_trusted_root_ca_pem(1).crt"
sudo rm "russian_trusted_sub_ca_pem(1).crt"

2) Installation de certificats racine en Linux:

2.1) Modifier le fichier /etc/ca-certificates.conf - Ajoutez nos 2 certificats

Le chemin des certificats est relatif. Nous avons précédemment créé un dossier /usr/share/ca-certificates/russian_trusted, donc le chemin du fichier de configuration sera russian_trusted/Nom_de_règlement

sudo nano /etc/ca-certificaTes.conf

Ajouter les lignes:

russian_trusted/russian_trusted_root_ca_pem.crt
russian_trusted/russian_trusted_sub_ca_pem.crt

Sauver et sortir: Ctrl+O и Ctrl + X.

2.2) Effectuer

sudo dpkg-reconfigure ca-certificaMe

Appuyé sur OK.

"Faites confiance aux nouveaux certificats de centres de certification?"

Oui

"Ce package définit les certificats de certification des centres (CA) ..."
Appuyé sur OK.

Dans la fenêtre avec une liste de certificats, il l'a renversé jusqu'à la fin et a trouvé nos 2 certificats - ils sont attribués par des étoiles.
Pressé environ.
Le programme a terminé l'ajout de certificats russes au système.

3) Vérifier:
Vérifions l'ouverture du site Web Rosreest sur le protocole HTTPS à partir de la ligne de commande.

cd ~
wget https://rosreestr.ru

Comment installer des certificats racine (CA) dans les navigateurs Web]

1) Installation du certificat CA à Mozilla Firefox

Firefox → allez dans "Paramètres" → dans la recherche, saisissez "Certificat" → sélectionnez "Afficher les certificats..."

J'ai appuyé sur le bouton "Importer ..." .
J'ai sélectionné un fichier à partir du fichier "télécharger" russian_trusted_root_ca_pem.crt et appuyé sur le bouton ouvert dans le conducteur.

Faites confiance lors de l'identification des sites Web.

Importations répétées pour le deuxième fichier russian_trusted_sub_ca_pem.crt (également appuyé sur le bouton ouvert)
importer ...
Ouvrir

Fermé le formulaire "OK.

1) Installation du certificat CA en chromium

Dans le navigateur Web Chromium, l'installation se fait de la même manière : Paramètres - recherchez le mot-clé "Certificat"

Dans la section de sécurité, faites défiler la fenêtre jusqu'à la section "Configurer les certificats"

Dans la fenêtre, j'ai choisi le signet "Centre de certification".

Pressé Import
Dans la fenêtre, je mets un chèque contre
"Faites confiance à ce certificat lors de l'identification des sites.

Si le certificat n'a pas été installé plus tôt, il sera ajouté au navigateur.

Vérifier - aller sur le site https://rosreestr.ru или https: //rosreestr.gov.ru/.

Informations utiles

Où peut-être les certificats root en linux se trouvent

Firefox lors de l'installation ajoute ses certificats au dossier:
/usr/share/ca-certificates/mozilla]

Lors de l'installation du package Firefox, le fichier /etc/ca-certificates.conf est modifié.

Dans quel # - symbole pour commenter, ! - Désactive la ligne.

Comment afficher le contenu du certificat en Linux?

1) Interface graphique de l'utilisateur: Utilisation d'un double clic sur le fichier dans le conducteur, ou en effectuant l'utilitaire gcr-viewer.

gcr-viewer /usr/local/share/ca-certificates/russian_trusted/russian_trusted_sub_ca_pem.crt

2) Ligne de commande: (dans le dossier où il y a un certificat, par exemple,

• Utilisation de la commande OpenSSL X509:

  Lire un certificat du fichier CErtificate.pem Utilisation de la commande OpenSSL x509 , avec le filtre de champ CN - Nom du certificat:

  sudo openssl x509 -in certificate.pem -noout -subject | grep -si "CN ="

Source

Lire un certificat en utilisant l'utilitaire keytool

keytool -printcert -file certificate.pem

Par exemple, dans Green Linux, l'équipe affichera des informations sur le certificat de la console:

keytool -printcert -file /usr/local/share/ca-certificates/russian_trusted/russian_trusted_root_ca_pem.crt | less

Lecture dans le cycle de tous les certificats du fichier de réglage des certificats ca-certificates.crt

while openssl x509 -noout -text; do :; done < /etc/ssl/certs/ca-certificates.crt

Noms de lecture CN CN (de COmmon NamE) dans le cycle:

while openssl x509 -noout -text; do :; done < /etc/ssl/certs/ca-certificates.crt | grep "CN =" 

Par exemple:
Subject: C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA

Lire les noms des destinataires (OU) Certificats du fichier contenant plusieurs certificats nommés Globalsign

while openssl x509 -noout -text; do :; done < /etc/ssl/certs/ca-certificates.crt | grep "CN =" | grep -iF globaSeigneur

Référence:

man openssl-x509

Création d'une copie de sauvegarde de l'ensemble des séditions Root CA (le faire n'est pas nécessaire, car le fichier est créé à chaque fois lors de l'exécution de DPkg-reconfigure ca-certificaTes):

sudo cp /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/ca-certificates.crt.bak

Comment supprimer un certificat racine de Linux

Vous devez réparer le fichier /etc/ca-certificates.conf

sudo cp /etc/ca-certificates.conf /etc/ca-certificates.conf.bak
sudo nano /etc/ca-certificates.conf

Par exemple, si nous voulons désactiver tous les certificats, mettez les signes d'exclamation (!) Au début de toutes les lignes.

Pour l'exclusion massive des certificats racine, vous pouvez utiliser l'utilitaire de ligne de commande SED:

sudo sed -i 's/^mozilla/!mozilla/g' /etc/ca-certificates.conf

Pour l'inclusion massive des certificats racines de Mozilla:

sudo sed -i 's/^!mozilla/mozilla/g' /etc/ca-certificaTes.conf

Puis exécutez:

sudo dpkg-reconfigure ca-certificates

Comment supprimer un certificat racine en Linux du navigateur Mozilla FireFox или Chromium

Paramètres - Recherchez le mot "Certificat" - puis "Root Certificates" - Choix et suppression.

Comment réinstaller les certificats du système d'exploitation Linux avec les paramètres par défaut?

sudo apt install --reinstall ca-certificaMe

Cette équipe retirera du dossier /etc/ssl/certs/ Certificats étrangers et restaurera les liens symboliques et la base de données des certificats "par défaut".

Comme à Mozilla Firefox crée un nouveau profil pour les expériences?

filefox -P

Dans chaque profil Firefox peut configurer son propre ensemble de certificats de site. Par exemple, si le profil «temp» ne contient pas de certificat russe,, il y aura une erreur

Et dans une autre copie de Firefox avec un autre profil dans lequel les certificats sont installés, il n'y a pas d'erreur.

Portail officiel des certificats TLS pour les sites russes

Toutes les informations sur l'installation et le réglage:
https: //www.gosuslugi.ru/crt [/mark]]

Quels sites Web de la Fédération de Russie sont passés aux certificats racinaires russes (CA)

Banque "Sber" (Ex. "Sberbank") avertit les clients de la transition vers les certificats russes:
*https: //www.sberbank.com/ru/certificaMe

Bank VTB offre aux clients pour passer aux certificats russes:
*https://www.vtb.ru/product/otvety/certificates/

Le site Web de Rosreest affiche un avertissement lors de l'ouverture d'une page Web à domicile.

Les plus grands sites Web de Runet qui sont passés à la cryptographie russe:

1. Sberbank www.sberbank.ru - certificat Russian Trusted Sub CA
2. Trésor de la Fédération de Russie www.roskazna.ru - сертификат Russian Trusted Sub CA
3. Rosreestrosreestr.gov.ru/ - certificat Russian Trusted Sub CA

Services d'État www.gosuslugi.ru на начало 2024 года используют сертификат GlobaLsign.

Quels principaux certificats sont utilisés par les sites de la Fédération de Russie?

Certificats racinaires recommandés pour l'installation de services publics avec le site de Gosuslugi.ru/crt)

Certificats racine recommandés pour l'installation site Федерального казначейства (Instructions)

Description:
1) russian trusted Root CA - le certificat RF principal à partir duquel il a été généré 'Russian TrUsted Sub CA' certificat. Il est utilisé dans la chaîne de confiance de la plupart des sites.
2) russian trusted Sub CA est un certificat «signé» par les sites: Sber, Roskazna et Rosreest. Le plus courant sur les sites Web sur Internet russe. Le portail officiel ne donne pas d'autres certificats, à l'exception de ces deux. Apparemment, ils suffisent à travailler avec les sites des «services publics» et des banques.
3) PDG du ministère des Communications de Russie (chef de certification Centre) C ID 8B 98 3B 89 18 51 EF 9C 02 78 EA C8 D4 20 B2 55 C9 5D - Centre de certification Root Trust. Le principal certificat racine pour tous les centres de certification (centres de certification - CS), les certificats d'autres CS sont intermédiaires.
4) _guts2012 - Certificat du centre de certification du chef du ministère des Communications de la Russie. Il est utilisé par les sites Roskashny et l'application Web du SUFD (financement budgétaire).
5) _guts2022 - Certificat du centre de certification du chef du ministère des Communications de la Russie. Il est utilisé par le site Web de Roskashny Application Web du SUFD (financement budgétaire). Des informations sur les certificats GUTS sont disponibles sur le site Web de Roskazen dans Pdf,

Comment installer des certificats racine (CA) dans Windows?

Dans Windows - "Cliquez" sur la souris sur les certificats téléchargés comme écrit dans l'article sur le site www.gosuslugi.ru/crt.

Ou utilisez un fichier CMD qui définira tous les certificats du catalogue actuel:

@echo off
for /d %%G in (\*.cer) DO call :s_subroutine %%G
goto :EOF
:s_subroutine
CertMgr.exe /c /add %1 /s root
echo:
goto :EOF

CertMgr: Description des clés de lancement CertMgr на сайте Microsoft.

Fichier CErtmgr.exe fait partie du SDK Windows, disponible sur le site Web Microsoft. Les liens vers l'installateur universel du SDK Windows pour Windows 7, 8.1, 10, 11 sont donnés Dans l'article suivant.

Comment télécharger tous les certificats de site Web par HTTPS?

Télécharger les certificats depuis le siterosreestr.rU dans le fichier:

echo -n | openssl s_client -showcerts -connect rosreestr.ru:443 2>/dev/null  | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > rosreestr_bundle.crt

Afficher les certificats à partir du fichier:

while openssl x509 -noout -text; do :; done < ~/rosreestr_bundle.crt | grep "CN =" 

La même chose pour le site des services publics:

echo -n | openssl s_client -showcerts -connect gosuslugi.ru:443 2>/dev/null  | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > gu_bundle.crt

while openssl x509 -noout -text; do :; done < ~/gu_bundle.crt | grep "CN ="

Le "verrouillage" garantit-il dans la ligne de connexion de l'authenticité du site?

Il convient de noter que les certificats ne protègent que la connexion SSL/TLS. La présence de l'icône "château" ne garantit pas l'authenticité du site (elle est déterminée par DNS et les registres des noms - par exemple, Nic.ru ou reg.ru, autres bureaux d'enregistrement. Je recommande de toujours regarder le certificat sous le « cadenas » et de vérifier attentivement le nom de domaine figurant dans le certificat, en le comparant à celui visible dans la barre d'adresse. Cela permet d'éviter les attaques de l'homme du milieu (MitM). Cependant, Kaspersky Antivirus sous Windows, lorsqu'il est activé, remplace le certificat du site sur le port 443, car il déchiffre le trafic, le vérifie, puis le chiffre avec son propre certificat. Ce comportement est normal pour Kaspersky Antivirus.

Ajout du 17/01/2024 : Installation du navigateur Yandex pour fonctionner avec les russes Web sites]

Au lieu d'installer des certificats de racine dans les navigateurs Firefox и Mozilla, vous pouvez installer un navigateur Web Yandex, qui a tous les certificats nécessaires.

1) Création dans le dossier / etc /apt/sourFichier CES.list.d pour le référentiel du navigateur Yandex:

cd /etc/apt/sources.list.d
sudo nano yandex-browser.Liste

À la répposion du champ de liste yandex-browser.list: Ajout de la ligne suivante:

deb [arch=amd64] https://repo.yandex.ru/yandex-browser/deb stable main

CT sauvérl+O, Ctrl + x.

2) Importer des signatures du référentiel du navigateur Yandex

curl -fsSL https://repo.yandex.ru/yandex-browser/YANDEX-BROWSER-KEY.GPG | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/yandex-browser.gpg > /dev/Nul

Examen:

file /etc/apt/trusted.gpg.d/yandex-browser.Gpg

Réponse: / etc /apt/trusted.gpg.d/yandex-browser.gpg: OpenPGP Public Key Version 4, Created Tue May 16 16:15:58 2023, RSA (Encrypt or Sign, 4096 bits); User ID; Signature; OpenPGP Certificate

3) Vérification de l'espace libre:

df -h

Il est nécessaire d'espace libre d'environ 1 Go (300 Mo par cache, 200 Mo pour le chargement et 300 Mo pour l'installation et 200 Mo par profil).

Mise à jour du cacheapt et installer le paquet yandex-browser-stable:

sudo apt-get updaTe
sudo apt install yandex-browser-stable

Le navigateur Yandex apparaîtra dans le menu Démarrer - Internet - Yandex Browser.

Source d'installation du navigateur Yandex:https://browser.yandex.ru/help/about/install.html#browser-instaLl.

Publications connexes

Разбивка жесткого диска для установки Linux Mint на старый ПК с BIOS в режиме GPT

Обновление Linux Mint 21.3 Virginia до Linux Mint 22.3 Zena

Suppression du noyau Xanmod d'un système d'exploitation Linux

Устранение отклонений при установке драйвера видеокарты nVidia

Установка клиента Telegram в Linux несколькими способами