此页面包含指向俄罗斯联邦所有主要根证书的链接，给出了安装的说明。

什么是俄罗斯根证书” TLS？

TLS是一项协议，可在HTTPS协议上连接到网站时，以防止阅读和修改数据。 （使用HTTP，使用端口443，与HTTP 80不同）。为了保护，服务器的连接由站点证书签名并加密。在客户端的侧面，检查证书并将连接解密。如果未委托证书，则浏览器会弹出一条消息检查连接安全性，如果受信任的（在地址栏）中，则显示该连接受到保护。理论上应使用俄罗斯证书对俄罗斯站点的证书进行加密。这就是实施技术主权的方式 - 俄罗斯网站不应依赖于发行TLS证书的外国认证中心。

为了创建独立于西方世界的PKI系统，为网站创建了两个根证书:
*Russian Trusted Root CA*
Russian Trusted Sub CA**

它们可以从页面上下载 https://gosuslugi.ru/crt。

如何在Linux中安装俄罗斯证书？

1. 对于公用事业，Curl 和 APT，他们需要安装它们V操作系统
2. 要查看网络，您需要安装它们V浏览器 Mozilla FireFox 和 Chrome / Chromium

在OS中安装证书时，CA配置文件在哪里？

操作系统的证书配置文件（用于实用程序卷曲和WGET）:

/usr/lib/ssl/openssl.cnf
/etc/ca-certificates.conf

如何在操作系统中安装根证书（CA）？

呢实践表明，Linux中OS的OS的设置不会影响网站的打开 - 仅在使用HTTPS协议时，仅基于控制台实用程序WGET和Curl的行为。
呢注意: Web浏览器 以不同的方式使用证书 - 在设置中记录证书 。 对于他们，请参见“如何在Web浏览器中安装根证书（CA）”部分。” **

要在Linux OS中安装证书:
0）下载带有CRT扩展名的根证书CA。
1）复制根证书 *。在子公司中
/usr/share/ca-certificates, 例如 /usr/share/ca-certificates/russian_trusted 并在配置文件中添加行 /etc/ca-certificates.conf。
2）执行命令 sudo dpkg-reconfigure ca-certificates** 并确认添加新证书。
3）检查。

0）_skaming证书_在公共服务页面上 https://gosuslugi.ru/crt[/mark] - “替代方法 - 根证书的安装”中的文件 - Linux的证书。

点击增加:

1）复制证书

sudo mkdir /usr/share/ca-certificates/russian_trusted
sudo cp ~/Загрузки/russian_trusted*.crt /usr/share/ca-certificates/russian_trusted
cd /usr/share/ca-certificates/russian_trusted
ls -l

2个文件应该撒谎。 如果4，我删除了额外的副本:
sudo rm "russian_trusted_root_ca_pem(1).crt”
sudo rm "russian_trusted_sub_ca_pem(1).crt”

2）在Linux中安装根证书:

2.1）编辑文件 /etc/ca-certificates.conf - 添加我们的2个证书

证书的途径是相对的。我们以前创建了一个文件夹 /usr/share/ca-certificates/russian_trusted，因此配置文件中的路径将为 russiantrusted/ settlement的名称

sudo nano /etc/ca-certificates.conf

添加行:

russian_trusted/russian_trusted_root_ca_pem.crt
russian_trusted/russian_trusted_sub_ca_pem.crt

保存并出去:Ctrl+O и Ctrl+X。

2.2）执行

sudo dpkg-reconfigure ca-certificates

按确定。

“相信新的认证中心证书？”

是的

“此软件包设置了认证中心证书（CA）...”
按确定。

在带有证书列表的窗口中，它将其溢出到最后，并找到了我们的两个证书 - 它们由星星分配。
按约
该计划已经完成了该系统的俄罗斯证书。

3）检查:
让我们从命令行中查看HTTPS协议上的Rosreestr网站的开放。

cd ~
wget https://rosreestr.ru

如何安装根证书（CA）在网页浏览器中[/mark这是给出的

1）在Mozill安装CA证书a Firefox

Firefox → 进入“设置” → 在搜索中输入“证书” → 选择“查看证书...”

我按了 按钮“导入...” 。
我从“下载”文件 中选择了文件russian_trusted_root_ca_pem.crt 并按下导体中的打开按钮。

识别网站时信任。

重复第二个文件的导入 russian_trusted_sub_ca_pem.crt （还按下打开按钮）
* 进口 ... *
打开 **

关闭了“好的”。

1）在 中安装CA证书 Chromium

Chromium 的安装方法相同：设置 - 搜索关键词“证书”

在“安全性”部分中，向下向下滚动到“配置证书”部分

在窗口中，我选择了书签 “认证中心” 。

按 导入
在窗口中，我对
“在识别网站时相信此证书。**

如果证书尚未较早安装，则将添加到浏览器中。

检查 - 转到网站 https://rosreestr.r你 или https://rosreestr.gov.ru/。

有用的信息

Linux中还可以在哪里扎根证书

安装时Firefox将其证书添加到文件夹中:
/usr/share/ca-certificates/mozilla[/mark这是给出的

安装firefox包时，/etc/ca-certificates.conf文件被修改。
其中＃=评论符号，！ - 禁用线路。

如何在Linux中查看证书的内容？

1） 用户的图形接口 :使用双击导体中的文件或执行实用程序 gcr-viewer。

gcr-viewer /usr/local/share/ca-certificates/russian_trusted/russian_trusted_sub_ca_pem.crt

3） 命令行: （例如，在有证书的文件夹中，

• 使用openssl x509命令:

  从CE文件中读取一张证书rtificate.pem 使用 openssl x509 命令，带有CN字段过滤器 - 证书名称:

  sudo openssl x509 -in certificate.pem -noout -subject | grep -if "CN ="

  来源

  使用实用程序读取一个证书 keytool

  keytool -printcert -file certificate.pem

例如，在Green Linux中，团队将显示有关控制台证书的信息:

keytool -printcert -file /usr/local/share/ca-certificates/russian_trusted/russian_trusted_root_ca_pem.crT |较少的

从证书集文件c的所有证书的周期中读取a-certificates.crt

while openssl x509 -noout -text; do :; done < /etc/ssl/certs/ca-certificates.crt

阅读名称CN CN（来自COmmon Name）在周期中 :

while openssl x509 -noout -text; do :; done < /etc/ssl/certs/ca-certificates.crt | grEP“ CN =”

例如:
Subject: C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA

从包含几个名为GlobalSign的几个证书的文件中读取收件人的名称（OU）证书

while openssl x509 -noout -text; do :; done < /etc/ssl/certs/ca-certificates.crt | grep "CN =" | grep -iF globalsign

参考:

man openssl-x509

创建一组根CA煽动的备份副本（这是不需要的，因为每次执行DP时都会创建文件kg-reconfigure ca-certificates）:

sudo cp /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/ca-certificates.crt.bak

如何从Linux删除根证书

呢 此操作不会从浏览器中删除文件 - 请参阅Mozilla上的信息 以下是 Firefox 和 Chromium 浏览器。

您需要修复文件 /etc/ca-certificates.conf

sudo cp /etc/ca-certificates.conf /etc/ca-certificates.conf.bak
sudo nano /etc/ca-certificates.conf

例如，如果我们想禁用所有证书，请在所有行的开头放置感叹号（！）。

对于批量关闭根证书，您可以使用SED命令行实用程序:

sudo sed -i 's/^mozilla/!mozilla/g' /etc/ca-certificates.conf

用于批量包含根证书mozilla:

sudo sed -i 's/^!mozilla/mozilla/g' /etc/ca-certificates.conf

然后执行:

sudo dpkg-reconfigure ca-certificates

如何从Mozill浏览器中删除Linux中的根证书a FireFox или Chromium

设置 - 搜索单词 “证书” - 然后搜索“根证书” - 选择和删除。

如何使用默认设置重新安装Linux OS OS证书？

sudo apt install --reinstall ca-certificates

该团队将从文件夹中删除 /etc/ssl/certs/ 多余的证书，并将恢复符号链接和“默认情况下”证书的数据库。

就像在莫兹尔一样a Firefox为实验创建一个新的配置文件？

filefox -P

在每个配置文件中Firefox 可以配置自己的网站证书集。例如，如果名为“http://example.com”的配置文件中缺少俄罗斯证书，则需要配置自己的网站证书集 "temp”，会有一个错误

在另一个具有安装证书的配置文件的Firefox副本中，没有错误。

官方TLS证书门户网站

有关安装和设置的所有信息:
https://www.gosuslugi.ru/crt [/mark这是给出的

俄罗斯联邦的哪些网站改用俄罗斯根证书（CA）

银行“ sber”（ex。“ sberbank”） 警告客户过渡到俄罗斯证书:
*https://www.sberbank.com/ru/certificates

银行VTB 为客户提供转向俄罗斯证书:
*https://www.vtb.ru/product/otvety/certificates/

打开家庭网页时，Rosreesr网站会显示警告。

切换到俄罗斯密码学的最大的符文网站:

1. Sberbank www.sberbank.ru - SSL证书 Russian Trusted Sub CA
2. 俄罗斯联邦www的财政部。roskazna.ru - SSL证书 Russian Trusted Sub CA
3. 抢劫rosreestr.gov.ru/ - SSL证书 Russian Trusted Sub CA

国家服务www.gosuslugi.ru 自 2024 年初起，使用 Globalsign 证书。

俄罗斯联邦网站使用哪些主要证书？

建议使用Gosuslugi网站安装公共服务的根证书.ru/crT）

建议安装的根证书 地点 联邦财政部 (指示 ）

描述:
1）Russian Trusted Root CA - 生成该证书的俄罗斯联邦主要证书 Russian Trusted Sub CA。 它用于大多数站点的信任链中。
2）Russian TrUsted Sub CA - 是由网站“签名”的证书:Sber, Roskazna 和 Rosreestr。 最常见的是俄罗斯互联网上的网站。 官方门户不提供其他证书，除了这两个证书。 显然，它们足以与“公共服务”和银行的站点合作。
3）俄罗斯通讯部首席执行官（头部认证中心） ID: 8B 98 3B 89 18 51 EF 9C 02 78 EA C8 D4 D4 20 B2 55 C9 5D-信托基督书认证中心。 任何认证中心（认证中心-CS）的主要根证书，其他CS的证书是中间的。
4）_guts2012-俄罗斯通讯部的头部认证中心证书。 Roskashna网站和SUFD（预算融资）的Web应用程序使用了它。
5）_guts2022-俄罗斯通讯部的头部认证中心证书。 Roskashna网站的网络应用程序（预算融资）使用了它。 有关肠道证书的信息可在Roskazen网站上获得 PDF

如何在Windows中安装根证书（CA）？

在Windows中 - “单击”网站上文章中写的下载证书上的鼠标 www.gosuslugi.ru/crt。

或使用将从当前目录中设置所有证书的CMD文件:

@echo off
for /d %%G in (\*.cer) DO call :s_subroutine %%G
goto :EOF
:s_subroutine
CertMgr.exe /c /add %1 /s root
echo:
goto :EOF

厘米。发射键CE的描述rtMgr на сайте Microsoft.

Cerrtmgr.exe 是 Windows SDK 的一部分，可在 MicroSoft 网站上获取 。 给出了Windows SDK通用安装程序的Windows 7、8.1、10、11的链接 在下一篇文章中。

如何通过HTTPS下载所有网站证书？

从网站下载证书rosreestr.ru在文件中:

echo -n | openssl s_client -showcerts -connect rosreestr.ru:443 2>/dev/null  | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > rosreestr_bundle.crt

从文件中查看证书:

while openssl x509 -noout -text; do :; done < ~/rosreestr_bundle.crt | grEP“ CN =”

公共服务站点也是如此:

echo -n | openssl s_client -showcerts -connect gosuslugi.ru:443 2>/dev/null  | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > gu_bundle.crt

while openssl x509 -noout -text; do :; done < ~/gu_bundle.crt | grep "CN ="

“锁”是否保证了站点真实性的连接线上？

需要注意的是，证书仅保护 SSL/TLS 连接。“锁”图标的存在并不能保证网站的真实性（它由 DNS 和域名注册商（例如 nic.ru 或 reg.ru 以及其他注册商）决定）。我建议始终查看“锁”图标下的证书，并仔细检查证书中的域名，并将其与地址栏中显示的域名进行比较。这是为了避免“中间人”(MitM) 攻击。但是，Windows 中的“卡巴斯基反病毒软件”在启用后会替换端口 443 上的网站证书，因为它会解密流量、进行检查，然后使用其证书进行加密。卡巴斯基反病毒软件的这种行为是正常的。

从17.01.2024的增加:安装 Yandex 浏览器以访问俄罗斯网站[/mark这是给出的

而不是在 浏览器中安装根证书 Mozilla FireFox，您可以安装具有所有必要证书的Web浏览器Yandex。

1）在文件夹 /etc /中创建apt/sources.list.d浏览器存储库Yandex的文件:

cd /etc/apt/sources.list.d
sudo nano yandex-browser.list

到列表字段repposion yandex-browser.list :添加下一行:

deb [arch=amd64] https://repo.yandex.ru/yandex-browser/deb stable main

保存的Ctrl+O, Ctrl+X。

2）Yandex浏览器存储库的导入签名

curl -fsSL https://repo.yandex.ru/yandex-browser/YANDEX-BROWSER-KEY.GPG | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/yandex-browser.gpg > /dev/null

考试:

file /etc/apt/trusted.gpg.d/yandex-browser.gpg

答案:/etc/apt/trusted.gpg.d/yandex-browser.gpg: OpenPGP Public Key Version 4, Created Tue May 16 16:15:58 2023, RSA (Encrypt or Sign, 4096 bits); User ID; Signature; OpenPGP CertificaTE
3）检查自由空间，缓存更新apt 并安装该软件包yandex-browser-stable :

df -h

有必要免费空间约1 GB（每个缓存300 MB，加载200 MB，安装300 MB，每个配置文件200 MB）。

sudo apt-get update
sudo apt install yandex-browser-stable

Yandex浏览器将出现在开始菜单-Internet -yandex Browser。

安装Yandex浏览器的来源: https://browser.yandex.ru/help/about/install.html#browser-insta二。

相关出版物

Разбивка жесткого диска для установки Linux Mint на старый ПК с BIOS в режиме GPT

Обновление Linux Mint 21.3 Virginia до Linux Mint 22.3 Zena

从 Linux 操作系统中移除 Xanmod 内核

Устранение отклонений при установке драйвера видеокарты nVidia

Установка клиента Telegram в Linux несколькими способами