Microsoft root certificate authority 2010 нет доверия

Невозможно установить Root CA Certificate — сертификат не может быть проверен до доверенного центра сертификации. обычно вызвано неверно настроенными системными настройками или нерегулярными записями в реестре Windows. Эта ошибка может быть исправлена ​​специальным программным обеспечением, которое восстанавливает реестр и настраивает системные настройки для восстановления стабильности

Если вы не можете установить Root CA Certificate — сертификат не может быть проверен до доверенного центра сертификации. то мы настоятельно рекомендуем вам

Загрузить (не удается установить Root CA Certificate — сертификат не может быть проверен на доверенный центр сертификации.) Repair Tool.

This article contains information that shows you how to fix
Unable to Install Root CA Certificate — Certificate cannot be verified up to a trusted certificate authority.
both
(manually) and (automatically) , In addition, this article will help you troubleshoot some common error messages related to Unable to Install Root CA Certificate — Certificate cannot be verified up to a trusted certificate authority. that you may receive.

Эта статья была обновлено на 2023-06-28 и ранее опубликованный под WIKI_Q210794

Значение Невозможно установить Root CA Certificate — Сертификат не может быть проверен до доверенного центра сертификации

Бывают случаи, когда вы хотите получить доступ к веб-сайту, но сталкиваетесь с раздражающей проблемой. В число этих проблем входит ошибка сертификата, и он говорит вам прекратить движение вперед, потому что он обнаружил злонамеренное намерение. Если ваш браузер не доверяет SSL-сертификату, который он встречает, он отправит вам предупреждение.

Причины ошибки сертификата:

• Истекший сертификат безопасности
• Date or time on the computer’s clock is beyond the expiry date of the server’s SSL certificate or the date or time is incorrect
• Веб-сайту нельзя доверять

When you encounter a certificate error, this message will appear: “There is a problem with this website’s security certificate.” You can immediately close the webpage and do not access the site until you have verified the cause of the error.

• Привод физически поврежден
• Диск пуст
• Привод защищен от записи
• Привод имеет вирусную инфекцию
• Привод имеет плохие сектора

Причины неспособности установить Root CA Certificate — сертификат не может быть проверен до доверенного центра сертификации

Когда вы получили предупреждение от своего браузера с указанием ошибки сертификата, вы можете сделать некоторые способы защитить себя от вредоносных атак.

Сначала определите источник ошибки. Это может быть сертификат с истекшим сроком действия или временное несоответствие между вашим компьютером и сертификатом. Исправьте эти ошибки и попробуйте перезагрузить свой сайт. Если ничего не происходит, это может быть вредоносное перенаправление на плохой веб-сайт. Обратитесь к администратору веб-сайта, если вы действительно доверяете сайту. Или вы можете попробовать открыть веб-сайт в другом браузере. Но, если вы не доверяете веб-сайту, никогда не открывайте его снова и не используйте альтернативный сайт.

Когда вы сталкиваетесь с ошибкой Windows, неспособной к ошибке во время форматирования диска, не предполагайте, что ваш диск или внутренний диск неисправен. Есть еще несколько способов устранения проблемы. После того как вы попробовали все решения и ничего не получилось, вы можете сделать вывод, что ваш диск или диск постоянно повреждены.

Одним из решений является средство управления дисками Windows, обнаруженное в Windows My Computer. Выберите указанный диск и нажмите «Формат». Удалите все разделы диска перед форматированием.

Другой — определить, является ли ваш диск как раздел или файловая система RAW. Если нет раздела, вам нужно воссоздать разделы. Однако, когда ваш накопитель имеет файловую систему RAW, вам необходимо выполнить любой из параметров 3: использовать «Управление дисками» для форматирования, использовать «Командная строка для форматирования» или «Мастер разделения раздела для форматирования». RAW-диск — это раздел, который не отформатирован и может вызвать ошибки. Вы можете исправить RAW-диск, используя один из параметров форматирования 3.

More info on
Unable to Install Root CA Certificate — Certificate cannot be verified up to a trusted certificate authority.

РЕКОМЕНДУЕМЫЕ: Нажмите здесь, чтобы исправить ошибки Windows и оптимизировать производительность системы.

Encounter error: «Untrusted Certificate».  «This certificate cannot be verified up to a trusted certificate authority.»
I Anyone, any to allow the Update Root Certificate feature to update the root certificates automatically. I then restarted the IE and view the ssl site again but failed too, «Untrusted Certificate». Hi,
I am trying to install CA am able to view this root CA.

Сертификат конечной сущности внешних веб-сайтов, подписанный внутренним сертификатом Сервера центра сертификации — Неправильно

All SSL sites appeared domain, applied no GPOs, manually updated CRL and pulled down updated certs with rootsupd.exe. It always attempts to use this rouge CA cert to sign the websites cert. Any assistance would be much appreciated.

Я сбросил корневые сертификаты различными способами, удалив машины из этой системы.

Цепочка сертификатов обрабатывается, но завершается в корневом сертификате, которому доверенный поставщик доверия не доверяет.

Обновить корневой сертификат и списки ненадежных сертификатов в отключенной среде. (KB3097966)

Какие доверенные корневые центры должны иметь?

Ones that have caught my eye are ‘NO LIABILITY ACCEPTED (c)97 Verisign’ and a couple which start ‘thawte’ as opposed to ‘Thawte’. I’m running Windows 10 in a domain and I don’t believe I’ve list to guard against man-in-the-middle attacks.

I’m looking at my TRCA installed anything untoward — but that’s always the case, isn’t it?

  It’s too large to post here, of course, and mostly they look legit, but are there any rogue CAs for which I should look out?

Отсутствует сертификат корневого центра сертификации Active Directory из хранилища доверенных корневых центров сертификации 7

Хосе других компьютеров в том же подразделении не хватает сертификата. Кани кто-нибудь проливает свет на то, как устранить эту проблему или как заставить (если возможно) рабочую станцию ​​загрузить сертификат ЦС? Я не считаю, что это проблема групповой политики, потому что заранее. Проблема заключается в том, что сертификат в конечном итоге

истекать

Спасибо, и нам придется снова импортировать новую.

Доверенный корневой сертификат корневого ЦС удален при переходе на «неправильный» URL-адрес

Есть идеи? Здравствуйте,

У меня очень неприятная проблема с сертификатом корневого ЦС, который исчезает из хранилища доверенных корневых ресурсов. Я включил запись CAPI2, но я не мог найти ничего, что имеет смысл. К сожалению, я не могу точно определить, что происходит и как решить эту проблему.

How do I install a certificate to Trusted People > Local Computer in Windows 8?

When I go through the MMC, enterprise, and group policy. When I go through the import process for Trusted People, in Win 7 you can click «show physical stores» and «local computer» becomes an option for «trusted people». Which do I use, or how do I this in Win 8. I don’t see I add the snap in for certificate.

I see registry, get «local computer» to show up?

Мастер обновления сертификата завершает обновление сертификата: Dec 6

Системные требования
Поддерживаемые операционные системы: 5.0 служб Windows (IIS) и обсуждаются в Microsoft Knowledge Base (KB) Article Q325827.

This update addresses the «Certificate Renewal Wizard Concatenates Certificate» issue in Internet Information 2000

Internet Information Services 5.0
Окна 2000 Professional
Окна 2000 сервера
Windows 2000 Advanced Server

Выдача сертификата с использованием Netbios / FQDN в отношении сертификата Subject / SAN

На самом деле сбивать с толку видно, что больше будет возникать, поэтому любая помощь будет оценена. Я просматриваю https://website.domain.com Я получаю ошибку сертификата. IIS работает, и я могу получить доступ к объяснению. Проверяя сертификат, все происходит с ошибками сертификата на некоторых сайтах и ​​приложениях.

Использование обоих URL никогда не было проблемой до этого уик-энда, но кажется, что в IE / Windows / IIS не нравится какой-либо URL-адрес, который НЕ ТОЧНО, что представляет IIS. Как я могу управлять всеми возможными разрешениями DNS для сайта? Поэтому кто-нибудь еще находит это?

fine, no errors, chain is trusted. Can we issue a certificate that covers this site through FQDN,NetBIOS or IP address. Since this weekend (16/17 July) we have started the URL compared to the «advertised» name IIS is presenting. Good a site, Website.

Так далеко это повлияло на две основные системы в нашей сети, и я и все хорошо. Откройте Chrome и сделайте то же самое, я получаю, что сертификат website.domain.com

Новости. Поэтому мои вопросы:

Является ли сайт веб-сайтом и не может быть местом, которое я хочу. я попробую

Полное доменное имя — website.domain.com.

У меня есть то, что IIS рекламирует себя как? Я просматриваю https: // сайт один здесь. Это похоже на структуру моего домена domain.com.

Как вы можете просмотреть сертификат сайта с ошибкой сертификата, не посещая его?

Сертификат безопасности не может быть проверен

Похоже, это то, что вы описываете?

Сертификат безопасности не может помочь мне исправить это. Спасибо. Теперь это нормально, но с одним на моих компьютерах. Можете ли вы опубликовать снимок экрана, который пока не работает.

Не могли бы вы направить меня на некоторые ссылки, которые я нахожу на своих учетных записях электронной почты.

Вчера у меня была проблема, которая была проверена.

Сертификат сертификата клиента Сертификат RSA игнорируется при установке ECC

Закрытый ключ отсутствует в сертификате в диспетчере сертификатов.

Однако на машине, которая зашифровала файлы, которые нам нужны для доступа к этому, поэтому я не могу запросить новый, используя CA. У нас есть сертификат в certmgr.msc, но спасибо за вашу помощь, мы видим, что ключ отсутствует. Это самоподписанный сертификат, созданный Windows, заранее.

Я воспроизвел это на другом компьютере и смог запустить certutil -repairstore с помощью EFS, однако мы не можем получить доступ к этим файлам или расшифровать их. Хорошего дня

SSL-сертификат за брандмауэром. Предотвращение ошибки сертификата.

Или вы можете настроить собственный сервер сертификатов, а домен хоста — также company.com (мы просто запускаем отдельный внутренний и внешний DNS)

  I’m setting up a company forum on an internal machine behind the company’s firewall. Obviously, I can’t have the common name on the certificate be everyone. How can I prevent the inevitable «domain name mismatch» error when creating a certificate for the machine behind the firewall?

  Do you really need SSL if you’re behind a firewall?

Используя стандартное соглашение об именах, внутренняя машина будет machine.local, а внешним FQDN будет machine.company.com.

Эй, самозаверяющие, затем настройте клиентов, чтобы доверять вашему собственному серверу сертификатов. Вы можете создать отдельный самозаверяющий сертификат machine.local, потому что нет способа заставить это имя разрешаться извне. Я просто сделал что-то подобное сегодня на работе, но, к счастью, наш внутренний и вручную установил его на клиентов.

windows 7 и доверенный корневой сертификат Windows 10

Подключение к серверу использует сертификат безопасности, который не может быть проверен

not match the passed value. The certificate’s CN name does
—————————

Я всегда отвечаю «Да» и, похоже, работает нормально.

Вы хотите продолжить использовать этот сервер?
—————————
да нет

Incredimail в Gmail; Сертификат безопасности не может быть проверен

Any ideas any warning of any kind. the warning is still appearing. Any ideas on for a fix? I am not receiving what’s going on?

Three days now and referring to the gmail servers. I’m assuming Incredimail is Mobile Device

  Спасибо за вашу помощь.

  Do you get any security warnings only difference being I’m using Mozilla Thunderbird.

I also have a gmail account, the when you log in to gmail with a web browser. I have been clicking Yes Yes thinking the problem would resolve itself. Posted via / No».

Я хотел бы обеспечить соединения с SSL, но я не уверен, что новый (но старый) для меня и вам нужен совет. Ваш ЦС не должен подвергаться воздействию Интернета и в более безопасных ситуациях, как вы сказали, является сообщением об ошибке. Кроме того, если вы используете Windows Server 2k3 r2, какие меры предосторожности хотели бы, чтобы ваш CA отключился или отключился от сети, чтобы ограничить экспозицию.

you recommend when using the CA service in this manner? I have a web-based application that is currently on on a closed network that I am needing to make available to the public internet. The other party can install a server as your web server if you’re signing out multiple certificates. The only downside, like you certificate locally so that error won’t show.

Но сертификаты SSL могут

I’m treading on some ground that is fairly run as low as $75. You don’t want to run your CA on the same you guys think? It would seem possible to host my own CA, but all certs would be compromised.

What do this type of purchase only necessary for less private sites (like shopping carts)? If your CA was compromised, if it is necessary to purchase an SSL certificate from a major player (VeriSign). Is it better to just buy the certificate from a vendor, or is I’m not sure what the downside to this would be.

Любые идеи, что я могу сделать, чтобы эта неприятная проблема. Спасибо,
Том

  proceed and I get my data. XP Pro with site is always trusted and I no longer get the Security Alert? Normally, I just click «YES» to

IE6 on desktop computer. Sometimes I’ll re-install the certificate as if it

Сертификат полномочий на программное обеспечение для компакт-дисков

Я бы предположил, что вы застряли на базовых блоках. Формулировка рекламы Ebay очень важна, и вам нужно

If you’re on a 32 bit system, use the files with {x86} in the file name.

If you’re on a 64 bit system, use the files with {x64} in the file name.

~ This part may seem “risky” if you are not familiar with opening installation files to see what they contain, but all we are doing here is, manually running, the specific file for your system and ignoring everything else. ~

There are many files with similar names, they only very in the middle ( ?????? ) pieces and have either ( x86 ) or ( x64 ) in the name.

If you’re on a 32 bit system, use the files with {x86} in the file name.

If you’re on a 64 bit system, use the files with {x64} in the file name.

CORE / EXTENDED /
FULL / PATCH

EXTENDED, sounded silly and eluded again to nothing.

~ This part may seem “risky” if you are not familiar with opening installation files to see what they contain, but all we are doing here is, manually running, the specific file for your system and ignoring everything else. ~

There are many files with similar names, they only very in the middle ( ?????? ) pieces and have either ( x86 ) or ( x64 ) in the name.

If you’re on a 32 bit system, use the files with {x86} in the file name.

If you’re on a 64 bit system, use the files with {x64} in the file name.

CORE / EXTENDED /
FULL / PATCH

EXTENDED, sounded silly and eluded again to nothing.

с проблемой невозможности корректного развёртывания ПО из-за того, что на целевых компьютерах с OC Windows не обновляется хранилище сертификатов доверенных корневых центров сертификации (далее для краткости будем называет это хранилище TrustedRootCA). На тот момент вопрос был снят с помощью развёртывания пакета rootsupd.exe, доступного в статье KB931125, которая относилась к ОС Windows XP. Теперь же эта ОС полностью снята с поддержки Microsoft, и возможно, поэтому данная KB-статья более недоступна на сайте Microsoft. Ко всему этому можно добавить то, что уже даже на тот момент времени решение с развёртыванием уже устаревшего в ту пору пакета сертификатов было не самым оптимальным, так как тогда в ходу были системы с ОС Windows Vista и Windows 7, в которых уже присутствовал новый механизм автоматического обновления хранилища сертификатов TrustedRootCA. Вот одна из старых статей о Windows Vista, описывающих некоторые аспекты работы такого механизма — Certificate Support and Resulting Internet Communication in Windows VistaНедавно я снова столкнулся с исходной проблемой необходимости обновления хранилища сертификатов TrustedRootCA на некоторой массе клиентских компьютеров и серверов на базе Windows. Все эти компьютеры не имеют прямого доступа в Интернет и поэтому механизм автоматического обновления сертификатов не выполняет свою задачу так, как хотелось бы. Вариант с открытием всем компьютерам прямого доступа в Интернет, пускай даже на определённые адреса, изначально рассматривался как крайний, а поиски более приемлемого решения привел меня к статье Configure Trusted Roots and Disallowed Certificates), которая сразу дала ответы на все мои вопросы. Ну и, в общем то, по мотивам этой статьи, в данной заметке я кратко изложу на конкретном примере то, каким образом можно централизованно перенастроить на компьютерах Windows Vista и выше этот самый механизм авто-обновления хранилища сертификатов TrustedRootCA, чтобы он использовал в качестве источника обновлений файловый ресурс или веб-сайт в локальной корпоративной сети.

Если взглянуть на хранилище сертификатов TrustedRootCA в разделе Локальный компьютер, то на системах, не имеющих прямого доступа в Интернет, набор сертификатов будет прямо так скажем небольшой:

KB2677070 — Доступно автоматическое обновление отозванных сертификатов для систем Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 можно найти актуальные на данный момент ссылки на файлы, прямой доступ к которым (минуя прокси с требованием аутентификации) может потребоваться для функций авто-обновления:

Но вариант прямого доступа в рамках данной заметки мы больше упоминать не станем и рассмотрим пример локализации процесса обновления в соответствии с ранее упомянутой статьёй.

Первое, что нам нужно сделать, это рассмотреть варианты получения актуальных файлов набора корневых сертификатов для их дальнейшего распространения внутри локальной сети.

Попробуем на компьютере имеющем прямое подключение к Интернету выполнить команду генерации SST файла, который будет в себе содержать актуальный набор файлов корневых сертификатов. В данном случае на компьютере с Windows 10 выполняется команда, вызывающая входящую в базовый состав ОС утилиту Certutil, которая в свою очередь обращается к веб-узлу Microsoft и создаёт по указанному нами пути SST файл:

Полученный в результате выполнения команды SST-файл по сути является контейнером, который содержит в себе все сертификаты для нужного нам обновления системы. Этот контейнер легко открывается в Проводнике Windows загружая ассоциированную с расширением файла оснастку управления сертификатами.

Этот файл удобно использовать, например, когда из всего подмножества доступных сертификатов нужно выбрать лишь некоторый набор и выгрузить их в отдельный SST файл для дальнейшей загрузки, например, с помощью консоли управления локальными сертификатами или с помощью консоли управления групповыми политиками (для импорта в какую-либо доменную политику через параметр Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities).

Однако для интересующего нас способа распространения корневых сертификатов, с помощью модификации работы механизма авто-обновления на конечных клиентских компьютерах, нам потребуется несколько иное представление множества актуальных корневых сертификатов. Получить его можно с помощью всё той же утилиты Certutil, но уже с другим набором ключей.

В нашем примере в качестве локального источника распространения будет использована общая сетевая папка на файловом сервере. И здесь важно обратить внимание на то, что при подготовке такой папки обязательно нужно ограничивать доступ на запись, чтобы не получилось так, что любой желающий сможет модифицировать набор корневых сертификатов, которые потом будут «разливаться» по множеству компьютеров.

Ключи используются для форсированного обновления всех файлов в каталоге назначения.

В результате выполнения команды в указанной нами сетевой папке появится множество файлов общим объемом примерно в пол мегабайта:

Согласно ранее упомянутой , назначение файлов следующее:

• Файл authrootstl.cab содержит сторонние списки доверия сертификатов;
• Файл disallowedcertstl.cab содержит список доверия сертификатов с недоверенными сертификатами;
• Файл disallowedcert.sst содержит хранилище сериализованных сертификатов, включая недоверенные сертификаты;
• Файлы с именами типа thumbprint.crt содержат сторонние корневые сертификаты.

Итак, файлы необходимые для работы механизма авто-обновления получены, и мы теперь переходим к реализации изменения схемы работы этого самого механизма. Для этого, как всегда, нам на помощь приходят доменные групповые политики Active Directory (GPO), хотя можно использовать и другие инструменты централизованного управления, весь всё, что нам нужно сделать на всех компьютерах — это изменить, вернее добавить, всего один параметр реестра в ветке , который и определит путь к нашему сетевому каталогу, в котором мы ранее разместили набор файлов корневых сертификатов.

Говоря о настройке GPO, для реализации поставленной задачи, опять же, можно использовать разные варианты. Например, есть «олд-скульный» вариант с созданием собственного шаблона групповой политики, так как это описано в уже знакомой нам . Для этого создадим файл в формате административного шаблона GPO (ADM), например, с именем и содержимым:

В открывшееся окне с помощью кнопки обзора выберем ранее добавленный файл , и после того, как шаблон появится в списке, нажмём Close.

Сохраним проделанные изменения и применим созданную политику к доменному контейнеру, в котором расположены целевые компьютеры. Однако рассмотренный метод настройки GPO имеет ряд недостатков и именно поэтому я назвал его «олд-скульным».

Другой, более современный и более продвинутый метод настройки реестра клиентов  —  это использование Group Policy Preferences (GPP). При таком варианте мы можем создать соответствующий объект GPP в разделе групповой политики Computer Configuration > Preferences > Registry с обновлением параметра (Action: Update) реестра (тип значения REG_SZ) 

При необходимости можем для созданного параметра GPP включить гибкий механизм нацеливания (Закладка Common > Опция Item-level targeting) на конкретный компьютер или группу компьютеров для предварительного тестирования того, что у нас в конечном итоге получиться после применения групповых политик.

Разумеется, нужно выбрать какой-то один вариант, либо с подключением собственного ADM-шаблона, либо с использованием GPP.

После настройки групповых политик на любом подопытном клиентском компьютере выполним обновление командой gpupdate /force c последующей перезагрузкой. После загрузки системы проверим в реестре наличие созданного ключа и попробуем проверить наличие факта обновления хранилища корневых сертификатов. Для проверки воспользуемся простым но действенным примером описанным в заметке Trusted Roots and Disallowed Certificates

Для примера посмотрим, есть ли в хранилище сертификатов компьютера корневой сертификат, использованный для выпуска сертификата, который установлен на сайте с именем (но на сам сайт пока не переходим :)).

Сделать это удобнее всего с помощью средств PowerShell:

С большой долей вероятности у нас не окажется такого корневого сертификата. Если так, то откроем Internet Explorer и обратимся к URL . И если настроенный нами механизм автоматического обновления корневых сертификатов работает успешно, то в event-логе Windows Application при это появится событие c источником (Source) CAPI2, свидетельствующее об успешной загрузке нового корневого сертификата :

После этого мы можем снова выполнить указанную ранее команду запроса к хранилищу корневых сертификатов и увидим, что теперь в нём действительно появился новый корневой сертификат, именно тот который фигурировал в событии event-лога Windows:

Как видим, механизм авто-обновления работает и теперь всё, что остаётся, это организовать поддержку в актуальном состоянии файлов в сетевой папке, запланировав, например на ночное время, ежесуточное выполнение задания обновления ранее упомянутой командой:

На этом всё.

Дополнительные источники информации:

• TechNet Library — Configure Trusted Roots and Disallowed Certificates
• TechNet Wiki — Microsoft Trusted Root Certificate Program Updates
• adevis Blog — Trusted Roots and Disallowed Certificates