Sha1 отпечаток ssl сертификата где взять

Как сделать слепок SSL сертификата

Некоторые сервисы (например, Яндекс.Маркет), требуют предоставления т.н. слепка (отпечатка) SSL сертификата. Получить его можно следующим образом:

1. Дважды нажимаете на замок SSL сертификата в адресной строке

2. Нажимаете кнопку «Данные сертификата», далее «Состав»

3. Последней строчкой будет написан отмечаток SSL сертификата (анг. SSL fingerprint)

Лицензии ISPsystem, Cpanel, Plesk, DirectAdmin, SSL сертификаты, а также услуги администрирования

• ISPmanager
• ISPsystem
• SSL Сертификаты
• DirectAdmin
• Plesk
• cPanel
• Администрирование
• Прочее ПО
• Разработка дополнений ISPsystem

Оплата любым удобным способом, включая карты и электронные деньги. Также работаем с юридическими лицами и бюджетными учреждениями.

Лицензии на программное обеспечение, SSL сертификаты, а так же услуги администрирования

© ISPlicense, 2010 — 2023

Изменения алгоритмов безопасности SSL-сертификатов с SHA-1 на SHA-2

Если у вас есть активный SSL-сертификат, то проверить его алгоритм шифрования можно, используя данную ссылку. Алгоритм шифрования существующего SSL-сертификата можно изменить c SHA-1 на SHA-2 только сделав перевыпуск сертификата. Чтобы успешно перевыпустить сертификат, который станет использовать алгоритм SHA-2, пожалуйста, прочтите данную статью.

Хотим обратить внимание, что для корректной работы SSL-сертификата с алгоритмом шифрования SHA-2 требуется, чтобы промежуточные сертификаты также были созданы для работы с алгоритмом SHA-2. Т.е. при перевыпуске сертификата вы получите SSL-сертификат с алгоритмом шифрования SHA-2 и новый промежуточный сертификат. Для корректной работы нового алгоритма шифрования SHA-2 потребуется установить новый SSL-сертификат и промежуточный сертификат.

Новые SSL-сертификаты выпускаются с алгоритмом шифрования SHA-2 начиная с 6-го ноября. Чтобы приобрести сертификат с алгоритмом шифрования SHA-1, пожалуйста, обратитесь к нам в службу поддержки с помощью тикет или чат-систем.

Для чего используется новый алгоритм безопасности SHA-2?

Алгоритм шифрования является неотъемлемой частью безопасности SSL и является одним из ключевых пунктов, который создаёт безопасность для разных браузеров, приложений и программного обеспечения.

На данный момент алгоритм SHA-1 является наиболее популярным и широко используемым алгоритмом шифрования. Этот алгоритм заменил алгоритм-шифрования MD5 полностью еще в 2004 году, когда алгоритм шифрования MD5 считался абсолютно небезопасным. Хотя SHA-1 всё ещё безопасный алгоритм шифрования, тем не менее, он заменяется на более безопасный алгоритм SHA-2.

Алгоритм шифрования SHA-1 до сих пор считается безопасным для использования, но интернет сообщество и некоторые крупные веб-компании, такие как Microsoft и Google уже считают, что мир должен перейти на более высокий уровень безопасности с помощью алгоритма шифрования SHA-2 для SSL-сертификатов, чтобы предотвратить взлом и кражу информации. Корпорация Microsoft заявила о необходимости рассмотреть вопрос о переходе к алгоритму SHA-2 еще в ноябре 2013 года. Процесс перехода не был очень активен до начала сентября 2014 года, когда корпорация Google проинформировала общественность, что они начинают использовать SSL-сертификаты с алгоритмом SHA-2 для своей продукции, начиная с версии Google Chrome 39.

Ищете, где купить дешевые SSL-сертификаты? Смотрите наши предложения от центров сертификации Comodo, GeoTrust, Thawte и Symantec по доступным ценам.

Как узнать хэш сертификата

Добрый день уважаемые читатели и гости блога pyatilistnik.org, в прошлый раз я вам подробно рассказал про ошибку с отсутствием библиотеки VCRUNTIME140.dll, сегодня хочу поговорить , о том, как узнать хэш сертификата безопасности, иногда бывают ситуации, что требуется предоставить данную информацию. Думаю, что начинающим специалистам, это будет интересно.

Что такое отпечаток сертификата (Certificate thumbprint)

Отпечаток сертификата (Certificate thumbprint) — это хэш сертификата, вычисляемый по всем данным сертификата и его подпись. Отпечатки используются в качестве уникальных идентификаторов для сертификатов, в приложениях при принятии решений о доверии, в файлах конфигурации и отображаются в интерфейсах.

И так про определение хэша и его виды, я вам подробно уже рассказывал, кто не видел эту статью, советую ее посмотреть, будет очень познавательно. Там алгоритмов очень много, нас это сегодня не интересует, нам нужно его значение. Я покажу вам два метода, но уверен, что их гораздо больше.

• Посмотреть через браузер или оснастку mmc
• Посмотреть через командную строку
• Посмотреть через PowerShell

Узнаем кэш сертификата в браузере

Найдите любой интересующий вас сайт, я выберу свой проект https://basis.myseldon.com/ru. Как видите у него есть сертификат, об этом говорит замочек перед адресом сайта.

Через командную строку

netsh http show sslcert

Как видите, данный метод еще быстрее, для примера я вам показал вывод командной строки и сертификат открытый в Internet Explore. Надеюсь вам помогла данная информация в поиске значения хэш у сертификата.

Получить отпечаток сертификата с помощью PowerShell

Get-ChildItem -path cert:\LocalMachine\My

Та же можно вывести более детальную информацию по сертификатам и сделать небольшое форматирование выходных данных:

Get-ChildItem -Path cert:\LocalMachine\My\ | Format-Table Subject, FriendlyName, Thumbprint, NotAfter -AutoSize

В результате полезное еще видеть столбец NotAfter для понимания срока действия сертификата.

На этом у меня все. Мы с вами разобрали методы получения информации, о отпечатке сертификатов (Certificate thumbprint), с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Популярные Похожие записи:

• Как обновить сертификат на WAP и ADFS серверах
• Ошибка certificate chain processed corrently 0x800b0112
• Ошибка 0x907 при подключении к RDP
• Как узнать версию php онлайн
• Просмотр и очистка DFS кэша
• Отслеживание даты истечения CRL

Настройка доверенных SSL/TLS сертификатов для защиты RDP подключений

15.11.2022

itpro

Windows 10, Windows Server 2016, Групповые политики

комментариев 20

В этой статье мы покажем, как использовать доверенные SSL/TLS сертификаты для защиты RDP подключений к компьютерам и серверам Windows в домене Active Directory. Эти сертфикаты мы будем использовать вместо самоподписанных RDP сертификатов (у пользователей появляется предупреждение о невозможности проверки подлинности при подключению к RDP хосту с таким сертификатом). В этом примере мы настроим специальный шаблон для выпуска RDP сертификатов в Certificate Authority и настроим групповую политику для автоматического выпуска и привязки SSL/TLS сертификата к службе Remote Desktop Services.

Предупреждение о самоподписанном сертификате RDP

По умолчанию в Windows для защиты RDP сессии генерируется самоподписанный

сертификат. В результате при первом подключении к RDP/RDS серверу через клиента mstsc.exe, у пользователя появляется предупреждение:

Не удалось проверить подлинность удаленного компьютер из-за проблем с сертификатом безопасности. Ошибка сертификата: сертификат выдан не имеющим доверия центром сертификации.

Чтобы продолжить установление RDP подключении пользователь должен нажать кнопку Да. Чтобы RDP предупреждение не появлялось каждый раз, можно включить опцию “Больше не выводить запрос о подключениях к этому компьютеру».

При этом отпечаток RDP сертификата сохраняется на клиенте в параметре CertHash в ветке реестра с историей RDP подключений (HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\). Если вы скрыли уведомление о невозможности проверить подлинность RDP сервера, чтобы сбросить настройки, удалите ключ с отпечатком сертификата из реестра.

Несмотря на то, что для подключения используется самоподписанный сертификат, ваше RDP подключение защищено, а трафик зашифрован.

Создаем шаблон RDP сертификата в центре сертификации (CA)

Попробуем использовать для защиты RDP подключений доверенный SSL/TLS сертификат, выданный корпоративным центром сертификации. С помощью такого сертификата пользователь может выполнить проверку подлинности RDP сервера при подключении. Предположим, что у вас в домене уже развернут корпоративной центр сертификации (Microsoft Certificate Authority), в этом случае вы можете настроить автоматическую выдачу и подключение сертификатов всем компьютерам и серверам Windows в домене.

Н на вашем CA нужно создать новый тип шаблона сертификата для RDP/RDS серверов.

1. Запустите консоль Certificate Authority и перейдите в секцию Certificate Templates;
2. Сделайте копию шаблона сертификата Computer (Certificate Templates -> Manage -> Computer -> Duplicate);
   
3. На вкладке General укажите имя нового шаблона сертификата – RDPTemplate. Убедитесь, что значение поля Template Name полностью совпадает с Template display name;
   
4. На вкладке Compatibility укажите минимальную версию клиентов в вашем домене (например, Windows Server 2008 R2 для CA и Windows 7 для клиентов). Тем самым будут использоваться более стойкие алгоритмы шифрования;
5. Теперь на вкладке Extensions в политике приложений (Application policy) нужно ограничить область использования такого сертификата только для Remote Desktop Authentication (укажите следующий object identifier — 1.3.6.1.4.1.311.54.1.2). Нажмите Add -> New, создайте новую политику и выберите ее;
   
6. В настройках шаблона сертификата (Application Policies Extension) удалите все политики кроме Remote Desktop Authentication;
7. Чтобы использовать данный шаблон RDP сертификатов на контролерах домена, откройте вкладку Security, добавьте группу Domain Controllers и включите для нее опцию Enroll и Autoenroll;
   
8. Сохраните шаблон сертификата;
9. Теперь в оснастке Certificate Authority, щёлкните по папке Certificate Templates, выберите New ->Certificate Template to Issue -> выберите созданный шаблон RDPTemplate.
   

Настройка групповой политики для выдачи RDP сертификатов

Теперь нужно настроить доменную политику, которая будет автоматически назначать RDP сертификат компьютерам/серверам согласно настроенного шаблона.

Предполагается, что все компьютеры домена доверяют корпоративному центру сертификации, т.е. корневой сертификат через GPO добавлен в доверенные корневые центры сертификации.

1. Откройте консоль управления доменными групповыми политиками gpmc.msc, создайте новый объект GPO и назначьте его на OU с RDP/RDS серверами или компьютерами, для которых нужно автоматически выдавать TLS сертификаты для защиты RDP подключения;
2. Перейдите в раздел GPO: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security. Включите политику Server Authentication Certificate Template. Укажите имя шаблона CA, который вы создали ранее (RDPTemplate);
   
3. Затем в этом же разделе GPO включите политику Require use of specific security layer for remote (RDP) connections и установите для нее значение SSL;
4. Для автоматического продления RDP сертификата, перейдите в раздел GPO Computer configuration -> Windows settings -> Security Settings -> Public Key Policies и включите политику Certificate Services Client – Auto-Enrollment Properties. Выберите опции “Renew expired certificates, update pending certificates and remove revoked certificates” и “Update certificates that use certificate templates”;
   
5. Если вы хотите, чтобы клиенты всегда проверяли сертификат RDP сервера, вам нужно настроить политику Configure Authentication for Client = Warn me if authentication fails (секция GPO Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Settings -> Remote Desktop Connection Client);
6. Если нужно, можете через политики файервола открыть входящий RDP порт TCP/UDP 3389;
7. Осталось обновить политики на клиенте, запустить консоль сертификатов компьютера (Certlm.msc), и проверить, что в разделе Personal -> Certificates появился сертификат для Remote Desktop Authentication, выданный вашим CA.

Если политики не применились, для диагностики GPO воспользуйтесь утилитой gpresult и этой статьей.

Для применения нового RDP сертификата, перезапустите службу Remote Desktop Services:

Get-Service TermService -ComputerName msk-dc01| Restart-Service –force –verbose

Теперь при RDP подключении к серверу перестанет появляться запрос на доверие сертификату (чтобы появился запрос о доверии сертификату, подключитесь к серверу по IP адресу вместо FQDN имени сервера, для которого выпущен сертификат). Нажмите кнопку “Посмотреть сертификат”, перейдите на вкладку “Состав”, скопируйте значение поля “Отпечаток сертификата”.

Также можете в консоли Certification Authority в секции Issued Certificates проверить, что по шаблону RDPTemplate был выдан сертификат определённому Windows компьютеру/серверу. Также проверьте значение Thumbprint сертификата:

Теперь сравните полученные данные с отпечатком сертификата, который используется службой Remote Desktop Service. Вы можете посмотреть значение отпечатка сертификата службы RDS в реестре (ветка HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations, параметр TemplateCertificate) или командой PowerShell: Get-WmiObject -Class «Win32_TSGeneralSetting» -Namespace root\cimv2\terminalservices|select SSLCertificateSHA1Hash

Теперь, при подключении к удаленном столу любого сервера или компьютера, на который действует эта политика, вы не увидите предупреждения о недоверенном RDP сертификате.

Подписываем RDP файл и добавляем отпечаток доверенного RDP сертификата

Если у вас отсутствует CA, но вы хотите, чтобы при подключении к RDP/RDS серверу у пользователей не появлялось предупреждения, вы можете добавить сертификат в доверенные на компьютерах пользователей.

Как описано выше получите значение отпечатка (Thumbprint) RDP сертификата:

Get-WmiObject -Class «Win32_TSGeneralSetting» -Namespace root\cimv2\terminalservices|select|select SSLCertificateSHA1Hash

Используйте этот отпечаток для подписывания .RDP файла с помощью RDPSign.exe:

rdpsign.exe /sha256 65A27B2987702281C1FAAC26D155D78DEB2B8EE2 «C:\Users\root\Desktop\rdp.rdp»

Теперь через GPO добавим этот отпечаток сертификата в доверенные у пользователей. Укажите отпечатки (через точку с запятою) в политике Specify SHA1 thumbprints of certificates representing trusted .rdp publishers (Указать отпечатки SHA1 сертификатов, представляющих доверенных издателей RDP) в секции Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Settings -> Remote Desktop Connection Client.

Чтобы работал прозрачных RDP вход без ввода пароля (RDP Single Sign On), нужно настроить политику Allow delegation defaults credential и указать в ней имена RDP/RDS серверов (см. статью).

Предыдущая статья Следующая статья