Как установить сертификат в телефон

Современные интернет построен так, что у каждого сайта, работающего с данными пользователей, должен быть TLS-сертификат — цифровая подпись домена, подтверждающая его подлинность. Если этот сертификат отозван, ни один браузер не пустит пользователя на сайт — это сделано из соображений безопасности.

В конце сентября Сбер перевёл свой основной сайт на российский сертификат, выпущенный Национальным удостоверяющим центром Минцифры. В будущем на такие перейдут все сервисы Сбера — так же могут поступить и другие системообразующие организации, попавшие под зарубежные санкции (велика вероятность, что они не смогут продлить существующие сертификаты).

Чтобы они у вас открывались, необходимо установить российские сертификаты на свои устройства.

Что нужно знать до установки

• Сертификат понадобится на всех устройствах, с которых вы планируете заходить на требующие его отечественные сайты. Их придётся установить на смартфон, компьютер и/или планшет отдельно.
• Для доступа к российским сервисам через приложение, а не сайт, сертификат не нужен — приложение «Госуслуг», мобильный клиент «СберБанк Онлайн» и другие программы продолжат работать.
• На официальном сайте «Госуслуг» есть список порталов, которым выдали отечественный сертификат — доступ без российской цифровой подписи будет ограничен только к ним.

Самый простой способ — использовать российский браузер

Сейчас необходимые сертификаты поддерживаются только российскими веб-обозревателями — Яндекс Браузером и Atom от VK (Mail.Ru). Подробности о работе приложения от «ВКонтакте» неизвестны, но Яндекс.Браузер раскрыл свои алгоритмы. Он применяет сертификаты не для всего рунета, а только для тех доменов, которым выданы эти цифровые подписи — если применять сертификаты сразу на всех сайтах, порталы без их наличия просто не открывались бы.

Однако если вы не хотите использовать отечественный браузер на всех своих устройствах, российские сертификаты можно встроить и в саму операционную систему. В таком случае получится использовать любой веб-обозреватель, будь то Chrome, Opera, Safari или любой другой.

Установка на Android (Xiaomi и другие)

1. Откройте «Госуслуги» и зайдите на страницу «Поддержка работы сайтов с российскими сертификатами».
2. Перейдите к разделу сертификатов для Android и скачайте корневой.
3. После окончания загрузки перейдите в «Настройки» смартфона, а затем в окне поиска введите «Сертификат» (если этого поля для поиска нет, потяните пункты настроек вниз).

4. Выберите «Сертификат центра сертификации» (название пункта может отличаться в зависимости от прошивки»). Если возникнет предупреждение о возможной угрозе конфиденциальности, пропустите его — нажмите «Всё равно установить» и введите код-пароль от смартфона (который используется при разблокировке).

5. В открывшемся файловом менеджере в папке «Загрузки» или Downloads (либо в разделе «Недавние») выберите Russian Trusted Root CA — имя файла может быть russian_trusted_root_ca.cer. Если сертификат успешно установлен, на экране появится соответствующая надпись.

6. Вернитесь на сайт «Госуслуг» и аналогичным образом установите второй сертификат — выпускающий. На этапе выбора сертификата вам потребуется выбрать Russian Trusted Sub CA, то есть другой файл — russian_trusted_sub_ca.cer.

Чтобы проверить, успешно ли установились сертификаты, необходимо вернуться к «Настройкам» смартфона и в поле поиска ввести «Надежные сертификаты» (или «Надежные учетные данные») и открыть найденный пункт. В нём в категории «Пользователь» должны быть два сертификата: Russian Trusted Root CA и Russian Trusted Sub CA.

Установка на смартфонах и планшетах Samsung

В гаджетах Samsung используется фирменная прошивка, в которой порядок установки сертификатов немного отличается.

1. Откройте «Госуслуги» и зайдите на страницу «Поддержка работы сайтов с российскими сертификатами».
2. Перейдите к разделу сертификатов для Android и скачайте корневой.

   Может появиться следующая ошибка (это нормально, пропустите её нажатием кнопки «ОК»):

Невозможно установить сертификаты CA

Этот сертификат от приложения null необходимо установить в меню «Настройки». Устанавливайте сертификаты только от ЦС надежных организаций.

3. Перейдите в «Настройки» смартфона, а затем в окне поиска введите «Сертификат» (значок лупы в правом верхнем углу).

4. Выберите пункт «Сертификат СA», а затем его же ещё раз в новом меню. Если возникнет предупреждение о возможной угрозе конфиденциальности, пропустите его — нажмите «Установить в любом случае» и введите код-пароль от смартфона (который используется при разблокировке).

5. В открывшемся файловом менеджере в папке «Загрузки» или Downloads (или разделе «Недавние») выберите Russian Trusted Root CA — имя файла может быть russian_trusted_root_ca.cer. Если сертификат успешно установлен, на экране появится соответствующая надпись.

6. Вернитесь на сайт «Госуслуг» и аналогичным образом установите второй сертификат — выпускающий. На этапе выбора сертификата вам потребуется выбрать Russian Trusted Sub CA, то есть другой файл — russian_trusted_sub_ca.cer.

Чтобы проверить, успешно ли установились сертификаты, необходимо вернуться к «Настройкам» смартфона и в поле поиска ввести «Сертификаты безопасности» (либо «Надежные сертификаты» или «Надежные учетные данные») и открыть найденный пункт. В нём в категории «Сертификаты безопасности» во вкладке «Пользователь» должны быть два сертификата: Russian Trusted Root CA и Russian Trusted Sub CA.

Установка на iOS (iPhone и iPad)

1. Откройте «Госуслуги» и зайдите в раздел «Поддержка работы сайтов с российскими сертификатами».
2. Перейдите к разделу сертификатов для iOS и нажмите на кнопку «Скачать профиль». После этого на экране появится уведомление «Веб-сайт пытается загрузить профиль конфигурации. Разрешить?» — разрешите. Затем должно появиться уведомление о том, что профиль загружен.

3. Перейдите в «Настройки» устройства и выберите появившийся пункт «Профиль загружен» (под вашим именем в iCloud). Откроется окно установки профиля — нажмите в правом верхнем углу «Установить» и введите код-пароль (который используется при разблокировке).

4. Отобразится окно-предупреждение — снова нажмите «Установить» в правом верхнем углу, а затем эту же кнопку внизу. Должно появиться меню с оглавлением «Профиль установлен» — справа вверху нажмите на «Готово».
5. Теперь необходимо включать доверие сертификатам. Вернитесь в «Настройки» устройства и перейдите в раздел «Основные» ➝ «Об этом устройстве» ➝ «Доверие сертификатам» (в самом низу). Включите доверие сертификату Russian Trusted Root CA, сдвинув переключатель справа от него (ползунок должен стать зелёным). В появившемся окне нажмите «Дальше».

Установка на компьютер Windows

1. Откройте «Госуслуги» и зайдите в раздел «Поддержка работы сайтов с российскими сертификатами».
2. Перейдите к разделу сертификатов для Windows и скачайте первый — корневой.
3. Запустите скачанный файл russian_trusted_root_ca.cer, затем нажмите «Открыть», а после — «Установить сертификат».

4. Откроется «Мастер импорта сертификатов». Выберите пункт «Текущий пользователь» и кнопку «Далее».
5. Отметьте пункт «Поместить все сертификаты в следующее хранилище», нажмите на кнопку «Обзор» и кликните на папку «Доверенные корневые центры сертификации». Затем нажмите на «ОК» и «Далее». В новом окне завершения нажмите «Готово». Если откроется предупреждение системы безопасности, нажмите «Да».

6. Вернитесь на сайт «Госуслуг» и аналогичным образом установите второй сертификат — выпускающий. Единственная загвоздка — в меню импорта сертификатов выберите «Автоматические выбирать хранилище на основе типа сертификата».

Установка на macOS (Mac, MacBook)

1. Откройте «Госуслуги» и зайдите в раздел «Поддержка работы сайтов с российскими сертификатами».
2. Перейдите к разделу сертификатов для macOS и скачайте первый — корневой.
3. Запустите скачанный файл RussianTrustedCA.pem. Откроется приложение «Связка ключей», введите имя пользователя и пароль от текущего профиля на компьютере, а затем нажмите на «Изменить связку ключей».

4. В «Связке ключей» на вкладке «Сертификаты» в пункте «Вход» (слева) найдите Russian Trusted Root CA и Russian Trusted Sub CA — выберите первый. Раскройте вкладку «Доверие» (под значком сертификата слева) и установите значение «Всегда доверять» в пункте «Параметры использования сертификата». Введите имя пользователя и пароль, а затем нажмите на «Обновить настройки».

5. Повторите те же действия из четвёртого пункта, но уже для второго сертификата — Russian Trusted Sub CA.

Prior to Android KitKat you have to root your device to install new certificates.

From Android KitKat (4.0) up to Marshmallow (6.0) it’s possible and easy. I was able to install the Charles Web Debbuging Proxy cert on my un-rooted device and successfully sniff SSL traffic.

Extract from http://wiki.cacert.org/FAQ/ImportRootCert

Before Android version 4.0, with Android version Gingerbread & Froyo, there was a single read-only file ( /system/etc/security/cacerts.bks ) containing the trust store with all the CA (‘system’) certificates trusted by default on Android. Both system apps and all applications developed with the Android SDK use this. Use these instructions on installing CAcert certificates on Android Gingerbread, Froyo, …

Starting from Android 4.0 (Android ICS/’Ice Cream Sandwich’, Android 4.3 ‘Jelly Bean’ & Android 4.4 ‘KitKat’), system trusted certificates are on the (read-only) system partition in the folder ‘/system/etc/security/’ as individual files. However, users can now easily add their own ‘user’ certificates which will be stored in ‘/data/misc/keychain/certs-added’.

System-installed certificates can be managed on the Android device in the Settings -> Security -> Certificates -> ‘System’-section, whereas the user trusted certificates are manged in the ‘User’-section there. When using user trusted certificates, Android will force the user of the Android device to implement additional safety measures: the use of a PIN-code, a pattern-lock or a password to unlock the device are mandatory when user-supplied certificates are used.

Installing CAcert certificates as ‘user trusted’-certificates is very easy. Installing new certificates as ‘system trusted’-certificates requires more work (and requires root access), but it has the advantage of avoiding the Android lockscreen requirement.

From Android N (7.0) onwards it gets a littler harder, see this extract from the Charles proxy website:

As of Android N, you need to add configuration to your app in order to
have it trust the SSL certificates generated by Charles SSL Proxying.
This means that you can only use SSL Proxying with apps that you
control.

In order to configure your app to trust Charles, you need to add a
Network Security Configuration File to your app. This file can
override the system default, enabling your app to trust user installed
CA certificates (e.g. the Charles Root Certificate). You can specify
that this only applies in debug builds of your application, so that
production builds use the default trust profile.

Add a file res/xml/network_security_config.xml to your app:

<network-security-config>    
    <debug-overrides> 
        <trust-anchors> 
            <!-- Trust user added CAs while debuggable only -->
            <certificates src="user" /> 
        </trust-anchors>    
    </debug-overrides>  
</network-security-config>

Then add a reference to this file in your app’s manifest, as follows:

<?xml version="1.0" encoding="utf-8"?> 
<manifest>
    <application android:networkSecurityConfig="@xml/network_security_config">
    </application> 
</manifest>

Prior to Android KitKat you have to root your device to install new certificates.

From Android KitKat (4.0) up to Marshmallow (6.0) it’s possible and easy. I was able to install the Charles Web Debbuging Proxy cert on my un-rooted device and successfully sniff SSL traffic.

Extract from http://wiki.cacert.org/FAQ/ImportRootCert

Before Android version 4.0, with Android version Gingerbread & Froyo, there was a single read-only file ( /system/etc/security/cacerts.bks ) containing the trust store with all the CA (‘system’) certificates trusted by default on Android. Both system apps and all applications developed with the Android SDK use this. Use these instructions on installing CAcert certificates on Android Gingerbread, Froyo, …

Starting from Android 4.0 (Android ICS/’Ice Cream Sandwich’, Android 4.3 ‘Jelly Bean’ & Android 4.4 ‘KitKat’), system trusted certificates are on the (read-only) system partition in the folder ‘/system/etc/security/’ as individual files. However, users can now easily add their own ‘user’ certificates which will be stored in ‘/data/misc/keychain/certs-added’.

System-installed certificates can be managed on the Android device in the Settings -> Security -> Certificates -> ‘System’-section, whereas the user trusted certificates are manged in the ‘User’-section there. When using user trusted certificates, Android will force the user of the Android device to implement additional safety measures: the use of a PIN-code, a pattern-lock or a password to unlock the device are mandatory when user-supplied certificates are used.

Installing CAcert certificates as ‘user trusted’-certificates is very easy. Installing new certificates as ‘system trusted’-certificates requires more work (and requires root access), but it has the advantage of avoiding the Android lockscreen requirement.

From Android N (7.0) onwards it gets a littler harder, see this extract from the Charles proxy website:

As of Android N, you need to add configuration to your app in order to
have it trust the SSL certificates generated by Charles SSL Proxying.
This means that you can only use SSL Proxying with apps that you
control.

In order to configure your app to trust Charles, you need to add a
Network Security Configuration File to your app. This file can
override the system default, enabling your app to trust user installed
CA certificates (e.g. the Charles Root Certificate). You can specify
that this only applies in debug builds of your application, so that
production builds use the default trust profile.

Add a file res/xml/network_security_config.xml to your app:

<network-security-config>    
    <debug-overrides> 
        <trust-anchors> 
            <!-- Trust user added CAs while debuggable only -->
            <certificates src="user" /> 
        </trust-anchors>    
    </debug-overrides>  
</network-security-config>

Then add a reference to this file in your app’s manifest, as follows:

<?xml version="1.0" encoding="utf-8"?> 
<manifest>
    <application android:networkSecurityConfig="@xml/network_security_config">
    </application> 
</manifest>

Хотя наш терминал готов к работе одновременно с тем, как мы включаем его в первый раз, правда в том, что бывают случаи, когда его безопасность заставляет нас использовать известные цифровые сертификаты. Эта опция доступна на всех Android терминалы и могут быть необходимо для успешного проведения некоторых процедур.

Охранник — один из самых важных разделов наших смартфонов. Как мы говорим, есть определенные моменты, когда приложению или сети нужен сертификат, которого у нас нет , и которые мы должны использовать для выполнения конкретной задачи или процедуры.

Что такое цифровые сертификаты?

Так называемые цифровые сертификаты идентифицируют компьютеры, телефоны и приложения по соображениям безопасности. Сопоставимым примером могут быть наши водительские права, которые используются для подтверждения того, что мы можем водить машину на законных основаниях. Таким же образом цифровой сертификат идентифицирует наше устройство и подтверждает имеющиеся у него права доступа.

В нашем мобильном мы можем найти несколько типов устройств. Первые установлены в самой системе и активны, поэтому все функции нашего мобильного телефона могут работать нормально. Вторые — те, которые мы установили вручную, чтобы получить доступ к определенным услугам, таким как как веб-страницы госуслуг, где уровень безопасности высок по понятным причинам.

Если мы зайдем в Настройки / Безопасность / Шифрование и учетные данные, мы можем ознакомиться со всеми этими сертификатами. Как мы говорим, цель состоит в том, чтобы наш терминал может без проблем получить доступ к большому количеству функций. Например, если мы посмотрим на длинный список, мы увидим некоторые из них, такие как «Google Trust Services», отвечающие за работу с сертификатами как Google, так и всего Alphabet.

Как устанавливаются новые сертификаты?

Поскольку все чаще проводить процедуры, требующие обмена конфиденциальной информацией, это Возможно, что в некоторых случаях нам придется установить цифровой сертификат. Например, в Испании это Фабрика национальной валюты и марок, которая действует как «поставщик сертификационных услуг», предоставляя нам различные типы электронных сертификатов, с помощью которых мы можем идентифицировать себя и выполнять формальные процедуры. безопасно через Интернет.

Чтобы установить новые сертификаты, мы должны сначала скачал файл с соответствующего веб-сайта. После этого мы нажимаем на Настройки / Безопасность / Шифрование и учетные данные. Теперь коснемся установки сертификатов из хранилища.

В верхней левой части касаемся «установить из хранилища» и выберите место, где мы сохранили сертификат . Трогаем файл и пишем название сертификата. Наконец, мы выбираем VPN, Приложения или Wi-Fi.

Путь может измениться, поскольку в разделе «Установить сертификаты» мы можем напрямую найти выбор для установки трех типов сертификатов и щелкнуть по каждому из них:

• Сертификаты CA — Это то, что позволяет веб-сайтам, приложениям и VPN шифровать данные.
• Сертификат пользователя: также известный как сертификат гражданина, это цифровой документ, который содержит наши идентификационные данные. Это позволяет вам идентифицировать себя в Интернете и обмениваться информацией с другими людьми и организациями с гарантией, что только мы и другой собеседник можем получить к ним доступ.
• Wi-Fi сертификат: позволяет установить сертификат, который дает доступ к частным сетям Wi-Fi с высоким уровнем безопасности, таким как университетский Wi-Fi.

Удалить личные сертификаты

Возможно, что мы больше не нужен сертификат, или по соображениям безопасности мы хотим отменить его присутствие в нашей системе. В этом случае всегда важно соблюдать осторожность, чтобы не удалить из системы какие-либо сертификаты, которые необходимы для правильной работы телефона. В этом случае мы возвращаемся в Настройки / Безопасность / Шифрование и учетные данные. Затем в хранилище учетных данных мы касаемся «удалить учетные данные» и принимаем.

Войти на сайт

или

Забыли пароль?
Еще не зарегистрированы?