Usaldusväärsete juursertifikaatide loendi värskendamine Windowsis

Kõigil Windowsi versioonidel on sisseehitatud funktsioon juursertifikaatide automaatseks värskendamiseks Microsofti veebisaitidelt. MSFT osana Microsofti usaldusväärse juursertifikaadi programm, haldab ja avaldab oma veebihoidlas klientide ja Windowsi seadmete usaldusväärsete sertifikaatide loendit. Kui selle sertifitseerimisahela kinnitatud sertifikaat viitab selles programmis osalevale juur-CA-le, süsteem laadib selle juursertifikaadi automaatselt alla Windows Update'i serveritest ja lisab selle usaldusväärsete hulka ühed.

Selles artiklis püüame välja selgitada, kuidas käsitsi värskendada TrustedRootCA juursertifikaatide loendit lahtiühendatud (isoleeritud) võrkudes või arvutites/serverites ilma otsese Interneti-juurdepääsuta.

Märge. Kui teie arvutid pääsevad Internetti puhverserveri kaudu, soovitab Microsoft juursertifikaatide automaatseks uuendamiseks avada otsejuurdepääsu (möödapääsu) Microsofti veebisaitidele. Siiski ei ole see ettevõtte piirangute tõttu alati võimalik ega kohaldatav.

Usaldusväärsete juursertifikaatide haldamine opsüsteemides Windows 10 ja 11

Kuidas näha Windowsi arvutis usaldusväärsete juursertifikaatide loendit?

1. Windows 11/10/8.1/7 või Windows Server 2022/2019/2016 töötava arvuti juursertifikaadihoidla avamiseks käivitage mmc.exe konsool;
2. Valige Fail -> Lisa/eemalda lisandmoodul, valige Sertifikaadid (certmgr) lisandmoodulite loendis -> Lisama;
3. Valige, mida soovite hallata kohalikke sertifikaate Arvuti konto;
4. Järgmine -> OK -> OK;
5. Laiendage Sertifikaadid sõlm -> Usaldusväärne Juur Sertifitseerimine Võimud Kauplus. See jaotis sisaldab teie arvuti usaldusväärsete juursertifikaatide loendit.

MMC-konsoolis saate vaadata teavet mis tahes sertifikaadi kohta või eemaldada need usaldusväärsete seast.

Samuti saate PowerShelli abil hankida usaldusväärsete juursertifikaatide loendi koos nende aegumiskuupäevadega.

Get-Childitem sertifikaat:\LocalMachine\root |format-list

Saate loetleda aegunud või järgmise 60 päeva jooksul aeguvad sertifikaadid:

Get-ChildItem sertifikaat:\LocalMachine\root| Kus {$_.NotAfter -lt (Get-Date).AddDays (60)}|valige NotAfter, Subject

Saate juursertifikaadi faili käsitsi üle kanda Windowsi arvutite vahel, kasutades suvandeid Ekspordi/impordi.

1. Suvalise sertifikaadi saad eksportida .CER faili, klõpsates sellel ja valides All Tasks -> Export;
2. Saate selle sertifikaadi importida teise arvutisse, kasutades valikut Kõik ülesanded -> Import.

Kuidas keelata / lubada automaatne juursertifikaatide värskendus Windowsis?

Nagu me mainisime, värskendab Windows automaatselt juursertifikaate. Saate lubada või keelata sertifikaadi uuendamise Windowsis GPO või registri kaudu.

Ava Kohalik rühmapoliitika redaktor (gpedit.msc) ja avage Arvuti konfiguratsioon -> Haldusmallid -> Süsteem -> Interneti-kommunikatsiooni haldus -> Interneti-suhtlus.

The Lülitage juursertifikaatide automaatne värskendamine välja Selles jaotises olev valik võimaldab teil keelata juursertifikaatide automaatse värskendamise Windows Update'i saitide kaudu. Vaikimisi ei ole see reegel konfigureeritud ja Windows proovib alati juursertifikaate automaatselt uuendada.

Kui see GPO suvand pole konfigureeritud ja juursertifikaate automaatselt ei uuendata, kontrollige, kas see säte on registris käsitsi lubatud. Kontrollige registriparameetri väärtust PowerShelli abil:

Get-ItemProperty – tee 'HKLM:\Software\Policies\Microsoft\SystemCertificates\AuthRoot' -nimi DisableRootAutoUpdate

Kui käsk tagastab, et väärtus Keela RootAutoUpdate registri parameeter on 1, siis on teie arvutis juursertifikaatide värskendamine keelatud. Selle lubamiseks muutke parameetri väärtuseks 0.

Certutil: laadige Windows Update'ist alla usaldusväärsed juursertifikaadid

Certutil.exe CLI-tööriista saab kasutada sertifikaatide haldamiseks (kasutusele võetud operatsioonisüsteemis Windows 10, Windows 7 jaoks on saadaval eraldi värskendusena). Seda saab kasutada Windows Update'i juursertifikaatide ajakohase loendi allalaadimiseks ja SST-faili salvestamiseks.

SST-faili loomiseks arvutis, kus töötab Windows 10 või 11 ja millel on otsene juurdepääs Internetile, avage kõrgendatud käsuviip ja käivitage käsk:

certutil.exe -generateSSTFromWU C:\PS\roots.sst

Värskendatud SST-fail. CertUtil: käsk -generateSSTFromWU on edukalt lõpule viidud.

Selle tulemusena kuvatakse sihtkataloogis SST-fail, mis sisaldab juursertifikaatide ajakohast loendit. Selle avamiseks topeltklõpsake. See fail on konteiner, mis sisaldab usaldusväärseid juursertifikaate.

Nagu näete, avaneb tuttav sertifikaadihalduse lisandmoodul, kust saate eksportida kõik oma sertifikaadid. Minu puhul on sertifikaatide nimekirjas olnud 358 punkti. Ilmselgelt ei ole mõistlik sertifikaate eksportida ja ükshaaval paigaldada.

PowerShelli skripti abil saate installida kõik sertifikaadid SST-failist ja lisada need arvutis usaldusväärsete juursertifikaatide loendisse.

$sstStore = ( Get-ChildItem -Path C:\ps\rootsupd\roots.sst)
$sstStore | Impordi sertifikaat - CertStoreLocation Cert:\LocalMachine\Root

Käivitage certmgr.msc lisandmoodul ja veenduge, et kõik sertifikaadid on lisatud Usaldusväärne juursertifitseerimisasutus. Minu näites Windows 11 puhul kasvas juursertifikaatide arv 34-lt 438-le.

Windowsi puhas koopia pärast installimist sisaldab juurpoes ainult väikest arvu sertifikaate. Kui arvuti on Internetiga ühendatud, installitakse ülejäänud juursertifikaadid automaatselt (sisse nõudlus), kui teie seade pääseb juurde HTTPS-i saidile või SSL-sertifikaadile, mille usaldusväärsuses on Microsofti CTL-i sõrmejälg kett. Seetõttu ei ole reeglina vaja kõiki Microsofti usaldatavaid sertifikaate kohe kohalikku sertifitseerimispoodi lisada.

Sertifikaatide usaldusnimekiri (STL) Windowsis

A Sertifikaatide usaldusnimekiri (CTL) on lihtsalt andmete loend (nt sertifikaadi räsid), millele on alla kirjutanud usaldusväärne osapool (antud juhul Microsoft). Windowsi klient laadib perioodiliselt alla Windows Update'ist selle CTL-i, mis salvestab kõigi usaldusväärsete juur-CA-de räsid. See peaks tuleb mõista, et see CTL ei sisalda sertifikaate endid, vaid ainult nende räsi ja atribuute (nt Friendly nimi). Windowsi seadmed saavad nõudmisel usaldusväärse sertifikaadi alla laadida Certificate Trust List'ist.

Saate CTL-faili käsitsi alla laadida ja installida. Selleks laadige fail alla http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (uuendatud kaks korda kuus). Mis tahes arhiivi (või isegi Windows Exploreri) abil pakkige arhiivi sisu lahti authrootstl.cab arhiiv. See sisaldab üht authroot.stl faili.

Fail Authroot.stl on konteiner, mis sisaldab usaldusväärsete sertifikaatide pisijälgede loendit sertifikaadi usaldusväärsuse loendi vormingus.

Selle CTL-faili saate installida usaldusväärse juursertifikaadi asutusele, kasutades käsku certutil:

certutil -enterprise -f -v -AddStore "Root" "C:\PS\authroot.stl"

juur "Usaldusväärsed juursertifitseerimisasutused" CTL 0 lisatud poodi. CertUtil: käsk -addstore on edukalt lõpule viidud.

Sertifikaate saate importida ka sertifikaadihalduskonsooli (Usalda juureSertifitseerimisasutused -> Sertifikaadid -> Kõik ülesanded -> Import). Määrake oma STL-faili tee koos sertifikaadi pisijälgedega.

Pärast käsu käivitamist kuvatakse uus jaotis Sertifikaatide usaldusnimekiri Usaldusväärsed Juursertimiskeskused sertifikaadihalduri konsooli konteiner (certmgr.msc).

Samamoodi saate alla laadida ja installida tühistatud (keelatud) sertifikaatide loendi, mis on juursertifikaadi programmist eemaldatud. Selleks laadige alla disallowedcertstl.cab fail (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), ekstraktige see välja ja lisage see ebausaldusväärsete sertifikaatide poodi käsuga:

certutil -enterprise -f -v -AddStore on keelatud "C:\PS\disallowedcert.stl"

Usaldusväärsete juursertifikaatide värskendamine GPO kaudu isoleeritud keskkonnas

Kui teil on ülesandeks regulaarselt värskendada juursertifikaate Interneti-isoleeritud Active Directory domeenis, on kohalike sertifikaadihoidlate värskendamiseks veidi keerulisem skeem. domeeniga ühendatud arvutid kasutades rühmapoliitikat. Saate konfigureerida lahtiühendatud Windowsi võrkudes olevate kasutajaarvutite juursertifikaadi värskendusi mitmel viisil.

Esimene viis eeldab, et laadite juursertifikaatidega faili regulaarselt käsitsi alla ja kopeerite oma eraldatud võrku. Praeguste Microsofti juursertifikaatidega faili saate alla laadida järgmiselt.

certutil.exe –generateSSTFromWU roots.sst

Seejärel saab selle faili juursertifikaate juurutada SCCM-i või kaudu PowerShelli käivitusskript GPO-s:

$sstStore = (Get-ChildItem -Path \\fr-dc01\SYSVOL\woshub.com\rootcert\roots.sst)
$sstStore | Impordi sertifikaat - CertStoreLocation Cert:\LocalMachine\Root

Teine viis on tegelikud Microsofti juursertifikaadid alla laadida, kasutades käsku:

Certutil -syncWithWU -f \\fr-dc01\SYSVOL\woshub.com\rootcert\

Määratud jagatud võrgukaustas kuvatakse hulk juursertifikaadi faile (CRT-failivorming) (sh failid authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt).

Seejärel kasutage Grupipoliitika eelistused registriparameetri väärtuse muutmiseksRootDirURL all HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate. See parameeter peaks osutama jagatud võrgukaustale, kust teie Windowsi arvutid saavad uued juursertifikaadid. Käivitage domeeni GPMC.msc konsool, looge uus GPO, lülituge poliitika muutmise režiimi ja laiendage jaotist Arvuti konfiguratsioon -> Eelistused -> Windowsi sätted -> register. Looge uus registriatribuut järgmiste sätetega:

• Tegevus: Värskenda
• Taru: HKLM
• Võtme tee: Tarkvara\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
• Väärtuse nimi: RootDirURL
• Tüüp: REG_SZ
• Väärtusandmed: file://\\fr-dc01\SYSVOL\woshub.com\rootcert\

Jääb see poliitika linkida arvuti OU-s ja pärast seda GPO seadete värskendamine kliendis, kontrollige sertifikaadipoest uusi juursertifikaate.

GPO parameeter Lülitage juursertifikaatide automaatne värskendamine välja jaotises Arvuti konfiguratsioon -> Haldusmallid -> Süsteem -> Interneti-suhtluse haldus -> Interneti-side sätted tuleks keelata või konfigureerimata.

Kuidas värskendada usaldusväärseid juursertifikaate Windows 7-s?

Hoolimata asjaolust, et Windows 7 on praegu tugifaasis, kasutavad paljud kasutajad ja ettevõtted seda endiselt.

Pärast puhta Windows 7 kujutise installimist võite avastada, et paljud kaasaegsed programmid ja tööriistad ei tööta sellel, kuna need on allkirjastatud uute sertifikaatidega. Eelkõige on kurdetud, et .Net Framework 4.8 või Microsoft Visual Studio (vs_Community.exe) ei saa installida Windows 7 SP1 x64-le ilma juursertifikaate värskendamata.

Installeri manifesti allkirja valideerimine ebaõnnestus.

Või

NET Frameworki pole installitud, kuna sertifikaadiahelat ei saanud usaldusväärse juurasutuse juurde luua.

Juursertifikaatide värskendamiseks operatsioonisüsteemis Windows 7 peate esmalt alla laadima ja installima MSU värskenduse KB2813430 (https://support.microsoft.com/en-us/topic/an-update-is-available-that-enables-administrators-to-update-trusted-and-disallowed-ctls-in-disconnected-environments-in-windows-0c51c702-fdcc-f6be-7089-4585fad729d6)

Pärast seda saate certutili abil luua juursertifikaatidega SST-faili (praeguses või teises arvutis):

certutil.exe -generateSSTFromWU c:\ps\roots.sst

Nüüd saate importida sertifikaate usaldusväärsetesse sertifikaatidesse:

Jookse MMC -> lisa lisandmoodul -> sertifikaadid -> arvutikonto> kohalik arvuti. Paremklõpsake Usaldusväärne juursertifitseerimisasutus, Kõik ülesanded -> Import, leidke oma SST-fail (failitüübis valige Microsofti jadasertifikaatide pood — *.sst) -> Ava -> Asetage kõik sertifikaadid järgmisesse poodi -> Usaldusväärsed juursertifitseerimisasutused.

Juursertifikaatide värskendamine Windows XP-s tööriista Rootsupd.exe abil

Windows XP-s on rootsupd.exe utiliiti kasutati arvuti juursertifikaatide värskendamiseks. Selles sisalduvate juur- ja tühistatud sertifikaatide loendit uuendati regulaarselt. Tööriista levitati eraldi värskendusena KB931125 (Juursertifikaatide värskendus). Vaatame, kas saame seda nüüd kasutada.

1. Laadige alla rootsupd.exe utiliit, kasutades järgmist linki http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe. Hetkel (jaanuar 2021) link ei tööta, Microsoft otsustas selle avalikkusest eemaldada. Täna saate faili rootsupd.exe alla laadida Kaspersky veebisaidilt — http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip;
2. Windowsi juursertifikaatide installimiseks käivitage lihtsalt rootsupd.exe faili. Kuid proovime selle sisu hoolikamalt uurida. Tõmmake sertifikaadid käivitatavast failist välja käsuga: rootsupd.exe /c /t: C:\PS\rootsupd
3. Sertifikaadid salvestatakse SST-failidesse, nagu authroots.sst, delroot.sst jne. Sertifikaatide eemaldamiseks või installimiseks võite kasutada järgmisi käske.
   updroots.exe authroots.sst
updroots.exe -d delroots.sst

Kuid, nagu näete, loodi need sertifikaadifailid 4. aprillil 2013 (peaaegu aasta enne Windows XP ametliku toe lõppu). Seega pole tööriista sellest ajast peale värskendatud ja seda ei saa kasutada ajakohaste sertifikaatide installimiseks.

Kuid saate kasutada Windows 10/11 tööriista cerutil, et alla laadida root.sst, kopeerida see fail Windows XP-s ja installida sertifikaat, kasutades updroots.exe:

updroots.exe c:\temp\roots.sst

On teavet, et tööriista updroots.exe ei soovitata kasutada Windows 10 1803+ ja Windows 11 kaasaegsetes järgudes, kuna see võib rikkuda seadme Microsofti juur-CA.

Selles artiklis vaatlesime mitmeid viise usaldusväärsete juursertifikaatide värskendamiseks Windowsi võrguarvutites, mis on Internetist eraldatud (ühenduseta keskkond).