Aktualizácia koreňových certifikátov v systéme Windows 10 / Windows Server 2016

Rodina operačných systémov Windows má systém na automatickú aktualizáciu koreňových certifikátov z webovej lokality spoločnosti Microsoft. MSFT ako súčasť koreňového certifikačného programu Microsoft dôveryhodný koreň certifikát program, spravuje a uverejňuje vo svojom internetovom obchode zoznam certifikátov pre klientov a zariadenia Windows. Ak sa overený certifikát vo svojom certifikačnom reťazci odvoláva na koreňovú CA, ktorá sa zúčastňuje na tomto programe, systém sa automaticky stiahne z uzla Windows Update a takýto koreňový certifikát pridá k dôveryhodným.

Systém Windows požaduje raz za týždeň aktualizáciu koreňového certifikátu dôveryhodnosti (CTL). Ak systém Windows nemá priamy prístup do adresára Windows Update, systém nebude môcť aktualizovať koreňové certifikáty, takže používateľ môže mať problémy s otváraním webových stránok (ktorých certifikáty SSL sú podpísané certifikačnou autoritou, ktorá nie je dôveryhodná), pozrite si článok o chybe v prehliadači Chrome „Táto stránka nemôže poskytnúť zabezpečené pripojenie “) alebo s inštaláciou spustením podpísaných aplikácií alebo skriptov.

V tomto článku sa pokúsime prísť na to, ako ručne aktualizovať zoznam koreňových certifikátov v TrustedRootCA v izolovaných sieťach alebo počítačoch / serveroch bez priameho internetového pripojenia..

obsah:

  • Správa koreňových certifikátov počítača v systéme Windows 10
  • Obslužný program rootsupd.exe
  • Certutil: získanie koreňových certifikátov prostredníctvom služby Windows Update
  • Zoznam koreňových certifikátov vo formáte STL
  • Inovácia koreňových certifikátov v systéme Windows pomocou GPO v prostredí s karanténou

poznámka. Ak vaše počítače pristupujú na internet cez proxy server, spoločnosť Microsoft odporúča, aby ste automaticky aktualizovali koreňové certifikáty na počítačoch používateľov, aby ste otvorili priamy prístup (bypass) na webové stránky spoločnosti Microsoft. Nie je to však vždy možné / použiteľné.

Správa koreňových certifikátov počítača v systéme Windows 10

Ako zobraziť zoznam koreňových certifikátov pre počítač so systémom Windows?

  1. Ak chcete otvoriť úložisko koreňových certifikátov počítača v systéme Windows 10 / 8.1 / 7 / Windows Server, spustite konzolu mmc.exe;
  2. lis súbor (Súbor) -> Pridajte alebo odstráňte modul snap-in (Pridať alebo odstrániť modul snap-in), v zozname modulov vyberte položku Certifikácia (Certifikáty) -> pridať (Add);
  3. V dialógovom okne vyberte, čo chcete spravovať certifikáty účet počítača (Počítačový účet);
  4. Ďalej -> Ok -> Ok;
  5. zväčšiť certifikáty (Certifikáty) -> Sklad dôveryhodných koreňových certifikačných autorít (Dôveryhodné koreňové certifikáty). Tento zoznam obsahuje zoznam dôveryhodných certifikátov typu root pre váš počítač..

Zoznam dôveryhodných koreňových certifikátov s dátumami vypršania platnosti môžete získať aj pomocou PowerShell:

Get-Childitem cert: \ LocalMachine \ root | format-list

Môžete uviesť zoznam certifikátov, ktorých platnosť vypršala, alebo ktorých platnosť vyprší v nasledujúcich 30 dňoch:

Get-ChildItem cert: \ LocalMachine \ root | Kde $ _. NotAfter -lt (Get-Date) .AddDays (30)

V konzole mmc si môžete prezerať informácie o ľubovoľnom certifikáte alebo ho z dôveryhodných odstrániť.

Z bezpečnostných dôvodov vám odporúčame, aby ste pravidelne ukladali falošné certifikáty do skladu certifikátov pomocou obslužného programu Sigcheck.

Súbor koreňového certifikátu môžete manuálne preniesť z jedného počítača do druhého prostredníctvom funkcie Export / Import.

  1. Akýkoľvek certifikát .CER môžete exportovať do súboru kliknutím naň a výberom položky „Všetky úlohy“ -> „Export“;
  2. Potom pomocou príkazu dovoz tento certifikát môžete importovať do iného počítača.

Obslužný program rootsupd.exe

V systéme Windows XP sa tento nástroj používa na aktualizáciu koreňových certifikátov rootsupd.exe. Tento obslužný program obsahuje zoznam koreňových a zrušených certifikátov, ktoré boli pravidelne zapojené. Samotný obslužný program bol distribuovaný ako samostatná aktualizácia. KB931125 (Aktualizácia koreňových certifikátov).

  1. Stiahnite si nástroj rootsupd.exe, po kliknutí na odkaz (k 15. júlu 2019 odkaz nefunguje, možno sa spoločnosť Microsoft rozhodla odstrániť ho z verejnej domény. Momentálne si môžete tento nástroj stiahnuť z kaspersky.com - http://media.kaspersky.com/utilities/CorporateUtilities. /rootsupd.zip);
  2. Ak chcete nainštalovať koreňové certifikáty Windows, jednoducho spustite súbor rootsupd.exe. Budeme sa však snažiť dôkladne preskúmať jeho obsah a rozbaliť ho pomocou príkazu: rootsupd.exe / c / t: C: \ PS \ rootsupd
  3. Certifikáty sú obsiahnuté v súboroch SST: authroots.sst, delroot.sst, atď. Na odstránenie / inštaláciu certifikátov môžete použiť príkazy:
    updroots.exe authroots.sst
    updroots.exe -d delroots.sst

ale, Ako vidíte, dátum vytvorenia týchto súborov je 4. apríla 2013 (takmer rok pred ukončením oficiálnej podpory systému Windows XP). Od tej doby teda nebol aktualizovaný obslužný program a nedá sa použiť na inštaláciu aktuálnych certifikátov. Súbor updroots.exe však budeme potrebovať neskôr.

Certutil: získanie koreňových certifikátov prostredníctvom služby Windows Update

Správa a osvedčenie Utility certutil (objavil sa v systéme Windows 10), umožňuje vám stiahnuť aktuálny zoznam koreňových certifikátov z uzlov Windows Update a uložiť aktuálny zoznam koreňových certifikátov do súboru SST..

Ak chcete vygenerovať súbor SST v počítači so systémom Windows 10 s prístupom na internet, spustite nasledujúci príkaz s právami správcu:

certutil.exe -generateSSTFromWU roots.sst

Výsledkom je, že v cieľovom adresári sa objaví súbor SST obsahujúci aktuálny zoznam certifikátov. Otvorte ho dvojitým kliknutím. Tento súbor je kontajner obsahujúci dôveryhodné koreňové certifikáty..

V otvorenom module na správu certifikátov mmc môžete exportovať ktorýkoľvek z prijatých certifikátov. V mojom prípade zoznam osvedčení obsahoval 358 prvkov. Vývoz certifikátov a ich inštalácia samozrejme nie je racionálny.

rada. Na vygenerovanie jednotlivých súborov certifikátov môžete použiť príkaz certutil -syncWithWU. Takto získané certifikáty môžu byť distribuované klientom pomocou GPO.

Ak chcete nainštalovať všetky certifikáty zo súboru SST a pridať ich do zoznamu koreňových certifikátov počítača, môžete použiť príkazy PowerShell:

$ sstStore = (Get-ChildItem - Cesta C: \ ps \ rootsupd \ roots.sst)
$ sstStore | Import-Certificate -CertStoreLocation Cert: \ LocalMachine \ Root

Môžete tiež použiť pomôcku updroots.exe (nachádza sa v archíve rootsupd.exe, ktorý sme rozbalili v predchádzajúcej časti):

updroots.exe roots.sst

Spustite modul snap-in certmgr.msc a overte, či boli všetky certifikáty pridané do úložiska dôveryhodnej koreňovej certifikačnej autority..

Zoznam koreňových certifikátov vo formáte STL

Existuje aj iný spôsob, ako získať zoznam certifikátov od spoločnosti Microsoft. Ak to chcete urobiť, stiahnite súbor http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (aktualizovaný dvakrát mesačne). Pomocou ľubovoľného archivátora (alebo prieskumníka Windows) rozbaľte obsah archívu. authrootstl.kabína. Obsahuje jeden súbor. authroot.STL.

Súbor authroot.stl je kontajner so zoznamom dôveryhodných certifikátov vo formáte Zoznam dôveryhodných certifikátov.

Tento súbor je možné nainštalovať do systému pomocou kontextovej ponuky súboru STL (inštalovať CTL).

Alebo pomocou obslužného programu certutil:

certutil -addstore -f root authroot.stl

Do úložiska bol pridaný root "Dôveryhodné koreňové certifikačné autority" CTL "0". CertUtil: -addstore - príkaz bol úspešne dokončený.

Certifikáty môžete importovať aj z konzoly na správu certifikátov (dôvera koreň osvedčenie úrady ->certifikáty -> Všetky úlohy > import).

Zadajte cestu k svojmu súboru STL pomocou certifikátov.

Po spustení príkazu v konzole správy certifikátov (certmgr.msc) v kontajneri dôveryhodný koreň osvedčenie úrady (Dôveryhodné koreňové certifikáty) sa objaví nová časť s názvom certifikát dôvera zoznam (Zoznam dôveryhodných certifikátov).

Podobne si môžete stiahnuť a nainštalovať zoznam zrušených certifikátov, ktoré boli vylúčené z Programu koreňových certifikátov. na tento účel stiahnite súbor disallowedcertstl.kabína (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), rozbaľte ho a pridajte ho do časti Dôveryhodné certifikáty pomocou príkazu:

certutil -addstore -f disallowedcert.stl

Inovácia koreňových certifikátov v systéme Windows pomocou GPO v prostredí s karanténou

Ak máte za úlohu pravidelne aktualizovať koreňové certifikáty v doméne Active Directory izolovanej od internetu, existuje trochu komplikovanejšia schéma na aktualizáciu miestnych úložísk certifikátov v doménach pomocou skupinových politík. V izolovaných sieťach Windows môžete aktualizovať aktualizácie koreňových certifikátov v počítačoch používateľov niekoľkými spôsobmi.

Prvý spôsob predpokladá, že pravidelne ručne sťahujete a kopírujete do svojej izolovanej siete súbor s koreňovými certifikátmi získaný nasledovne:

certutil.exe -generateSSTFromWU roots.sst

Potom je možné certifikáty z tohto súboru nainštalovať pomocou prihlasovacieho skriptu SCCM alebo PowerShell v GPO:

$ sstStore = (Get-ChildItem -Path \\ dc01 \ SYSVOL \ winitpro.ru \ rootcert \ roots.sst)
$ sstStore | Import-Certificate -CertStoreLocation Cert: \ LocalMachine \ Root

Druhý spôsob zahŕňa získanie príslušných koreňových certifikátov pomocou príkazu:

Certutil -syncWithWU -f \\ dc01 \ SYSVOL \ winitpro.ru \ rootcert \

V zadanom sieťovom adresári sa zobrazí niekoľko súborov koreňových certifikátov (CRT) vrátane súborov (authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt).

Potom pomocou GPP musíte zmeniť hodnotu databázy Registry RootDirURL  vo vetve HKLM \ Software \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate. Tento parameter by mal odkazovať na sieťový priečinok, z ktorého musia klienti dostávať nové koreňové certifikáty. Prejdite do časti editora GPO Konfigurácia počítača -> Predvoľby -> Nastavenia systému Windows -> Register. A vytvorte nové nastavenie databázy Registry s hodnotami:

akčné: Aktualizácia
úľ: HKLM
Kľúčová cesta: Softvér \ Microsoft \ SystemCertifikuje \ AuthRoot \ AutoUpdate
Názov hodnoty: RootDirURL
typ: REG_SZ
Hodnotové údaje: file: // \\ dc01 \ SYSVOL \ winitpro.ru \ rootcert \

Zostáva priradiť túto politiku počítačom a po aktualizácii politík skontrolujte nové kořenové certifikáty v obchode.

politika Vypnite automatickú aktualizáciu koreňových certifikátov v časti Konfigurácia počítača -> Šablóny pre správu -> Systém -> Správa internetovej komunikácie -> Nastavenia internetovej komunikácie by mali byť vypnuté alebo nenakonfigurované.

V tomto článku sme skúmali niekoľko spôsobov aktualizácie koreňových certifikátov na izolovanom internete od systému Windows..