A Windows operációs rendszerek családja rendelkezik egy rendszerrel, amely automatikusan frissíti a gyökértanúsítványokat a Microsoft webhelyéről. Az MSFT a gyökér tanúsító program részeként Microsoft Megbízható gyökér bizonyítvány program, fenntartja és közzéteszi online áruházában a Windows ügyfelek és eszközök tanúsítványainak listáját. Ha a hitelesített tanúsítvány a tanúsítási láncában arra a gyökér CA-ra utal, amely részt vesz a programban, a rendszer automatikusan letölti a Windows Update csomópontból, és hozzáad egy ilyen gyökér tanúsítványt a megbízhatóhoz.
A Windows hetente egyszer kéri a bizalmi tanúsítvány (CTL) gyökértanúsítványának frissítését. Ha a Windows nem rendelkezik közvetlen hozzáféréssel a Windows Update könyvtárhoz, akkor a rendszer nem fogja tudni frissíteni a gyökér tanúsítványokat, így a felhasználónak problémái lehetnek a webhelyek megnyitásával (amelyek SSL tanúsítványait egy CA hitelesíti, és amelyek nem megbízhatók, lásd: "Ez a webhely" nem tud biztonságos kapcsolatot biztosítani "), vagy telepítéssel aláírt alkalmazások vagy szkriptek indításával.
Ebben a cikkben megpróbáljuk kitalálni, hogyan lehet manuálisan frissíteni a gyökértanúsítványok listáját a TrustedRootCA-ban izolált hálózatokon vagy számítógépeken / kiszolgálókon, közvetlen internetkapcsolat nélkül..
Tartalom:
- A számítógép gyökér tanúsítványainak kezelése a Windows 10 rendszerben
- A rootsupd.exe segédprogram
- Certutil: gyökér tanúsítványok beszerzése a Windows Update segítségével
- A gyökértanúsítványok listája STL formátumban
- A gyökértanúsítványok frissítése a Windows operációs rendszer GPO használatával homokozó környezetben
A számítógép gyökér tanúsítványainak kezelése a Windows 10 rendszerben
Hogyan lehet megtekinteni a Windows-alapú számítógépek gyökér tanúsítványainak listáját?
- A számítógép gyökér tanúsítványtárolójának megnyitásához a Windows 10 / 8.1 / 7 / Windows Server rendszeren indítsa el a konzolt mmc.exe;
- sajtó fájl (Fájl) -> A beépülő modul hozzáadása vagy eltávolítása (Beépülő modul hozzáadása / eltávolítása), válassza a beépülő modulok listájában bizonylatok (Bizonyítványok) -> hozzáad (Add);
- A párbeszédpanelen válassza ki, hogy mit szeretne kezelni a tanúsítványokon számítógépes fiók (Számítógépes számla);
- Következő -> Ok -> Ok;
- kiterjed tanúsítványok (Bizonyítványok) -> Megbízható gyökértanúsító hatóságok boltja (Megbízható gyökér tanúsítványok). Ez a lista tartalmazza a számítógép gyökér megbízható tanúsítványainak listáját..
A PowerShell használatával megkaphatja a megbízható gyökér tanúsítványok lejárati dátumait is:
Get-Childitem cert: \ LocalMachine \ root | formátum-lista
Felsorolhatja a lejárt tanúsítványokat, vagy amelyek a következő 30 napban járnak le:
Get-ChildItem sert: \ LocalMachine \ root | Hol $ _. NotAfter -lt (Get-Date) .AddDays (30)
A mmc konzolon bármilyen tanúsítvánnyal kapcsolatos információkat megnézhet, vagy eltávolíthatja azokat a megbízhatóktól.
Biztonsági okokból javasolja, hogy a segédprogram segítségével rendszeresen ellenőrizze a tanúsítványtárolóban hamis tanúsítványokat Sigcheck.A gyökértanúsító fájlt manuálisan továbbíthatja az egyik számítógépről a másikra az Exportálás / Importálás funkcióval.
- Bármely .CER tanúsítványt exportálhat egy fájlba, ha rákattint, és kiválasztja az „Összes feladat” -> „Exportálás” menüpontot;
- Ezután használja a parancsot behozatal importálhatja ezt a tanúsítványt egy másik számítógépen.
A rootsupd.exe segédprogram
Windows XP esetén a segédprogram frissíti a gyökér tanúsítványokat rootsupd.exe. Ez a segédprogram a gyökér és visszavont tanúsítványok listáját tartalmazza, amelyeket rendszeresen vezettek. Maga a segédprogram külön frissítésként lett elosztva. KB931125 (Frissítés a gyökér tanúsítványokhoz).
- Töltse le a segédprogramot rootsupd.exe, a link követése után (2019. július 15-től a link nem működik, talán a Microsoft úgy döntött, hogy eltávolítja a nyilvánosságból. Jelenleg letöltheti a segédprogramot a kaspersky.com webhelyről - http://media.kaspersky.com/utilities/CorporateUtilities /rootsupd.zip);
- A Windows root tanúsítványok telepítéséhez csak futtassa a fájlt rootsupd.exe. De megpróbáljuk alaposabban megvizsgálni annak tartalmát, és a következő parancs segítségével csomagolja ki:
rootsupd.exe / c / t: C: \ PS \ rootsupd
- A tanúsítványokat az SST fájlok tartalmazzák: authroots.sst, delroot.sst stb. A tanúsítványok eltávolításához / telepítéséhez a következő parancsokat használhatja:
updroots.exe authroots.sst
updroots.exe -d delroots.sst
de, Mint láthatja, ezeknek a fájloknak a létrehozásának dátuma 2013. április 4. (szinte egy évvel a Windows XP hivatalos támogatásának befejezése előtt). Ezért az utóbbi időben a segédprogram nem volt frissítve, és nem használható az aktuális tanúsítványok telepítéséhez. Később azonban szükségünk lesz a updroots.exe fájlra.
Certutil: gyökér tanúsítványok beszerzése a Windows Update segítségével
Kezelési és tanúsítási segédprogram certutil (megjelent a Windows 10-ben) lehetővé teszi a gyökértanúsítványok aktuális listájának letöltését a Windows Update csomópontokból, és a tényleges gyökér tanúsítványok listájának mentését az SST fájlba.
SST fájl létrehozásához Internet hozzáféréssel rendelkező Windows 10 számítógépen futtassa a következő parancsot rendszergazdai jogokkal:
a certutil.exe -generateSSTFromWU roots.sst
Ennek eredményeként az aktuális tanúsítványlistát tartalmazó SST fájl megjelenik a cél könyvtárban. Kattintson duplán a megnyitásához. Ez a fájl egy megbízható gyökér tanúsítványokat tartalmazó tároló..
A megnyitott mmc tanúsítványkezelő beépülő modulban exportálhatja a kapott tanúsítványokat. Az én esetemben a tanúsítványok listája 358 elemet tartalmazott. Természetesen a tanúsítványok exportálása és az egyesek telepítése nem ésszerű.
tanács. Az egyes tanúsítványfájlok létrehozásához használhatja a parancsotcertutil -syncWithWU
. Az így megszerzett tanúsítványok a GPO segítségével eloszthatók az ügyfelek számára.Az összes tanúsítvány SST fájlból történő telepítéséhez és a számítógépes gyökér tanúsítványok listájához való hozzáadásához használhatja a PowerShell parancsokat:
$ sstStore = (Get-ChildItem -Path C: \ ps \ rootsupd \ roots.sst)
$ sstStore | Import-tanúsítvány -CertStoreLocation Cert: \ LocalMachine \ Root
Használhatja a segédprogramot is updroots.exe (a rootupd.exe archívumban található, amelyet az előző szakaszban csomagoltunk ki):
updroots.exe roots.sst
Futtassa a certmgr.msc beépülő modult, és ellenőrizze, hogy az összes tanúsítvány hozzáadódott-e a Trusted Root Certification Authority-lerakathoz.
A gyökértanúsítványok listája STL formátumban
A tanúsítványok listájának a Microsoft általi beszerzésének másik módja is. Ehhez töltse le a http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab fájlt (havonta kétszer frissítve) .Az archiváló (vagy a Windows Explorer) segítségével bontsa ki az archívum tartalmát. authrootstl.taxi. Egy fájlt tartalmaz. authroot.stl.
Az authroot.stl fájl egy olyan tároló, amely a megbízható tanúsítványok listáját tartalmazza a tanúsítási megbízhatósági lista formátumban.
Ez a fájl az STL fájl helyi menüjével telepíthető a rendszerre (felszerel CTL).
Vagy használja a certutil segédprogramot:
certutil -addstore -f root authroot.stl
root "Megbízható gyökértanúsító hatóságok" "CTL" 0 "hozzá lett adva a lerakathoz. CertUtil: -addstore - a parancs sikeresen befejeződött.
Tanúsítványokat importálhat a tanúsítványkezelő konzolból (bizalom gyökér tanúsítvány hatóság ->tanúsítványok -> Minden feladatok > import).
Adja meg az STL fájl elérési útját tanúsítvánnyal.
A parancs futtatása után a tanúsítványkezelő konzolon (certmgr.msc) a tárolóban Megbízható gyökér tanúsítvány hatóság (Trusted Root Certificates) egy új szakasz jelenik meg a névvel bizonyítvány bizalom lista (Bizonyítvány megbízhatósági listája).
Hasonlóképpen letöltheti és telepítheti a visszavont tanúsítványok listáját, amelyeket kizártak a gyökér tanúsítási programból. ehhez töltse le a fájlt disallowedcertstl.taxi (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), csomagolja ki és töltse be a Nem megbízható tanúsítványok szakaszba a következő paranccsal:
certutil -addstore -f nem engedélyezett disallowedcert.stl
A gyökértanúsítványok frissítése a Windows operációs rendszer GPO használatával homokozó környezetben
Ha feladata rendszeresen frissíteni a gyökértanúsítványokat egy Internet-elkülönített Active Directory tartományban, akkor egy kissé bonyolultabb séma létezik a tartományi számítógépek helyi tanúsítványtárolóinak frissítésére a csoportházirend segítségével. Izolált Windows hálózatokon többféle módon konfigurálhatja a gyökértanúsítvány-frissítéseket a felhasználók számítógépein.
Első út feltételezi, hogy rendszeresen manuálisan tölti le és másolja az izolált hálózatba egy fájlt, amelynek gyökér tanúsítványai a következők:
a certutil.exe -generateSSTFromWU roots.sst
Ezután a fájlból származó tanúsítványok telepíthetők SCCM vagy PowerShell bejelentkezési szkript segítségével a GPO-ban:
$ sstStore = (Get-ChildItem -Path \\ dc01 \ SYSVOL \ winitpro.ru \ rootcert \ roots.sst)
$ sstStore | Import-tanúsítvány -CertStoreLocation Cert: \ LocalMachine \ Root
Második módszer magában foglalja a megfelelő gyökér tanúsítványok beszerzését a következő paranccsal:
Certutil -syncWithWU -f \\ dc01 \ SYSVOL \ winitpro.ru \ rootcert \
A megadott hálózati könyvtárban számos gyökértanúsító fájl (CRT) jelenik meg, beleértve a fájlokat (authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt).
Ezután a GPP használatával meg kell változtatnia a regisztrációs értéket RootDirURL az ágban HKLM \ Software \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate. Ennek a paraméternek arra a hálózati mappára kell mutatnia, ahonnan az ügyfeleknek új root tanúsítványokat kell kapniuk. Lépjen a GPO-szerkesztő szakaszba Számítógép konfigurálása -> Beállítások -> Windows beállítások -> Nyilvántartás. És hozzon létre egy új regisztrációs beállítást az értékekkel:
akció: Frissítés
kaptár: HKLM
Kulcsút: Szoftver \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate
Érték neve: RootDirURL
Típus: REG_SZ
Érték adatok: fájl: // \\ dc01 \ SYSVOL \ winitpro.ru \ rootcert \
Ezt a házirendet hozzá kell rendelni a számítógépekhez, és a házirendek frissítése után ellenőrizze, hogy vannak-e új gyökér tanúsítványok a boltban.
politika Kapcsolja ki az automatikus gyökértanúsítványok frissítését alatt a Számítógép konfigurálása -> Felügyeleti sablonok -> Rendszer -> Internetkommunikációkezelés -> Az internetkommunikációs beállításokat ki kell kapcsolni vagy nem kell konfigurálni.Ebben a cikkben számos módszert vizsgáltunk a root tanúsítványok frissítésére egy elkülönített interneten a Windows rendszertől..