Obitelj operativnih sustava Windows ima sustav za automatsko ažuriranje korijenskih certifikata s Microsoftove web stranice. MSFT kao dio programa korijenskog certifikata Microsoft Pouzdani korijen potvrda program, održava i objavljuje u svojoj internetskoj trgovini popis certifikata za Windows klijente i uređaje. Ako se ovjereni certifikat u njegovom lancu certifikacije odnosi na korijenski CA koji sudjeluje u ovom programu, sustav će automatski preuzeti s čvora Windows Update i dodati takav korijenski certifikat u pouzdan.
Windows zahtijeva ažuriranje korijenskog certifikata o povjerenju (CTL) jednom tjedno. Ako Windows nema izravan pristup direktoriju Windows Update, sustav neće moći ažurirati korijenske certifikate, pa će korisnik možda imati problema s otvaranjem web lokacija (SSL certifikate potpisuje CA, a u koje se ne vjeruje, pogledajte Chromeov članak o pogrešci "Ova web lokacija ne može osigurati sigurnu vezu ") ili s instaliranjem pokretanjem potpisanih aplikacija ili skripti.
U ovom ćemo članku pokušati doznati kako ručno ažurirati popis korijenskih certifikata u TrustedRootCA na izoliranim mrežama ili računalima / poslužiteljima bez izravne internetske veze..
sadržaj:
- Upravljanje računalnim certifikatima u sustavu Windows 10
- Uslužni program rootupd.exe
- Certutil: dobivanje korijenskih certifikata putem Windows Ažuriranja
- Popis korijenskih potvrda u STL formatu
- Nadogradnja korijenskih certifikata u sustavu Windows pomoću GPO-a u okruženjima s pijeskom
Upravljanje računalnim certifikatima u sustavu Windows 10
Kako pregledati popis korijenskih certifikata za Windows računalo?
- Da biste otvorili spremište korijenskih certifikata računala u sustavu Windows 10 / 8.1 / 7 / Windows Server, pokrenite konzolu mmc.exe;
- tisak datoteka (Datoteka) -> Dodajte ili uklonite dodatak (Dodavanje / uklanjanje dodataka) na popisu dodataka odaberite certifikati (Potvrde) -> dodati (Dodati);
- U dijaloškom okviru odaberite željenim certifikatima računarski račun (Računalni račun);
- Dalje -> Ok -> Ok;
- proširiti Potvrde (Potvrde) -> Trgovina ovlaštenih korporativnih tijela za certificiranje (Pouzdani korijenski certifikati). Ovaj popis sadrži popis potvrda korijena pouzdanih za vaše računalo..
Također možete dobiti popis pouzdanih korijenskih potvrda s datumima isteka pomoću PowerShell-a:
Get-Childitem cert: \ LocalMachine \ root | format-list
Možete navesti istekle certifikate ili koji istječu u sljedećih 30 dana:
Get-ChildItem cert: \ LocalMachine \ root | Gdje je $ _. NotAfter -lt (datum-datum) .Dodaj (30)
Na mmc konzoli možete vidjeti informacije o bilo kojem certifikatu ili ga ukloniti iz pouzdanog.
Iz sigurnosnih razloga preporučuje da povremeno provjeravate spremište certifikata radi lažnih certifikata pomoću uslužnog programa Sigcheck.Ručnu datoteku certifikata možete ručno prenijeti s jednog računala na drugo putem funkcije Izvoz / Uvoz.
- Možete izvesti bilo koji .CER certifikat u datoteku klikom na nju i odabirom "Svi zadaci" -> "Izvezi";
- Zatim pomoću naredbe uvoz možete uvesti ovaj certifikat na drugo računalo.
Uslužni program rootupd.exe
U sustavu Windows XP, uslužni program koji se koristi za ažuriranje korijenskih certifikata rootsupd.eXE. Ovaj uslužni program sadrži popis korijenskih i opozvanih certifikata koji su redovno ožičeni. Sam uslužni program distribuiran je kao zasebno ažuriranje. KB931125 (Ažuriranje za korijenske certifikate).
- Preuzmite uslužni program rootsupd.exe, slijedeći vezu (od 15. srpnja 2019. veza ne funkcionira. Možda je Microsoft odlučio ukloniti je iz javne domene. Uslužni program trenutno možete preuzeti s kaspersky.com - http://media.kaspersky.com/utilities/CorporateUtilities /rootsupd.zip);
- Da biste instalirali korijenske certifikate sustava Windows, samo pokrenite datoteku rootsupd.eXE. Ali pokušat ćemo pažljivije ispitati njegov sadržaj, otpakirajući ga pomoću naredbe:
rootupd.exe / c / t: C: \ PS \ rootupd
- Potvrde se nalaze u SST datotekama: authroots.sst, delroot.sst itd. Da biste uklonili / instalirali potvrde, možete koristiti naredbe:
updroots.exe authroots.sst
updroots.exe -d delroots.sst
ali, Kao što vidite, datum stvaranja ovih datoteka je 4. travnja 2013. (gotovo godinu dana prije završetka službene podrške za Windows XP). Dakle, od tog vremena uslužni program nije ažuriran i ne može se koristiti za instaliranje trenutnih certifikata. No, kasnije će nam trebati datoteka updroots.exe.
Certutil: dobivanje korijenskih certifikata putem Windows Ažuriranja
Uslužni program upravljanja i certifikata Certutil (pojavio se u sustavu Windows 10) omogućuje vam preuzimanje trenutnog popisa korijenskih certifikata iz čvorova Windows Update i spremanje stvarnog popisa korijenskih certifikata u SST datoteku.
Da biste generirali SST datoteku na računalu sa sustavom Windows 10 s pristupom internetu, pokrenite sljedeću naredbu s administratorskim pravima:
certutil.exe -generateSSTFromWU korijeni.sst
Kao rezultat toga, SST datoteka koja sadrži trenutni popis certifikata pojavit će se u odredišnom direktoriju. Dvaput kliknite na nju da se otvorite. Ova datoteka je spremnik koji sadrži pouzdane korijenske potvrde..
U otvorenom priključku mmc upravljanja certifikatom možete izvesti bilo koji od primljenih certifikata. U mom slučaju popis potvrda sadržavao je 358 elemenata. Naravno, izvoz certifikata i njihovo instaliranje nije racionalno.
vijeće. Za generiranje pojedinačnih datoteka s certifikatima možete koristiti naredbucertutil -syncWithWU
. Ovako dobiveni certifikati mogu se distribuirati klijentima putem GPO-a.Da biste instalirali sve certifikate iz SST datoteke i dodali ih na popis računalnih certifikata, možete koristiti naredbe PowerShell:
$ sstStore = (Get-ChildItem-Put C: \ ps \ rootupd \ root.sst)
$ sstStore | Uvoz-certifikat -CertStoreLocation Cert: \ LocalMachine \ Root
Također možete koristiti uslužni program updroots.eXE (nalazi se u arhivi rootupd.exe, koju smo raspakirali u prethodnom odjeljku):
updroots.exe root.sst
Pokrenite dodatak certmgr.msc i provjerite jesu li svi certifikati dodani u skladište Trusted Root Certification Authority.
Popis korijenskih potvrda u STL formatu
Još je jedan način da dobijete popis certifikata od Microsofta. Da biste to učinili, preuzmite datoteku http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (ažurira se dva puta mjesečno) .Kroz bilo koji arhiver (ili Windows Explorer) raspakujte sadržaj arhive. authrootstl.taksi. Sadrži jednu datoteku. authroot.STL.
Datoteka authroot.stl je spremnik s popisom pouzdanih potvrda u formatu Popisa certifikata ovjere.
Ova se datoteka može instalirati na sustav pomoću kontekstnog izbornika STL datoteke (instalirati CTL).
Ili pomoću uslužnog programa certutil:
certutil -addstore -f korijen authroot.stl
root "Uvjereni autoriteti za provjeru korijena" CTL "0" je dodan u spremište. CertUtil: -addstore - naredba je uspješno završena.
Također možete uvesti certifikate s konzole za upravljanje certifikatom (povjerenje korijen potvrda vlasti ->Potvrde -> Sve zadaci > uvoz).
Specificirajte put do svoje STL datoteke certifikatima.
Nakon izvršavanja naredbe, na konzoli za upravljanje certifikatom (certmgr.msc) u spremniku Pouzdani korijen potvrda vlasti (Pouzdani korijenski certifikati) pojavit će se novi odjeljak s nazivom potvrda povjerenje popis (Popis povjerenja certifikata).
Slično tome, možete preuzeti i instalirati popis povučenih certifikata koji su izuzeti iz programa Root Certificate. za to preuzmite datoteku disallowedcertstl.taksi (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), raspakujte ga i dodajte ga u odjeljak Nepouzdani certifikati sa naredbom:
certutil -addstore -f onemogućen disallowedcert.stl
Nadogradnja korijenskih certifikata u sustavu Windows pomoću GPO-a u okruženjima s pijeskom
Ako imate zadatak redovito ažurirati korijenske certifikate u internetskoj domeni Active Directory, postoji malo složenija shema za ažuriranje lokalnih spremišta certifikata na računalima domena pomoću grupnih pravila. Na izoliranim Windows mrežama možete konfigurirati ažuriranja korijenskih certifikata na računalima korisnika na nekoliko načina.
Prvi način pretpostavlja da redovito ručno preuzimate i kopirate u izoliranu mrežu datoteku s korijenskim certifikatima dobivenim na sljedeći način:
certutil.exe -generateSSTFromWU korijeni.sst
Tada se certifikati iz ove datoteke mogu instalirati putem SCCM ili PowerShell skripte za prijavu u GPO:
$ sstStore = (Get-ChildItem-Put \\ dc01 \ SYSVOL \ winitpro.ru \ rootcert \ root.sst)
$ sstStore | Uvoz-certifikat -CertStoreLocation Cert: \ LocalMachine \ Root
Drugi način uključuje dobivanje odgovarajućih korijenskih certifikata pomoću naredbe:
Certutil -syncWithWU -f \\ dc01 \ SYSVOL \ winitpro.ru \ rootcert \
U navedenom mrežnom direktoriju prikazat će se broj datoteka korijenskih certifikata (CRT), uključujući datoteke (authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt).
Zatim, koristeći GPP, trebate promijeniti vrijednost registra RootDirURL u grani HKLM \ Software \ Microsoft \ SystemCertificate \ AuthRoot \ AutoUpdate. Ovaj parametar trebao bi ukazivati na mrežnu mapu iz koje klijenti trebaju primati nove korijenske potvrde. Idite na odjeljak GPO editor Konfiguracija računala -> Postavke -> Postavke sustava Windows -> Registar. I stvorite novu postavku registra sa vrijednostima:
akcija: Ažuriraj
košnica: HKLM
Ključni put: Softver \ Microsoft \ SystemCertificate \ AuthRoot \ AutoUpdate
Naziv vrijednosti: RootDirURL
vrsta: REG_SZ
Podaci o vrijednosti: datoteka: // \\ dc01 \ SYSVOL \ winitpro.ru \ rootcert \
Ostaje dodijeliti ovo pravilo računalima i nakon ažuriranja pravila provjeriti postoje li novi korijenski certifikati u trgovini.
politika Isključite automatsko ažuriranje korijenskih potvrda u odjeljku Konfiguracija računala -> Administrativni predlošci -> Sustav -> Upravljanje Internet komunikacijom -> Postavke internetske komunikacije trebaju biti isključene ili ne konfigurirane.U ovom smo članku pogledali nekoliko načina za ažuriranje korijenskih certifikata na izoliranom Internetu s operacijskog sustava Windows..