Todas las versiones de Windows tienen una función integrada para actualizar automáticamente los certificados raíz de los sitios web de Microsoft. Como parte del Programa de Certificados Raíz de confianza de Microsoft, MSFT mantiene y publica una lista de certificados para clientes y dispositivos Windows en su repositorio en línea. Si el certificado verificado en su cadena de certificación se refiere a la CA raíz que participa en este programa, el sistema descargará automáticamente este certificado raíz de los servidores de Windows Update y lo agregará a los de confianza.

Windows solicita una renovación de listas de certificados raíz de confianza (CTL) una vez a la semana. Si Windows no tiene acceso directo al directorio de actualización de Windows, el sistema no podrá actualizar los certificados raíz, por lo que un usuario puede tener algunos problemas al navegar por sitios web (qué certificados SSL están firmados por una CA no confiable; consulte el artículo sobre el «Error SSL de Chrome: Este sitio no puede proporcionar una conexión segura»), o al instalar/ejecutar scripts y aplicaciones firmados.

En este artículo, intentaremos averiguar cómo actualizar manualmente la lista de certificados raíz en TrustedRootCA en redes aisladas o equipos/servidores sin conexión directa a Internet.

Administrar certificados raíz de confianza en Windows 10

¿Cómo ver la lista de certificados raíz de un equipo con Windows?

1. Para abrir el almacén de certificados raíz de un equipo con Windows 10/8.1/7/Windows Server, inicie mmc.consola exe;
2. Seleccione Archivo – > Agregar / Quitar complemento, seleccione Certificados (certmgr) en la lista de complementos – > Agregar;
3. Seleccione que desea administrar certificados de cuenta de equipo local;
4. Siguiente> OK> OK;
5. Expanda el nodo Certificados -> entidades emisoras Raíz de Confianza de la Tienda. Esta sección contiene la lista de certificados raíz de confianza del equipo.

También puede obtener una lista de certificados raíz de confianza con fechas de caducidad utilizando PowerShell:

Get-Childitem cert:\LocalMachine\root |format-list

Puede enumerar los certificados caducados o que caducan en los próximos 30 días:

Get-ChildItem cert:\LocalMachine\root | Where {$_.NotAfter -lt (Get-Date).AddDays(40)}

En la consola de mmc, puede ver información acerca de cualquier certificado o eliminarlo de confianza queridos.

Puede transferir manualmente el archivo de certificado raíz entre equipos Windows mediante la función Exportar/Importar.

1. Puede exportar cualquier certificado a a .Archivo CER al hacer clic en él y seleccionar Todas las tareas -> Exportar;
2. Puede importar este certificado en otro equipo utilizando la opción Todas las tareas -> Importar.

Rootsupd.utilidad exe

En Windows XP, el rootsupd.la utilidad exe se utilizó para actualizar los certificados raíz de la computadora. La lista de certificados raíz y revocados en ella se actualizaba regularmente. La utilidad se distribuyó como una actualización independiente KB931125 (Actualización para Certificados Raíz). Veamos si podemos usarlo ahora.

1. Descargue el rootsupd.utilidad exe utilizando el siguiente enlace http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe. Por el momento (2 de agosto de 2019) el enlace no funciona, tal vez Microsoft decidió eliminarlo del público. Hoy puedes descargar el rootsupd.exe de kaspersky.com website – http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip;
2. Para instalar los certificados raíz de Windows, simplemente ejecute el rootsupd.archivo exe. Pero trataremos de examinar su contenido con más cuidado. Extraiga los certificados del archivo ejecutable con el comando: rootsupd.exe /c /t: C:\PS\rootsupd
3. Los certificados se almacenan en archivos SST, como las raíces automáticas.sst, delroot.sst, etc. Para eliminar/instalar un certificado, puede usar los siguientes comandos:
   updroots.exe authroots.sst
updroots.exe -d delroots.sst

Sin embargo, como puede ver, estos archivos de certificados se crearon el 4 de abril de 2013 (casi un año antes del final del soporte oficial de Windows XP). Por lo tanto, desde entonces la utilidad no se ha actualizado y no se puede usar para instalar certificados actualizados. Un poco más tarde necesitaremos los updroots.archivo exe.

Certutil: Obtener los últimos certificados raíz de Windows Update

La última versión del Certutil.la herramienta exe para administrar certificados (disponible en Windows 10) le permite descargar desde Windows Update y guardar la lista de certificados raíz real en el archivo SST.

Para generar un archivo SST, ejecute este comando con los privilegios de administrador en un equipo que ejecute Windows 10 y que tenga acceso directo a Internet:

certutil.exe -generateSSTFromWU roots.sst

Como resultado, un SST archivo que contiene actualizada la lista de certificados raíz aparecerá en el directorio de destino. Haga doble clic para abrirlo. Este archivo es un contenedor que contiene certificados raíz de confianza.

Como puede ver, se abre un complemento de administración de certificados conocido, desde el que puede exportar cualquiera de los certificados que tiene. En mi caso, ha habido 358 artículos en la lista de certificados. Obviamente, no es racional exportar los certificados e instalarlos uno por uno.

Para instalar todos los certificados del archivo SST y agregarlos a la lista de certificados raíz de confianza en un equipo, puede usar los comandos de PowerShell:

Para instalar todos los certificados enumerados en el archivo, utilice los updroots.exe (se encuentra en el rootsupd.archivo exe, que se extrajo en la sección anterior).

updroots.exe roots.sst

Ejecutar el certmgr.complemento msc y asegúrese de que todos los certificados se han agregado a la Entidad de certificación Raíz de confianza.