Opdatering Liste over betroede Root certifikater i vinduer 10/8.1/7
alle vinduer versioner har en indbygget funktion til automatisk opdatering root certifikater fra Microsoft hjemmesider. Som en del af Microsoft Trusted Root Certificate-programmet vedligeholder og udgiver MSFT en liste over certifikater til Microsoft-klienter og enheder i sit online-lager. Hvis det verificerede certifikat i sin certificeringskæde refererer til root CA, der deltager i dette program, vil systemet automatisk hente dette rodcertifikat fra vinduerne Opdater servere og føje det til de betroede.
vinduer anmoder om en fornyelse af trusted root certificate lists (CTL) en gang om ugen. Hvis du ikke har direkte adgang til Opdateringskataloget, kan systemet ikke opdatere rodcertifikaterne, så en bruger kan have nogle problemer, når du gennemser hjemmesider (som SSL – certifikater er underskrevet af en ikke-betroet CA-se artiklen om “Chrome SSL-fejl: Dette sted kan ikke give en sikker forbindelse”) eller med installation/kørsel af signerede scripts og apps.
i denne artikel vil vi forsøge at finde ud af, hvordan du manuelt opdaterer listen over rodcertifikater i TrustedRootCA på isolerede netværk eller computere/servere uden direkte internetforbindelse.
håndtering af betroede rodcertifikater i Vinduer 10
Sådan ser du listen over rodcertifikater for en Vinduer computer?
- for at åbne rodcertifikatlageret på en computer, der kører vinduer 10/8.1/7/vinduer Server, skal du starte mmc.Vælg fil-
- Vælg fil – > Tilføj / fjern Snap-in, Vælg certifikater (certmgr) på listen over snap-ins- > Tilføj;
- Vælg, at du vil administrere certifikater for lokal computerkonto;
- næste -> OK -> OK;
- Udvid Certifikatnoden -> Trusted Root Certification Authority Store. Dette afsnit indeholder listen over rodcertifikater, der er tillid til på din computer.
Du kan også få en liste over pålidelige rodcertifikater med udløbsdatoer ved hjælp af Strømshell:
Get-Childitem cert:\LocalMachine\root |format-list
Du kan liste de udløbne certifikater, eller som udløber i de næste 30 dage:
Get-ChildItem cert:\LocalMachine\root | Where {$_.NotAfter -lt (Get-Date).AddDays(40)}
i mmc-konsollen kan du se oplysninger om ethvert certifikat eller fjerne det fra betroede.
Du kan manuelt overføre rodcertifikatfilen mellem vinduer computere ved hjælp af funktionen eksport/Import.
- du kan eksportere ethvert certifikat til en .CER-fil ved at klikke på den og vælge alle opgaver -> eksport;
- du kan importere dette certifikat på en anden computer ved hjælp af indstillingen Alle opgaver -> Import.
Rootsupd.hjælpeprogrammet
i vinduet rootsupd. hjælpeprogrammet blev brugt til at opdatere computerens rodcertifikater. Listen over rod-og tilbagekaldte certifikater i den blev regelmæssigt opdateret. Værktøjet blev distribueret som en separat opdatering KB931125 (opdatering til rodcertifikater). Lad os se, om vi kan bruge det nu.
- Hent rootsupd.brug af følgende link http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe. I øjeblikket (2.August 2019) fungerer linket ikke, måske besluttede Microsoft at fjerne det fra offentligheden. I dag kan du hente rootsupd.eks fra kaspersky.com hjemmeside – http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip;
- for at installere vinduerne rodcertifikater skal du bare køre rootsupd.eks fil. Men vi vil forsøge at undersøge indholdet mere omhyggeligt. Uddrag certifikaterne fra den eksekverbare fil med kommandoen:
rootsupd.exe /c /t: C:\PS\rootsupd
- certifikater gemmes i SST-filer, som authroots.sst, delroot.sst osv. For at slette / installere et certifikat kan du bruge følgende kommandoer:
updroots.exe authroots.sst
updroots.exe -d delroots.sst
men som du kan se, blev disse certifikatfiler oprettet den 4.April 2013 (næsten et år før udgangen af den officielle support af vinduer). Siden da er værktøjet ikke blevet opdateret og kan ikke bruges til at installere opdaterede certifikater. Lidt senere har vi brug for updroots.eks fil.
Certutil: Opdatering
den nyeste version af Certutil.10), giver dig mulighed for at hente fra vinduer Opdater og gemme den faktiske rodcertifikatliste til SST-filen.
for at generere en SST-fil skal du køre denne kommando med administratorrettigheder på en computer, der kører vinduer 10 og har direkte adgang til internettet:
certutil.exe -generateSSTFromWU roots.sst
som et resultat vises en SST-fil, der indeholder opdateret liste over rodcertifikater, i målmappen. Dobbeltklik for at åbne den. Denne fil er en beholder, der indeholder pålidelige rodcertifikater.
som du kan se, åbnes en velkendt snap-in til Certifikatstyring, hvorfra du kan eksportere et hvilket som helst af de certifikater, du har fået. I mit tilfælde har der været 358 varer på listen over certifikater. Det er klart, at det ikke er rationelt at eksportere certifikaterne og installere dem en efter en.
certutil -syncWithWU
. De certifikater, der er opnået på denne måde, kan implementeres på vinduer klienter ved hjælp af GPO. Hvis du vil installere alle certifikater fra SST-filen og føje dem til listen over pålidelige rodcertifikater på en computer, kan du bruge kommandoerne:
Hvis du vil installere alle certifikater, der er anført i filen, skal du bruge updroots.eks (den er placeret i rødderneopd.fil, som blev ekstraheret i det foregående afsnit).
updroots.exe roots.sst
Kør certmgr.msc snap – in og sørg for, at alle certifikater er blevet tilføjet til den betroede Rodcertificeringsmyndighed.