kaikissa Windows-versioissa on sisäänrakennettu ominaisuus, jolla Microsoft-verkkosivustojen juurivarmenteet päivitetään automaattisesti. Osana Microsoft Trusted Root Certificate-ohjelmaa MSFT ylläpitää ja julkaisee Windows-asiakkaiden ja-laitteiden varmenteiden luetteloa verkkovarastossaan. Jos varmenneketjussaan vahvistettu varmenne viittaa tähän ohjelmaan osallistuvaan pääkäyttäjän varmenteeseen, järjestelmä lataa tämän pääkäyttäjän varmenteen automaattisesti Windows Update-palvelimilta ja lisää sen luotettuihin varmenteisiin.

Windows pyytää luotettujen juurivarmenteiden luettelon (CTL) uusimista kerran viikossa. Jos Windowsilla ei ole suoraa pääsyä Windows Update – hakemistoon, järjestelmä ei pysty päivittämään root-varmenteita, joten käyttäjällä voi olla ongelmia selatessaan verkkosivustoja (jotka SSL-varmenteet allekirjoittaa epäluotettava CA-katso artikkeli ”Chrome SSL-virhe: Tämä sivusto ei voi tarjota suojattua yhteyttä”) tai allekirjoitettujen komentosarjojen ja sovellusten asentamisesta/suorittamisesta.

tässä artikkelissa yritämme selvittää, miten voit manuaalisesti päivittää trustedrootca-juurivarmenteiden luetteloa erillisissä verkoissa tai tietokoneissa / palvelimissa ilman suoraa Internet-yhteyttä.

luotettujen juurivarmenteiden hallinta Windows 10: ssä

miten näet Windows-tietokoneen juurivarmenteiden luettelon?

1. avataksesi Windows 10/8.1/7 / Windows Server-tietokoneen juurivarmenteen säilön, Käynnistä mmc.exe console;
2. Select File – > Add / Remove-laajennus, valitse varmenteet (Certmgr) laajennusten luettelosta-> Add;
3. Valitse, että haluat hallita paikallisen Tietokonetilin varmenteita;
4. Next -> OK -> OK;
5. Expand the Certificates node -> Trusted Root Certificates Authorities Store. Tämä osio sisältää luettelon tietokoneen luotetuista juurivarmenteista.

Voit myös saada listan luotettavista juurivarmenteista, joiden vanhenemispäivämäärät ovat Powershellissa:

Get-Childitem cert:\LocalMachine\root |format-list

voit luetella vanhentuneet varmenteet, tai jotka vanhenevat seuraavan 30 päivän aikana:

Get-ChildItem cert:\LocalMachine\root | Where {$_.NotAfter -lt (Get-Date).AddDays(40)}

mmc-konsolissa voit tarkastella minkä tahansa varmenteen tietoja tai poistaa ne luotetuista.

voit siirtää juurivarmentetiedoston manuaalisesti Windows-tietokoneiden välillä Export / Import-toiminnon avulla.

1. A: han voi viedä minkä tahansa varmenteen .CER-tiedosto klikkaamalla sitä ja valitsemalla Kaikki tehtävät – > Export;
2. voit tuoda tämän varmenteen toiselle tietokoneelle valitsemalla Kaikki tehtävät -> Import.

Rootsupd.exe-apuohjelma

Windows XP: ssä rootsupd.exe-apuohjelmaa käytettiin tietokoneen juurivarmenteiden päivittämiseen. Siinä olevaa root-ja peruutettujen varmenteiden luetteloa päivitettiin säännöllisesti. Apuohjelmaa jaettiin erillisenä päivityksenä KB931125 (päivitys Juurivarmenteille). Katsotaan, voimmeko käyttää sitä nyt.

1. Lataa rootsupd.exe utility käyttämällä seuraavaa linkkiä http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe. Tällä hetkellä (2.elokuuta 2019) linkki ei toimi, ehkä Microsoft päätti poistaa sen julkisuudesta. Tänään voit ladata rootsupd.exe from kaspersky.com website – http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip;
2. asentaaksesi Windowsin juurivarmenteet, suorita vain rootsupd.exe-tiedosto. Yritämme kuitenkin tutkia sen sisältöä tarkemmin. Pura varmenteet suoritettavasta tiedostosta komennolla: rootsupd.exe /c /t: C:\PS\rootsupd
3. varmenteet tallennetaan SST-tiedostoihin, kuten authroots.delroot.sst jne. Varmenteen poistamiseen/asentamiseen voit käyttää seuraavia komentoja:
   updroots.exe authroots.sst
updroots.exe -d delroots.sst

kuitenkin, kuten näette, nämä varmennetiedostot luotiin 4.huhtikuuta 2013 (lähes vuosi ennen Windows XP: n virallisen tuen päättymistä). Tämän jälkeen apuohjelmaa ei ole päivitetty, eikä sitä voida käyttää ajantasaisten varmenteiden asentamiseen. Hieman myöhemmin tarvitsemme updrootteja.exe-tiedosto.

Sertutiili: Haetaan uusimmat juurivarmenteet Windows Update

uusin versio Certutil.exe-työkalu varmenteiden hallintaan (saatavilla Windows 10: ssä), voit ladata Windows Updatesta ja tallentaa varsinaisen juurivarmenteiden luettelon SST-tiedostoon.

luodaksesi SST-tiedoston, suorita tämä komento järjestelmänvalvojan oikeuksilla tietokoneessa, jossa on Windows 10 ja suora yhteys Internetiin:

certutil.exe -generateSSTFromWU roots.sst

tämän seurauksena kohdehakemistoon ilmestyy SST-tiedosto, joka sisältää ajantasaisen luettelon juurivarmenteista. Kaksoisnapsauta avataksesi sen. Tämä tiedosto on kontti, joka sisältää luotetut juurivarmenteet.

kuten näkyy, avautuu tuttu Varmennehallinta-laajennus, josta voi viedä minkä tahansa saamansa varmenteen. Minun tapauksessani todistusluettelossa on ollut 358 kohtaa. Varmenteita ei tietenkään ole järkevää viedä ja asentaa yksitellen.

Jos haluat asentaa kaikki varmenteet SST-tiedostosta ja lisätä ne luotettujen juurivarmenteiden luetteloon tietokoneella, voit käyttää PowerShell-komentoja:

Jos haluat asentaa kaikki tiedostossa luetellut varmenteet, käytä updroots-komentoja.exe (se sijaitsee rootsupd.exe-tiedosto, joka purettiin edellisessä osassa).

updroots.exe roots.sst

Suorita certmgr.msc-laajennus ja varmista, että kaikki varmenteet on lisätty luotettuun pääkäyttäjän varmenteeseen.