minden Windows verzió rendelkezik beépített funkcióval a gyökér tanúsítványok automatikus frissítéséhez a Microsoft webhelyeiről. A Microsoft Trusted root Certificate Program részeként az MSFT fenntartja és közzéteszi a Windows kliensek és eszközök tanúsítványainak listáját az online adattárban. Ha a tanúsítási láncban szereplő hitelesített tanúsítvány a programban részt vevő Root CA-ra utal, akkor a rendszer automatikusan letölti ezt a gyökér tanúsítványt a Windows Update szerverekről, majd hozzáadja a megbízhatókhoz.

A Windows hetente egyszer kér egy megbízható gyökér tanúsítványlistát (CTL). Ha a Windows nem a közvetlen hozzáférést a Windows Update könyvtár, a rendszer nem lesz képes frissíteni a főtanúsítványok, így egy felhasználó lehet, hogy van valami baj, ha böngészés közben a weboldalak (ami SSL-tanúsítványok írja alá egy megbízható CA – lásd a cikk a “Chrome SSL hiba: az Ezen az oldalon nem nyújt biztonságos kapcsolat”), vagy telepítése/futó aláírt szkriptek / alkalmazások.

ebben a cikkben megpróbáljuk megtudni, hogyan lehet manuálisan frissíteni a trustedrootca gyökér tanúsítványok listáját elszigetelt hálózatokon vagy számítógépeken / szervereken, közvetlen internetkapcsolat nélkül.

megbízható gyökér tanúsítványok kezelése A Windows 10 rendszerben

hogyan lehet megtekinteni A Windows számítógép gyökér tanúsítványainak listáját?

1. A Windows 10/8.1/7/Windows Server rendszert futtató számítógép gyökér tanúsítványtárolójának megnyitásához indítsa el az mmc-t.exe konzol;
2. Fájl kiválasztása – > beépülő modul hozzáadása / eltávolítása, Válassza ki a tanúsítványokat (certmgr) a beépülő modulok listájában-> Add;
3. válassza ki, hogy a helyi számítógépes fiók tanúsítványait szeretné kezelni;
4. Next -> OK -> OK;
5. bontsa ki a tanúsítványok csomópont -> megbízható gyökér tanúsító hatóságok áruház. Ez a szakasz tartalmazza a megbízható gyökér tanúsítványok listáját a számítógépen.

a PowerShell:

Get-Childitem cert:\LocalMachine\root |format-list

felsorolhatja a lejárt tanúsítványokat, vagy amelyek a következő 30 napban lejárnak:

Get-ChildItem cert:\LocalMachine\root | Where {$_.NotAfter -lt (Get-Date).AddDays(40)}

az mmc konzolban megtekintheti a tanúsítványokkal kapcsolatos információkat, vagy eltávolíthatja azokat a megbízottaktól.

a gyökér tanúsítványfájlt manuálisan átviheti a Windows számítógépek között az Export / Import funkció segítségével.

1. bármely tanúsítványt exportálhat a-BA .CER fájl kattintson rá, és kiválasztja az összes feladatot – > Export;
2. importálhatja ezt a tanúsítványt egy másik számítógépre az All Tasks -> Importálás opcióval.

Rootsupd.exe Utility

Windows XP rendszerben a rootsupd.az exe segédprogramot a számítógép gyökér tanúsítványainak frissítésére használták. A root és a visszavont tanúsítványok listáját rendszeresen frissítették. A segédprogramot külön frissítésként terjesztették KB931125 (Root Tanúsítványok frissítése). Lássuk, használhatjuk-e most.

1. töltse le a rootsupd-t.exe utility a következő hivatkozással: http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe. Jelenleg (2019. augusztus 2.) a link nem működik, talán a Microsoft úgy döntött, hogy eltávolítja a nyilvánosságtól. Ma lehet letölteni a rootsupd.exe-tól kaspersky.com weboldal — http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip;
2. A Windows gyökér tanúsítványok telepítéséhez csak futtassa a rootsupd programot.exe fájl. De megpróbáljuk alaposabban megvizsgálni annak tartalmát. Bontsa ki a tanúsítványokat a végrehajtható fájlból a paranccsal: rootsupd.exe /c /t: C:\PS\rootsupd
3. a tanúsítványokat SST fájlokban tárolják, mint például az authroots.sst, delroot.sst, stb. A tanúsítvány törléséhez / telepítéséhez a következő parancsokat használhatja:
   updroots.exe authroots.sst
updroots.exe -d delroots.sst

azonban, amint láthatja, ezeket a tanúsítványfájlokat 2013.április 4-én hozták létre (majdnem egy évvel a Windows XP hivatalos támogatásának vége előtt). Így azóta a segédprogramot nem frissítették, nem használható a naprakész tanúsítványok telepítésére. Egy kicsit később szükségünk lesz az updroots-ra.exe fájl.

Certutil: A legfrissebb gyökér Tanúsítványok beszerzése a Windows Update

– ből a Certutil legújabb verziója.exe eszköz a tanúsítványok kezeléséhez (elérhető a Windows 10 rendszerben), lehetővé teszi a Windows Update-ből történő letöltést, valamint a tényleges gyökér tanúsítványok listáját az SST fájlba mentheti.

SST fájl létrehozásához futtassa ezt a parancsot rendszergazdai jogosultságokkal a Windows 10 rendszert futtató számítógépen, közvetlen hozzáféréssel az internethez:

certutil.exe -generateSSTFromWU roots.sst

ennek eredményeként megjelenik a gyökér tanúsítványok naprakész listáját tartalmazó SST fájl a célkönyvtárban. Kattintson duplán a megnyitáshoz. Ez a fájl egy olyan tároló, amely megbízható gyökér tanúsítványokat tartalmaz.

mint látható, megnyílik egy ismerős Tanúsítványkezelő beépülő modul, amelyből exportálhatja a kapott tanúsítványokat. Az én esetemben 358 tétel volt a tanúsítványok listáján. Nyilvánvaló, hogy nem ésszerű a tanúsítványokat egyenként exportálni és telepíteni.

az SST fájl összes tanúsítványának telepítéséhez, valamint a megbízható gyökér tanúsítványok listájához való hozzáadásához használhatja a PowerShell parancsokat:

a fájlban felsorolt összes tanúsítvány telepítéséhez használja az updroots-ot.exe (a gyökérben találhatószupd.exe fájl, amelyet az előző szakaszban extraháltak).

updroots.exe roots.sst

futtassa a certmgr-t.MSC beépülő modul, valamint győződjön meg arról, hogy az összes tanúsítványt hozzáadták a megbízható gyökér tanúsító Hatósághoz.