wszystkie wersje systemu Windows mają wbudowaną funkcję automatycznego aktualizowania certyfikatów głównych z witryn firmy Microsoft. W ramach programu Microsoft Trusted Root Certificate Program MSFT utrzymuje i publikuje listę certyfikatów dla klientów i urządzeń Windows w swoim repozytorium online. Jeśli zweryfikowany certyfikat w łańcuchu certyfikacji odnosi się do głównego urzędu certyfikacji uczestniczącego w tym programie, system automatycznie pobierze ten certyfikat główny z serwerów Windows Update i doda go do zaufanych.

System Windows żąda odnowienia list zaufanych certyfikatów głównych (CTL) raz w tygodniu. Jeśli System Windows nie ma bezpośredniego dostępu do katalogu Windows Update, system nie będzie mógł zaktualizować certyfikatów głównych, więc użytkownik może mieć pewne problemy podczas przeglądania stron internetowych (które certyfikaty SSL są podpisane przez niezaufany urząd certyfikacji – zobacz artykuł o „błąd SSL Chrome: ta witryna nie może zapewnić bezpiecznego połączenia”) lub instalowania/uruchamiania podpisanych skryptów i aplikacji.

w tym artykule postaramy się dowiedzieć, jak ręcznie zaktualizować listę certyfikatów głównych w TrustedRootCA w izolowanych sieciach lub komputerach/serwerach bez bezpośredniego połączenia z Internetem.

Zarządzanie zaufanymi certyfikatami głównymi w systemie Windows 10

Jak wyświetlić listę certyfikatów głównych komputera z systemem Windows?

1. aby otworzyć główny magazyn certyfikatów komputera z systemem Windows 10/8.1 / 7 / Windows Server, uruchom mmc.exe console;
2. Wybierz plik -> Dodaj / Usuń przystawkę, wybierz Certyfikaty (certmgr) na liście przystawek – > Dodaj;
3. Wybierz, że chcesz zarządzać certyfikatami lokalnego konta komputera;
4. następny- > OK- > ok;
5. rozwiń węzeł certyfikatów- > Zaufane główne urzędy certyfikacji. Ta sekcja zawiera listę zaufanych certyfikatów głównych na twoim komputerze.

Możesz również uzyskać listę zaufanych certyfikatów głównych z datami wygaśnięcia za pomocą programu PowerShell:

Get-Childitem cert:\LocalMachine\root |format-list

możesz wyświetlić listę wygasłych certyfikatów lub wygasających w ciągu najbliższych 30 dni:

Get-ChildItem cert:\LocalMachine\root | Where {$_.NotAfter -lt (Get-Date).AddDays(40)}

w konsoli mmc możesz wyświetlić informacje o dowolnym certyfikacie lub usunąć go z zaufanych.

możesz ręcznie przenieść plik certyfikatu głównego między komputerami z systemem Windows za pomocą funkcji Eksport / Import.

1. możesz wyeksportować dowolny certyfikat do a .Plik CER klikając na niego i wybierając wszystkie zadania -> Export;
2. możesz zaimportować ten certyfikat na inny komputer za pomocą opcji wszystkie zadania -> Import.

narzędzie exe

w Windows XP, rootsupd.narzędzie exe zostało użyte do aktualizacji certyfikatów głównych komputera. Lista certyfikatów root i unieważnionych w nim była regularnie aktualizowana. Narzędzie zostało rozpowszechnione jako osobna aktualizacja Kb931125 (Aktualizacja dla certyfikatów głównych). Zobaczmy, czy możemy go teraz użyć.

1. Pobierz rootsupd.narzędzie exe za pomocą poniższego linku http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe. W tej chwili (2 sierpnia 2019) link nie działa, być może Microsoft zdecydował się usunąć go z publicznej. Dziś możesz pobrać rootsupd.exe od kaspersky.com strona internetowa -http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip;
2. aby zainstalować certyfikaty główne systemu Windows, po prostu uruchom rootsupd.plik exe. Ale postaramy się dokładniej zbadać jego zawartość. Wyodrębnij certyfikaty z pliku wykonywalnego za pomocą polecenia: rootsupd.exe /c /t: C:\PS\rootsupd
3. certyfikaty są przechowywane w plikach SST, takich jak authroots.sst, delroot.sst itp. Aby usunąć / zainstalować certyfikat, możesz użyć następujących poleceń:
   updroots.exe authroots.sst
updroots.exe -d delroots.sst

jednak, jak widać, te pliki certyfikatów zostały utworzone 4 kwietnia 2013 r. (prawie rok przed zakończeniem oficjalnej obsługi systemu Windows XP). Dlatego od tego czasu narzędzie nie zostało zaktualizowane i nie można go używać do instalowania aktualnych certyfikatów. Trochę później będziemy potrzebować updroots.plik exe.

Certutil: Pobieranie najnowszych certyfikatów głównych z Windows Update

najnowsza wersja Certutil.narzędzie exe do zarządzania certyfikatami (dostępne w systemie Windows 10), pozwala pobrać z witryny Windows Update i zapisać aktualną listę certyfikatów głównych do pliku SST.

aby wygenerować plik SST, uruchom to polecenie z uprawnieniami administratora na komputerze z systemem Windows 10 i mającym bezpośredni dostęp do Internetu:

certutil.exe -generateSSTFromWU roots.sst

w rezultacie w docelowym katalogu pojawi się plik SST zawierający aktualną listę certyfikatów głównych. Kliknij dwukrotnie, aby go otworzyć. Ten plik jest kontenerem zawierającym zaufane certyfikaty główne.

jak widać, otwiera się znany przystawka zarządzania certyfikatami, z której można wyeksportować dowolny z posiadanych certyfikatów. W moim przypadku na liście certyfikatów było 358 pozycji. Oczywiście nie jest racjonalne eksportowanie certyfikatów i instalowanie ich jeden po drugim.

aby zainstalować wszystkie certyfikaty z pliku SST i dodać je do listy zaufanych certyfikatów głównych na komputerze, możesz użyć poleceń PowerShell:

aby zainstalować wszystkie certyfikaty wymienione w pliku, użyj updroots.exe (znajduje się w rootsupd.plik exe, który został wyodrębniony w poprzedniej sekcji).

updroots.exe roots.sst

Uruchom certmgr.msc przystawka i upewnij się, że wszystkie certyfikaty zostały dodane do zaufanego głównego urzędu certyfikacji.