Todas as versões do Windows têm uma funcionalidade incorporada para actualizar automaticamente os certificados de raiz dos websites da Microsoft. Como parte do Microsoft Trusted Root Certificate Program, o MSFT mantém e publica uma lista de certificados para clientes e dispositivos do Windows em seu repositório online. Se o certificado verificado em sua cadeia de certificação se refere ao root CA que participa deste programa, o sistema irá automaticamente baixar este certificado raiz dos servidores Windows Update e adicioná-lo aos confiáveis.

Windows solicita uma renovação semanal das listas de root certificates (CTL) de confiança. Se o Windows não tiver acesso directo ao directório de actualização do Windows, o sistema não será capaz de actualizar os certificados do root, pelo que um utilizador poderá ter alguns problemas ao navegar nos websites (que os certificados SSL são assinados por uma AC não fiável – veja o artigo sobre o “erro do Chrome SSL: este site não pode fornecer uma ligação segura”), ou com a instalação/execução de scripts e aplicações assinadas.

neste artigo, vamos tentar descobrir como atualizar manualmente a lista de certificados raiz em TrustedRootCA em redes isoladas ou computadores/servidores sem uma conexão direta com a Internet.Nota: Se os seus computadores acederem à Internet através de um servidor proxy, a fim de actualizar automaticamente os certificados root nos computadores dos utilizadores, a Microsoft recomenda que abra o acesso directo (bypass) aos websites da Microsoft. No entanto, nem sempre é possível ou Aplicável devido a restrições corporativas.

gerir certificados de Raiz Confiáveis no Windows 10

Como ver a lista de certificados de raiz de um computador do Windows?

1. para abrir a loja de certificados de raiz de um computador que executa o Windows 10/8.1/7/Windows Server, Inicie o mmc.exe console;
2. Seleccione o Ficheiro> Adicionar/Remover Snap-in, selecione Certificados (certmgr) na lista de snap-ins> Adicionar;
3. Selecione o que você deseja gerenciar certificados de conta de Computador local;
4. Próxima> OK> OK;
5. Expanda o nó de Certificados -> Autoridades de Certificação Raiz Confiáveis Loja. Esta secção contém a lista de certificados de root confiáveis no seu computador.

Você também pode obter uma lista de certificados raiz confiáveis com datas de validade usar o PowerShell:

Get-Childitem cert:\LocalMachine\root |format-list

Você pode listar os certificados expirados, ou que expiram nos próximos 30 dias:

Get-ChildItem cert:\LocalMachine\root | Where {$_.NotAfter -lt (Get-Date).AddDays(40)}

na consola mmc, você pode ver informações sobre qualquer certificado ou removê-lo dos certificados confiáveis.

pode transferir manualmente o ficheiro do certificado de raiz entre os computadores do Windows, usando a função Exportação / Importação.

1. pode exportar qualquer certificado para A.CER arquivo clicando sobre ele e selecionando Todas as Tarefas -> Exportar;
2. Você pode importar esse certificado em outro computador usando a opção Todas as Tarefas -> Importar.

Rootsupd.utilitário exe

no Windows XP, o rootsupd.o utilitário exe foi usado para atualizar os certificados de raiz do computador. A lista de certificados root e revogados foi atualizada regularmente. O utilitário foi distribuído como uma atualização separada KB931125 (atualização para certificados de raiz). Vamos ver se podemos usá-lo agora.

1. baixe o rootsupd.exe utility using the following link http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe. No momento (2 de agosto de 2019) o link não funciona, talvez a Microsoft decidiu removê-lo do público. Hoje você pode baixar o rootsupd.exe de kaspersky.com website – http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip;
2. para instalar os certificados raiz do Windows, basta executar o rootsupd.ficheiro exe. Mas vamos tentar examinar o seu conteúdo com mais cuidado. Extrair os certificados do ficheiro executável com o comando: rootsupd.exe /c /t: C:\PS\rootsupd
3. os Certificados são armazenados em SST arquivos, como authroots.sst, delroot.sst, etc. Para eliminar/instalar um certificado, você pode usar os seguintes comandos:
   updroots.exe authroots.sst
updroots.exe -d delroots.sst

no Entanto, como você pode ver, esses arquivos de certificado foram criados em abril 4, 2013 (quase um ano antes do fim do oficial de suporte do Windows XP). Assim, desde então o utilitário não foi atualizado e não pode ser usado para instalar certificados atualizados. Um pouco mais tarde vamos precisar dos updroots.ficheiro exe.

Certutil: Obtendo os últimos certificados de raiz do Windows Update

a última versão do Certutil.a ferramenta exe para gerir os certificados (disponível no Windows 10), permite-lhe transferir a partir do Windows Update e gravar a lista de certificados de raiz actual para o ficheiro SST.

para gerar um ficheiro SST, execute este comando com os privilégios de administrador num computador a correr o Windows 10 e a ter acesso directo à Internet:

certutil.exe -generateSSTFromWU roots.sst

como resultado, um ficheiro SST contendo uma lista actualizada de certificados de raiz irá aparecer na pasta de destino. Duplo clique para abri-lo. Este ficheiro é um contentor que contém certificados de raiz de confiança.

omo pode ver, abre-se um familiar snap-in de gestão de certificados, do qual poderá exportar qualquer um dos certificados que tiver. No meu caso, houve 358 itens na lista de certificados. Obviamente, não é racional exportar os certificados e instalá-los um a um.Tip. Para gerar ficheiros de certificados individuais, use o comando certutil -syncWithWU. Os certificados obtidos desta forma podem ser implantados em clientes do Windows usando GPO.

Para instalar todos os certificados da SST arquivo e adicioná-los à lista de certificados raiz em um computador, você pode usar os comandos do PowerShell:

Para instalar todos os certificados listados no arquivo, use o updroots.exe (está localizado no rootsupd.ficheiro exe, que foi extraído na secção anterior).

updroots.exe roots.sst

Executar o certmgr.msc snap-in e certifique-se de que todos os certificados foram adicionados à Autoridade de Certificação Root confiável.