alla Windows-versioner har en inbyggd funktion för att automatiskt uppdatera rotcertifikat från Microsofts webbplatser. Som en del av Microsoft Trusted Root Certificate-programmet upprätthåller och publicerar MSFT en lista över certifikat för Windows-klienter och enheter i sitt online-arkiv. Om det verifierade certifikatet i sin certifieringskedja hänvisar till root CA som deltar i det här programmet, laddar systemet automatiskt ner det här rotcertifikatet från Windows Update-servrarna och lägger till det till de betrodda.

Windows begär en uppdatering av betrodda rotcertifikatlistor (CTL) en gång i veckan. Om Windows inte har direkt tillgång till Windows Update – katalogen kan systemet inte uppdatera rotcertifikaten, så en användare kan ha vissa problem när de surfar på webbplatser (vilka SSL-certifikat är signerade av en otillförlitlig CA-se artikeln om ”Chrome SSL-felet: den här webbplatsen kan inte ge en säker anslutning”) eller med installation/körning av signerade skript och appar.

i den här artikeln försöker vi ta reda på hur du manuellt uppdaterar listan över rotcertifikat i TrustedRootCA på isolerade nätverk eller datorer/servrar utan direkt internetanslutning.

hantera betrodda rotcertifikat i Windows 10

hur ser du listan över rotcertifikat för en Windows-dator?

1. för att öppna rotcertifikatbutiken på en dator som kör Windows 10/8.1 / 7 / Windows Server, starta mmc.exe-konsol;
2. välj Arkiv- > Lägg till/ta bort Snap-in, välj certifikat (certmgr) i listan över snap-ins- > Lägg till;
3. välj att du vill hantera certifikat för lokalt datorkonto;
4. nästa -> OK -> OK;
5. expandera Certifikatnoden -> betrodda Rotcertifieringsmyndigheter lagrar. Det här avsnittet innehåller listan över betrodda rotcertifikat på din dator.

Du kan också få en lista över betrodda rotcertifikat med utgångsdatum med PowerShell:

Get-Childitem cert:\LocalMachine\root |format-list

Du kan lista de utgångna certifikaten eller som löper ut de närmaste 30 dagarna:

Get-ChildItem cert:\LocalMachine\root | Where {$_.NotAfter -lt (Get-Date).AddDays(40)}

i MMC-konsolen kan du visa information om något certifikat eller ta bort det från betrodda.

Du kan manuellt överföra rotcertifikatfilen mellan Windows-datorer med Export/Import-funktionen.

1. Du kan exportera alla certifikat till en .CER-fil genom att klicka på den och välja alla uppgifter- > Export;
2. Du kan importera detta certifikat på en annan dator med alternativet Alla uppgifter – > Import.

Rootsupd.Exe-verktyget

i Windows XP, rootsupd.exe-verktyget användes för att uppdatera datorns rotcertifikat. Listan över rot-och återkallade certifikat i den uppdaterades regelbundet. Verktyget distribuerades som en separat uppdatering KB931125 (uppdatering för rotcertifikat). Låt oss se om vi kan använda det nu.

1. ladda ner rootsupd.exe-verktyg med följande länk http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe. För tillfället (2 augusti 2019) fungerar länken inte, kanske Microsoft bestämde sig för att ta bort den från allmänheten. Idag kan du ladda ner rootsupd.exe från kaspersky.com webbplats – http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip;
2. för att installera Windows-rotcertifikaten, kör bara rootsupd.exe-fil. Men vi kommer att försöka undersöka innehållet mer noggrant. Extrahera certifikaten från den körbara filen med kommandot: rootsupd.exe /c /t: C:\PS\rootsupd
3. certifikat lagras i SST-filer, som authroots.sst, delroot.sst, etc. För att radera / installera ett certifikat kan du använda följande kommandon:
   updroots.exe authroots.sst
updroots.exe -d delroots.sst

men som du kan se skapades dessa certifikatfiler den 4 April 2013 (nästan ett år före slutet av officiellt stöd för Windows XP). Sedan dess har verktyget inte uppdaterats och kan inte användas för att installera uppdaterade certifikat. Lite senare behöver vi updroots.exe-fil.

Certutil: Få senaste rotcertifikat från Windows Update

den senaste versionen av Certutil.exe-verktyg för hantering av certifikat (tillgängligt i Windows 10), låter dig ladda ner från Windows Update och spara den faktiska rotcertifikatlistan till SST-filen.

för att generera en SST-fil, kör det här kommandot med administratörsbehörigheterna på en dator som kör Windows 10 och har direkt tillgång till Internet:

certutil.exe -generateSSTFromWU roots.sst

som ett resultat kommer en SST-fil som innehåller uppdaterad lista över rotcertifikat att visas i målkatalogen. Dubbelklicka för att öppna den. Den här filen är en behållare som innehåller betrodda rotcertifikat.

som du kan se öppnas en välbekant snapin-modul för certifikathantering, från vilken du kan exportera något av de certifikat du har fått. I mitt fall har det funnits 358 artiklar i listan över certifikat. Självklart är det inte rationellt att exportera certifikaten och installera dem en efter en.

för att installera alla certifikat från SST-filen och lägga till dem i listan över betrodda rotcertifikat på en dator kan du använda PowerShell-kommandona:

för att installera alla certifikat som anges i filen, använd updroots.exe (Den ligger i rötternaupd.EXE-fil, som extraherades i föregående avsnitt).

updroots.exe roots.sst

kör certmgr.MSC snap-in och se till att alla certifikat har lagts till i Trusted Root Certification Authority.