Ажурирање коријенских цертификата у систему Виндовс 10 / Виндовс Сервер 2016

Породица Виндовс оперативних система има систем за аутоматско ажурирање матичних сертификата са веб локације Мицрософт. МСФТ као део програма роот сертификата Мицрософт Поуздан Роот Сертификат Програм, одржава и објављује у својој интернетској трговини листу цертификата за Виндовс клијенте и уређаје. Ако се сертификат који треба да се верификује у његовом верификационом ланцу односи се на коријенски ЦА који учествује у овом програму, систем ће аутоматски преузети са чвора Виндовс Упдате и додати такав коријенски сертификат поузданом.

Виндовс захтева ажурирање коријенског сертификата (ЦТЛ) једном седмично. Ако Виндовс нема директан приступ директоријуму Виндовс Упдате, систем неће моћи да ажурира матичне сертификате, па ће корисник можда имати проблема са отварањем веб локација (ССЛ сертификати су потписани од стране ЦА, а коме се не верује, погледајте чланак о грешци у Цхроме-у „Ова веб локација не може да обезбеди сигурну везу ") или инсталирањем покретањем потписаних апликација или скрипти.

У овом ћемо чланку покушати сазнати како ручно ажурирати листу коријенских цертификата у ТрустедРоотЦА на изолираним мрежама или рачунарима / серверима без директне интернетске везе..

Садржај:

  • Управљање рачунарским коријенским сертификатима у систему Виндовс 10
  • Помоћни програм роотупд.еке
  • Цертутил: добијање роот-сертификата преко Виндовс Упдате-а
  • Списак роот сертификата у СТЛ формату
  • Надоградња роот-сертификата на Виндовс-у помоћу ГПО-а у окружењима са песком

Напомена. Ако ваши рачунари приступају интернету путем проки сервера, како би аутоматски ажурирали коријенске сертификате на рачунаре корисника, Мицрософт препоручује да отворите директан приступ (заобилазно) Мицрософтовим веб локацијама. Али то није увек могуће / применљиво.

Управљање рачунарским коријенским сертификатима у систему Виндовс 10

Како прегледати листу коренских сертификата за Виндовс рачунар?

  1. Да бисте отворили складиште коријенских сертификата рачунара у систему Виндовс 10 / 8.1 / 7 / Виндовс Сервер, покрените конзолу ммц.еке;
  2. Кликните на Филе (Датотека) -> Додајте или уклоните снап-ин (Додавање / уклањање додатка) на листи додатака одаберите Цертификати (Цертификати) -> Додај (Додај);
  3. У дијалошком оквиру изаберите шта желите да управљате сертификатима рачунарски рачун (Рачунарски рачун);
  4. Следеће -> Ок -> Ок;
  5. Прошири Сертификати (Цертификати) -> Трговина овлаштених корпорација ауторитета за сертификацију (Поуздани коријенски цертификати). Ова листа садржи листу сертификата о поузданом роот-у за ваш рачунар..

Такође можете добити листу поузданих коренских сертификата са датумима важења помоћу ПоверСхелл-а:

Гет-Цхилдитем церт: \ ЛоцалМацхине \ роот | листа формата

Можете да наведете истечене сертификате или који истичу у наредних 30 дана:

Гет-ЦхилдИтем церт: \ ЛоцалМацхине \ роот | Где $ _. НотАфтер -лт (датум-датум) .АддДаис (30)

На ммц конзоли можете видети информације о било ком сертификату или га уклонити из поузданог.

Из безбедносних разлога препоручује да периодично проверите складиште сертификата ради лажних цертификата помоћу услужног програма Сигцхецк.

Ручну датотеку сертификата можете ручно пренети са једног рачунара на други преко функције Извези / Увези.

  1. Можете извести било који .ЦЕР цертификат у датотеку кликом на њу и одабиром „Сви задаци“ -> „Извези“;
  2. Затим помоћу команде Увези можете да увезете овај сертификат на други рачунар.

Помоћни програм роотупд.еке

У Виндовс КСП, услужни програм који се користи за ажурирање роот-сертификата роотупд.еке. Овај услужни програм садржи списак матичних и опозваних сертификата, који су редовно ожичени. Сам услужни програм дистрибуиран је као засебно ажурирање. КБ931125 (Ажурирање за коријенске цертификате).

  1. Преузмите услужни програм роотупд.еке, следећи везу (од 15. јула 2019. веза не ради, можда је Мицрософт одлучио да је уклони из јавног домена. Тренутно, услужни програм можете преузети са касперски.цом - хттп://медиа.касперски.цом/утилитиес/ЦорпоратеУтилитиес /роотсупд.зип);
  2. Да бисте инсталирали Виндовс роот сертификате, само покрените датотеку роотупд.еке. Али покушаћемо да пажљивије проучимо његов садржај, отпакујемо га командом: роотупд.еке / ц / т: Ц: \ ПС \ роотупд
  3. Потврде се налазе у ССТ датотекама: аутхроотс.сст, делроот.сст итд. Да бисте уклонили / инсталирали цертификате, можете користити наредбе:
    упдроотс.еке аутхроотс.сст
    упдроотс.еке -д делроотс.сст

Али, Као што видите, датум креирања ових датотека је 4. априла 2013. (готово годину дана пре завршетка званичне подршке за Виндовс КСП). Дакле, од тог времена услужни програм није ажуриран и не може се користити за инсталирање тренутних сертификата. Међутим, касније ће нам требати датотека упдроотс.еке.

Цертутил: добијање роот-сертификата преко Виндовс Упдате-а

Корисност управљања и сертификата Цертутил (појавио се у Виндовс 10), омогућава вам да преузмете најновију листу коренских сертификата из чворова Виндовс Упдате и сачувате тренутну листу коренских сертификата.

Да бисте генерисали ССТ датотеку на рачунару са системом Виндовс 10 са приступом Интернету, покрените следећу наредбу са администраторским правима:

цертутил.еке -генератеССТФромВУ роот.сст

Као резултат тога, ССТ датотека која садржи тренутну листу сертификата појављује се у одредишном директорију. Двапут кликните на њу да се отворите. Ова датотека је спремник који садржи поуздане коренске сертификате..

У отвореном прикључку за управљање цертификатом ммц можете извести било који од примљених сертификата. У мом случају, листа сертификата је садржавала 358 елемената. Наравно, извоз цертификата и њихово инсталирање није рационално.

Савет. Да бисте генерисали појединачне датотеке са сертификатима, можете да користите команду цертутил -синцВитхВУ. Овако добијени сертификати могу се дистрибуирати клијентима помоћу ГПО-а.

Да бисте инсталирали све сертификате из ССТ датотеке и додали их на списак рачунарских сертификата рачунара, можете користити наредбе ПоверСхелл:

$ сстСторе = (Гет-ЦхилдИтем-Пут Ц: \ пс \ роотупд \ роот.сст)
$ сстСторе | Увоз-сертификат -ЦертСтореЛоцатион Церт: \ ЛоцалМацхине \ Роот

Такође можете да користите услужни програм подводни.еке (налази се у архиви роотупд.еке, коју смо распаковали у претходном одељку):

упдроотс.еке роот.сст

Покрените додатак цертмгр.мсц и проверите да ли су сви сертификати додани у складиште Трустед Роот Цертифицатион Аутхорити.

Списак роот сертификата у СТЛ формату

Постоји још један начин да добијете листу сертификата од Мицрософта. Да бисте то учинили, преузмите датотеку хттп://цтлдл.виндовсупдате.цом/мсдовнлоад/упдате/в3/статиц/трустедр/ен/аутхроотстл.цаб (ажурира се два пута месечно) .Кроз било који архивер (или Виндовс Екплорер), распакујте садржај архиве. аутхроотстл.такси. Садржи једну датотеку. аутхроот.стл.

Датотека аутхроот.стл је контејнер са списком поузданих сертификата у формату листе цертификата о поверењу.

Ова се датотека може инсталирати на систем користећи контекстни мени СТЛ датотеке (Инсталирај ЦТЛ).

Или употребом услужног програма цертутил:

цертутил -аддсторе -ф роот аутхроот.стл

роот "Трустед Роот Цертифицатион Аутхорити" ЦТЛ "0" је додато у спремиште. ЦертУтил: -аддсторе - команда је успешно завршена.

Такође можете да увезете сертификате са конзоле за управљање сертификатом (Поверење Роот Сертификација Власти ->Сертификати -> Све Задаци > Увези).

Специфицирајте пут до своје СТЛ датотеке цертификатима.

Након извршења команде, на конзоли за управљање сертификатом (цертмгр.мсц) у контејнеру Поуздан Роот Сертификација Власти (Трустед Роот Цертифицате) појавиће се нови одељак са називом Сертификат Поверење Листа (Лист са поверењем сертификата).

Слично томе, можете преузети и инсталирати листу опозваних потврда које су изузете из програма Роот Цертифицате. за ово преузмите датотеку дисалловедцертстл.такси (хттп://цтлдл.виндовсупдате.цом/мсдовнлоад/упдате/в3/статиц/трустедр/ен/дисалловедцертстл.цаб), распакујте је и додајте је у одељак Непоуздани сертификати са наредбом:

цертутил -аддсторе -ф онемогућено дисалловедцерт.стл

Надоградња роот-сертификата на Виндовс-у помоћу ГПО-а у окружењима са песком

Ако имате задатак да редовно ажурирате матичне цертификате у Интернет-изолованом домену Ацтиве Дирецтори, постоји мало компликованија шема за ажурирање локалних складишта сертификата на рачунарима домена помоћу групних смерница. На изолованим Виндовс мрежама, можете да конфигуришете ажурирања коријенског сертификата на рачунару корисника на неколико начина.

Први начин претпоставља да редовно ручно преузимате и копирате у изоловану мрежу датотеку са роот-сертификатима добијеним на следећи начин:

цертутил.еке -генератеССТФромВУ роот.сст

Тада се сертификати из ове датотеке могу инсталирати преко СЦЦМ или ПоверСхелл скрипте за пријаву у ГПО:

$ сстСторе = (Гет-ЦхилдИтем-Пут \\ дц01 \ СИСВОЛ \ винитпро.ру \ роотцерт \ роот.сст)
$ сстСторе | Увоз-сертификат -ЦертСтореЛоцатион Церт: \ ЛоцалМацхине \ Роот

Други начин укључује добијање одговарајућих роот сертификата коришћењем наредбе:

Цертутил -синцВитхВУ -ф \\ дц01 \ СИСВОЛ \ винитпро.ру \ роотцерт \

У специфицираном мрежном директоријуму ће се појавити одређени број роот-сертификата (ЦРТ), укључујући датотеке (аутхроотстл.цаб, дисалловедцертстл.цаб, дисалловедцерт.сст, тхумбпринт.црт).

Затим, користећи ГПП, морате да промените вредност регистра Роотоотл  у филијали ХКЛМ \ Софтваре \ Мицрософт \ СистемЦертифицате \ АутхРоот \ АутоУпдате. Овај параметар треба упућивати на мрежну фасциклу из које клијенти требају да добију нове роот сертификате. Идите на одељак ГПО едитор Конфигурација рачунара -> Поставке -> Поставке оперативног система Виндовс -> Регистар. И створите нову поставку регистра са вредностима:

Акција: Ажурирање
Кошница: ХКЛМ
Кључни пут: Софтвер \ Мицрософт \ СистемЦертифицате \ АутхРоот \ АутоУпдате
Име вредности: РоотДирУРЛ
Тип: РЕГ_СЗ
Подаци о вредности: датотека: // \\ дц01 \ СИСВОЛ \ винитпро.ру \ роотцерт \

Остаје да ову политику доделите рачунарима и након ажурирања смерница проверите да ли постоје нови роот сертификати у продавници.

Политика Искључите аутоматско ажурирање коријенских сертификата у оквиру Конфигурација рачунара -> Административни предлошци -> Систем -> Управљање Интернет комуникацијом -> Подешавања Интернет комуникације треба искључити или не конфигурисати.

У овом смо чланку погледали неколико начина за ажурирање роот-сертификата на изолованом Интернету са Виндовс-а..