Обновление корневых сертификатов в Windows. Как посмотреть установленные сертификаты

Обновление корневых сертификатов в Windows. Как посмотреть установленные сертификаты

Обновление корневых сертификатов в Windows. Как посмотреть установленные сертификаты

Одним из методов безопасности для операционной системы Windows считается применение сертификатов. Этот документ с наличием цифровой подписи удостоверяет подлинность веб-узла, различных служб, пользователей, устройств. Они выдаются центром сертификации и сохраняются в специальных папках.

Пользователи интересуются, где хранятся сертификаты в Windows7? Ответ на самом деле прост и краток: на жестком диске и в системных папках. Но мы остановимся на некоторых вопросах в нашей статье более подробно, чтобы расставить все точки над i.

Как просмотреть, где хранятся нужные сертификаты в системе Windows 7?

Чтобы просматривать и управлять сертификатами Windows, потребуется войти в систему на правах администратора. Далее диспетчер сертификатов предоставит подробную информацию и даст возможность смены, удаления и добавления новых сертификатов.

Они сохраняются в папках, находящихся в категории «Сертификаты – текущий пользователь».
После того, как папка окажется раскрытой, информацию об этих документах можно просмотреть справа. В столбике «Предназначение» предоставляются данные о каждом из них.

Далее возможно получить новый тип документа с ключом. Его можно передавать или принимать. Для осуществления каждого действия щелкают по сертификату, а потом в меню «Действие» подбирается пункт с необходимой командой.

Принцип просмотра хранилищ

Оснастка «Сертификаты» помогает отображать хранилище пользователей, службы и устройства, в зависимости от цели выдачи документов. Если они отображены соответственно с директорией, необходимо будет подобрать отображение физического лица с отображением иерархии хранилища.

Когда пользователь обладает соответствующими правами, ему разрешено проводить импорт и экспорт сертификатов из каждой папки в хранилище. В случае, когда ключ документа отмечен в качестве доступного к экспорту, разрешается как его, так и сертификат отправить в файл PKSC№12.

Windows публикует сертификацию в доменной службе под названием Active Directory. Публикация документа дает возможность компьютерам и юзерам с разрешениями извлекать его при необходимости.

Дополнительная информация о хранилищах

Система хранит сертификаты локально на устройстве либо компьютере, если они были запрошены пользователем ранее. В хранилище содержатся многочисленные документы, полученные от различных официальных центров.

Их можно будет просматривать согласно назначению (подписание кода, проверка подлинности) и логической роли (доверенные, личные и т.п.).

Параметры директории применяют для просмотра архивированных документов и структуры хранения.

К тому же данный инструмент позволяет только создавать резервные копии соответствующих сертификатов, чем он и предложит заняться сразу после нажатия последней кнопки. Чтобы произвести резервное копирование необходимо будет первым делом выбрать необходимые сертификаты.

Далее нужно будет указать место хранения для создаваемого бэкапа и одарить его уникальным названием. Кроме этого Вас попросят ввести пароль, который потребуется для восстановления данной резервной копии.

По окончанию всего процесса Вы увидите файл в формате pfx, который и является файлом резервной копии сертификатов EFS. Такие бэкапы мы уже создавали в теме .

Утилита командной строки Chiper.exe

Аналогичный функционал по управлению сертификатами Windows, только в другом оформлении представляет утилита командной строки Chiper.exe. Описанные в предыдущем пункте действия умещаются в следующую довольно емкую команду:

Chiper.exe /x c:\papka\file.pfx

Консоль Сертификаты

На концовку я оставил основной инструмент для работы с любыми сертификатами, которые хранятся в системе Windows.

Этот инструмент управления сертификатами Windows позволяет найти нужный сертификат, удалить, настроить, сделать его резервную копию, восстановить резервную копию, а так же узнать наиболее полную информацию по данному сертификату.

Как открыть консоль Сертификаты спросите вы? Чтобы открыть данный замечательный инструмент воспользуйтесь командой меню Выполнить certmgr.msc. Чтобы создать резервную копию сертификата, необходимо выполнить правый клик по данному сертификату и выбрать последовательно:

Со всеми возможностями данного инструмента для управления сертификатами операционной системы Windows можете ознакомится напрямую. Вот такие три инструмента предоставляют пользователю возможность управления сертификатами в операционной системе Windows.

В операционных системах семейства Windows, начиная с Windows 7, присутствует система автоматического обновления корневых сертификатов с сайта Microsoft.

MSFT в рамках программы Microsoft Trusted Root Certificate Program, ведет и публикует в своем онлайн хранилище список сертификатов для клиентов и устройств Windows.

В том, случае если проверяемый сертификат в своей цепочке сертфикации относится к корневому CA, который участвует в этой программе, система автоматически скачает с узла Windows Update и добавит такой корневой сертификат в доверенные.

В том случае, если у Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневой сертификат, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия, см. статью об ошибке в Chrome « «), либо с установкой / запуском подписанных приложений или .

В этой статье попробуем разобраться, как можно вручную обновить список корневых сертификатов в TrustedRootCA в изолированных системах, или системах без прямого подключения к интернету.

Примечание. В том случае, если пользователи получают доступ в интернет через прокси сервер, для того, что работало автоматическое обновление корневых сертификатов на компьютера пользователей, Microsoft рекомендует открыть прямой доступ (bypass) к узлам Microsoft. Но это не всегда возможно/применимо.

Утилита rootsupd.exe

В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe, список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates). Посмотрим, можно ли использовать ли ее сейчас.

Но, как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до ). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов.

Получения списка корневых сертификатов с узла Windows Update с помощью Certutil

Последняя версия утилиты для управления и работы с сертификатам Certutil (представленная в Windows 10), позволяет скачать и сохранить в SST файл актуальный список корневых сертификатов.

Для генерации SST файла, на компьютере Windows 10 с прямым доступом в Интернет, выполните с правами администратора команду:

certutil.exe -generateSSTFromWU roots.sst

В результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий сертификаты.

Как вы видите, откроется знакомая оснастка управления сертификатами, из которой вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 358 элементов. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.

Совет. Для генерации индивидуальных файлов сертификатов можно использовать команду certutil -syncWithWU. Полученные таким образом .

Для установки всех сертификатов, содержащихся в файле, воспользуемся утилитой updroots.exe (она содержится в архиве rootsupd.exe, который мы распаковали в предыдущем разделе).

Установка сертификатов из STT фалйла выполняется командой:

updroots.exe roots.sst

Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority.

Список корневых сертификатов в формате STL

Есть еще один способ получения списка сертификатов с сайта Microsoft. Для этого нужно скачать файл http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (обновляется дважды в месяц).С помощью любого архиватора (или проводника Windows) распакуйте содержимое архива authrootstl.cab. Он содержит один файл .

Файл authroot.stl представляет собой контейнер со списком доверенных сертификатов в формате Certification Trust List.

Данный файл можно установить в системе с помощью контекстного меню файла STL ().

Или с помощью утилиты certutil:

certutil -addstore -f root authroot.stl

После выполнения команды, в консоли управления сертификатами (certmgr.msc) в контейнере Trusted Root Certification Authorities появится новый раздел с именем Certificate Trust List.

Аналогичным образом можно скачать и установить список с отозванными сертификатами, которые были исключены из программы Root Certificate Program. для этого, скачайте файл disallowedcertstl.cab (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), распакуйте его и добавьте в раздел Untrusted Certificates командой:

certutil -addstore -f disallowed disallowedcert.stl

В это статье мы рассмотрели несколько простейших способов обновления списка корневых сертификатов на изолированной от Интернета системе Windows.

В том случае, если возникла задача регулярного обновления корневых сертификатов в отделенном от внешней сети домене, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. Об этом подробнее в одной из ближайших статей.

Инструкция

Чтобы просмотреть все установленные сертификаты, выберите пункт «Выполнить» из меню «Пуск» и введите в командную строку certmgr.msc. В консоли управления «Сертификаты» раскройте дочерние узлы, содержащие сведения о сертификатах.

Чтобы получить данные о каждом документе, наведите на него курсор и щелкните правой клавишей мыши. В выпадающем меню выберите команду «Открыть». Во вкладке «Состав» нажмите «Свойства» и в списке «Показать» отметьте пункт «Все», чтобы система вывела подробную информацию о данном документе.

В браузерах тоже содержится информация об установленных сертификатах. Если вы используете IE, в меню «Сервис» выберите команду «Свойства обозревателя» и перейдите во вкладку «». Нажмите кнопку «Сертификаты». Для перемещения по вкладкам применяйте стрелки направления «Вправо» и «Влево» в правом верхнем углу.

Если у вас установлена Mozilla Firefox, в меню «Инструменты» выберите опцию «Настройки». Перейдите во вкладки «Дополнительные» и «Шифрование». Нажмите «Просмотр сертификатов». Разработчики этого браузера решили не выделять сертификаты, не имеющие доверия, в отдельную группу.

Чтобы посмотреть сертфикаты в Opera, в меню «Настройки» выберите пункт «Общие настройки» и перейдите во вкладку «Расширенные». В левой части экрана щелкните пункт «Безопасность» и нажмите «Управление ».

Во вкладке «Одобренные» содержится список установленных сертификатов. Нажмите «Просмотреть», чтобы получить подробную информацию о каждом сертификате.

Источники:

  • где хранятся сертификаты в windows

Система сертификатов, знакомая каждому пользователю смартфона, позволяет операционной системе этого полезного мобильного устройства контролировать запускаемое пользователем программное обеспечение, с одной стороны, предохраняя устройство от активации вирусов и других вредоносных программ, а с другой — от необдуманных действий самого пользователя, способных повредить программам и данным, находящимся в смартфоне.

Существует три основных вида сертификатов, используемых в наиболее распространенной операционной системе для смартфонов – Symbian OS.

Пользовательские, или общие сертификаты, допускают установку подписанных ими приложений любым пользователем; персональные или личные сертификаты позволяют приложению получить более широкий доступ к функциям API операционной системы, однако приложение можно только на одном ; сертификаты «LicensePlatform», дающие приложению наиболее полный доступ к возможностям системы.

Для установки неподписанных приложений необходимо сертификаты, так как установки по умолчанию запрещают установку в смартфон приложений, надежность которых не подтверждена. Для этого следует:

  1. Откройте Диспетчер приложений.
  2. Последовательно выбирайте пункты меню Функции – Настройки – Прогр. устан – Все, Проверка сертиф. – отключена. Теперь сертификаты отключены, а значит, с одной стороны, пользователь сможет устанавливать приложения без соответствующей , а с другой – даже при установки подписанных сертификатом приложений не будет происходить сертификата Интернет, а значит, будет исключен бесполезный для расход трафика.

Появление сообщения об ошибке «Неверный » или «Установка запрещена» сигнализирует о том, что отключение проверки сертификатов не было произведено. Внимательно повторите действия предлагаемой инструкции с самого начала.

В случае появления таких сообщений об ошибках, как «Срок действия сертификата истек», «Срок действия сертификата еще не наступил» не обязательно стремиться же полностью отключить сертификаты. Как правило, решить проблему удается переводом системного календаря устройства соответственно вперед или назад.

по теме

Просмотр истории посещенных страниц в браузере Internet Explorer служит удобной функцией поиска и сохранения необходимых ресурсов и является стандартным действием приложения.

Инструкция

Вызовите главное меню операционной системы Microsoft Windows для осуществления процедуры просмотра истории посещения интернет-страниц в браузере Internet Explorer 7 или 8 и перейдите в пункт «Все программы».

Найдите нужную программу и запустите браузер.

Раскройте меню «Вид» верхней панели инструментов окна приложения и перейдите в пункт «Панели обозревателя».

Укажите команду «Журнал» в раскрывающемся списке и выберите нужную запись в каталоге левой области окна а. Данное действие вызывает отображение веб-ресурсов, посещенных за выбранный отрезок времени.

Выберите нужный URL-адрес для отображения каталога интернет-страниц и укажите желаемый адрес для перехода в открытой вкладке.

Источник: https://ovokras.ru/finansovoe/obnovlenie-kornevyh-sertifikatov-v-windows-kak-posmotret.html

Обновление корневых сертификатов в Windows

Обновление корневых сертификатов в Windows. Как посмотреть установленные сертификаты

В операционных системах семейства Windows, начиная с Windows 7, присутствует система автоматического обновления корневых сертификатов с сайта Microsoft.

MSFT в рамках программы Microsoft Trusted Root Certificate Program, ведет и публикует в своем онлайн хранилище список сертификатов для клиентов и устройств Windows.

В том, случае если проверяемый сертификат в своей цепочке сертфикации относится к корневому CA, который участвует в этой программе, система автоматически скачает с узла Windows Update и добавит такой корневой сертификат в доверенные.

В том случае, если у Windows  отсутствует прямой доступ к каталогу Windows Update,  то система не сможет обновить корневой сертификат, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия), либо с установкой / запуском подписанных приложений или скриптов.

В этой статье попробуем разобраться, как можно вручную обновить список корневых сертификатов в TrustedRootCA в изолированных системах, или системах без прямого подключения к интернету.

Как установить корневой сертификат удостоверяющего центра

Обновление корневых сертификатов в Windows. Как посмотреть установленные сертификаты

Для проверки подлинности электронной подписи на компьютере, где и используется ЭЦП, обязательно должен устанавливаться корневой сертификат удостоверяющего центра.

Это открытый ключ, по которому криптопровайдер понимает, какая именно организация выдала электронную подпись и к чьему реестру необходимо обращаться для проверки актуальности ЭЦП.

Более того, только при наличии установленного в системе корневого сертификата на компьютер можно скопировать персональную электронную подпись (в виде открытого ключа, сгенерированного с помощью USB‑токена). Где получить и как установить корневой сертификат удостоверяющего центра?

Где взять корневой сертификат

Корневой сертификат удостоверяющего центра выдается самой организацией, которая и зарегистрировала электронную подпись. Как правило, предоставляют сам файл на CD-накопителе или же предлагают его скачать на официальном сайте.

Если удостоверяющий центр не предоставил необходимый файл при выдаче ЭЦП – следует обращаться к нему за получением информационной помощи.

Также нередко корневые сертификаты можно скачать на официальном сайте УЦ (к примеру, кто получал ЭЦП в «Контур», то может скачать их по адресу https://ca.kontur.ru/about/certificates).

Необходимо обратить внимание, что срок действия корневых сертификатов также ограничен и составляет 12 месяцев с даты их регистрации (выдачей занимается Минкомсвязи, его наличие у УЦ подтверждает, что организация аккредитована). Соответственно, в начале нового календарного года необходимо проводить инсталляцию нового ключа удостоверяющего центра, чтобы продолжать нормально пользоваться электронной подписью.

Можно ли установить ЭЦП без корневого сертификата

Без корневого сертификата электронную подпись установить тоже получится, но такой ключ не будет признаваться в качестве действительного. Соответственно, подписать документ не получится (КриптоПро CSP будет выдавать ошибку, ссылаясь на невозможность проверить подлинность ЭЦП).

Это актуально и для онлайн-сервисов, где выполняется авторизация через ЭЦП. Все это работать не будет даже при считывании открытого ключа непосредственно из USB-накопителя через КриптоАРМ (без интеграции корневого ключа в систему). Операционная система точно так же будет выдавать ошибку, ссылаясь на невозможность проверить подлинность подписи.

Какая информация содержится в корневом сертификате

Что такое корневой сертификат удостоверяющего центра? Это файл, где сохранена сервисная информация об удостоверяющем центре с указанием даты его действия, сервисным интернет-адресом (через который можно связаться с реестром организации). Все эти данные предоставляются в шифрованном виде, которые использует КриптоПро CSP для проверки подлинности открытой персональной ЭЦП.

Основное назначение корневого ключа – это именно проверка подлинности открытого ключа ЭЦП. Открытую подпись гражданина в теории можно украсть, но воспользоваться ею без сертификата от удостоверяющего центра – не получится. То есть, вся эта схема сделана так, чтобы предотвратить факты использования чужой ЭЦП мошенниками или просто третьими лицами.

Как установить

Как установить корневой сертификат удостоверяющего центра?

Понадобится сам файл с расширением .crt. Если он распространяется в форме архива – сперва файл необходимо разархивировать (для этого подойдет приложение WinRAR или 7Z). Затем для установки корневого сертификата необходимо следовать шагам инструкции:

  1. Необходимо правой кнопкой кликнуть на файл с расширением .crt;
  2. Выбрать «Установить сертификат», после чего запустится «Мастер импорта»;
  3. Нажать «Далее»,
  4. Выбрать «Поместить все сертификаты в выбранной хранилище»;
  5. Из диалогового окна выбрать «Доверенные корневые центры сертификации», нажать ОК (пункт «Показать только физические хранилища» не должен быть отмечен галкой);
  6. Нажать «Далее», на предупреждение системы об установке ключа неизвестного назначения можно не обращать внимание и просто закрыть данное окно, затем – кликнуть на «Готово».

В том случае, если пользователь попытается провести установку корневого сертификата удостоверяющего центра, срок действия которого уже истек, то при попытке его импорта система выдаст ошибку.

После установки корневого ключа настоятельно рекомендуется перезагрузить компьютер. В противном случае – могут возникать ошибки при запуске КриптоПро CSP (довольно частая проблема при использовании Windows XP устаревших редакций, которые официально уже не поддерживаются разработчиком ПО).

Установка в Linux

В современных дистрибутивах Linux установка корневых сертификатов удостоверяющих центров выполняется ничуть не сложнее, нежели в среде Windows. Потребуется файл с расширением .crt, достаточно по нему дважды кликнуть мышкой и выбрать «Установить» (подтвердить выбор необходимо введением пароля пользователя).

При возникновении каких-либо проблем рекомендуется воспользоваться консольной утилитой certmgr. Установка из терминала ключей удостоверяющего центра выполняется по следующей команде: certmgr -inst -store root -file . После ввода данной команды также необходимо указать пароль Root (так как файл интегрируется в корневой раздел диска).

Возможные проблемы и пути их решения

Первое, на что стоит обратить внимание если не устанавливается корневой сертификат удостоверяющего центра – это на лицензию операционной системы.

В пиратских версиях Windows функционал, отвечающий за установку и работу с сертификатами, довольно часто полностью обрезан или нарушена целостность хранилищ (из-за некоторых отключенных служб).

Поэтому начать следует именно с установки лицензионной версии Windows.

Если при попытке установки корневого сертификата удостоверяющего центра возникает ошибка на недостаточность полномочий пользователя, то это означает, что в систему необходимо войти под логином администратора и выполнить установку в таком режиме. Если речь идет о компьютере, подключенного к локальной сети предприятия, то сертификат импортируется в хранилище сервера.

Windows не может проверить подлинность сертификата

Такая ошибка возникает при использовании устаревшей редакции Windows 7. Необходимо обновить ОС до редакции Service Pack 1 и выполнить импорт сертификата удостоверяющего центра ещё раз.

Также следует упомянуть, что разработчики КриптоПро CSP рекомендуют использовать 64-битные версии операционных систем. Это актуально для Windows 7 и выше. Windows XP последней редакции (Service Pack 3) никогда не выходила в 64-битной вариации, но там с установкой сертификатов никаких подобных проблем не возникает.

Данная ошибка также часто встречается в Windows Vista (кроме редакции Service Pack 2). Решение – обновить операционную систему или установить более актуальную версию. Все это относится не только к пользовательским версиям Windows, но и к серверным.

Ошибка импорта сертификата

Если Windows выдает ошибку при попытке выполнения импорта сертификата во внутреннее хранилище, то это может указывать на:

  • использование несовместимого дистрибутива криптопровайдера (следует использовать КриптоПро CSP версии 3.5 или выше);
  • копия открытого ключа уже установлена в систему (проверить список можно через КриптоПро CSP из панели управления Windows);
  • ошибки в работе с реестром (рекомендуется выполнить восстановление системы или чистку реестра с помощью специального ПО, типа C&CLeaner);
  • срок действия корневого сертификата удостоверяющего центра истек (необходимо импортировать действующий, а не отозванный);
  • файл ключа поврежден (его целостность проверяется с помощью хеширования, на сайтах удостоверяющих центров может указываться хеш-сумма для проверки).

Если все вышеуказанные причины устранены, но ошибка все равно возникает, то следует выполнить переустановку операционной системы с очисткой всего хранилища ранее установленных пользователем сертификатов.

Обновление корневого сертификата удостоверяющего центра

При наступлении нового календарного года необходимо самостоятельно устанавливать обновленные ключи удостоверяющих центров на компьютеры, где используется ЭЦП (операционная система выдаст соответствующее напоминание при запуске).

Выполнить обновление можно двумя методами:

  1. Вручную загрузить и установить необходимый ключ.
  2. С помощью специального ПО, распространяемого удостоверяющими центрами (таковое есть, к примеру, в «Контур»).

Установка нового сертификата ничем не отличается от описанной выше. Удалять старый ключ удостоверяющего центра не обязательно – он все равно будет считаться системой как недействительный, использоваться он не будет.

Также некоторые удостоверяющие центры выпускают специальные программы для автоматической установки всех необходимых корневых сертификатов. Информацию на этот счет можно получить в самом УЦ или на их официальном сайте.

Для установки обновленных ключей действующее интернет-подключение не нужно, актуальность файла будет автоматически проверена при первом подключении к сети. Такая проверка проводится всего один раз за весь срок действия корневого сертификата.

Итого, как установить корневой сертификат удостоверяющего центра для КриптоПро? Как и любой другой ключ, потребуется лишь указать в качестве хранилища «Доверенные корневые центры». В противном случае – ключ будет импортирован как персональный, для проверки электронной подписи он использоваться не будет.

Источник: https://Pro-ECP.ru/etsp/instruktsii/instruktsiya-po-ustanovke-kornevogo-sertifikata-udostoveryayushhego-tsentra-uts.html

Обновление корневых сертификатов в Windows 10 / Windows Server 2016

Обновление корневых сертификатов в Windows. Как посмотреть установленные сертификаты

В операционные системы семейства Windows встроена система автоматического обновления корневых сертификатов с сайта Microsoft.

Компания MSFT в рамках программы корневых сертификатов Microsoft Trusted Root Certificate Program, ведет и публикует в своем онлайн хранилище список сертификатов для клиентов и устройств Windows.

Если проверяемый сертификат в своей цепочке сертификации относится к корневому CA, который участвует в этой программе, система автоматически скачает с узла Windows Update и добавит такой корневой сертификат в доверенные.

ОС Windows запрашивает обновление корневых сертификатов (certificate trust lists — CTL) один раз в неделю.

Если в Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневые сертификаты, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия, см.

статью об ошибке в Chrome «Этот сайт не может обеспечить безопасное соединение«), либо с установкой запуском подписанных приложений или скриптов.

В этой статье попробуем разобраться, как можно вручную обновить список корневых сертификатов в TrustedRootCA в изолированных сетях, или компьютерах/серверах без прямого подключения к Интернету.

Управление корневыми сертификатами компьютера в Windows 10

Как посмотреть список корневых сертфикатов компьютера с Windows?

  1. Чтобы открыть хранилище корневых сертфикатов компьютера в Windows 10/8.1/7/Windows Server, запустите консоль mmc.exe;
  2. Нажмите Файл (File) ->Добавить или удалить оснастку (Add/Remove Snap-in), в списке оснасток выберите Сертификаты (Certificates) ->Добавить (Add);
  3. В диалоговом окне выберите что вы хотите управлять сертификатами учетной записью компьютера (Computer account);
  4. Далее -> Ok -> Ok;
  5. Разверните Certificates (Сертификаты) ->Trusted Root Certification Authorities Store (Доверенные корневые сертификаты). В этом списке содержится список корневых доверенных сертификатов вашего компьютера.

Вы также можете получить список доверенных корневых сертификатов со сроками действия с помощью PowerShell:

Get-Childitem cert:\LocalMachine\root |format-list

Можно вывести список истекших сертификатов, или которые истекут в ближайшие 30 дней:

Get-ChildItem cert:\LocalMachine\root  |  Where {$_.NotAfter -lt  (Get-Date).AddDays(30)}

В консоли mmc вы можете просмотреть информацию о любом сертификате или удалить его из доверенных.

Вы можете вручную перенести файл корневого сертификата с одного компьютера на другой через функцию Экспорта/Импорта.

  1. Вы можете экспортировать любой сертификат .CER в файл, щелкнув по нему и выбрав “Все задачи” -> “Экспорт”;
  2. Затем с помощью команды Импорт можно импортировать этот сертификат на другом компьютере.

Certutil: получение корневых сертификатов через Windows Update

Утилита управления и работы с сертификатами Certutil (появилась в Windows 10), позволяет скачать с узлов Windows Update и сохранить в SST файл актуальный список корневых сертификатов.

Для генерации SST файла, на компьютере Windows 10 с доступом в Интернет, выполните с правами администратора команду:

certutil.exe -generateSSTFromWU roots.sst

В результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий доверенные корневые сертификаты.

В открывшейся mmc оснастке управления сертификатами вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 358 элемента. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.

Для установки всех сертификатов из SST файла и добавления их в список корневых сертфикатов компьютера можно воспользоваться командами PowerShell:
$sstStore = ( Get-ChildItem -Path C:\ps\rootsupd\roots.sst )

$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root

Также можно воспользоваться утилитой updroots.exe (она содержится в архиве rootsupd.exe, который мы распаковали в предыдущем разделе):

updroots.exe roots.sst

Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority.

Обновление корневых сертификатов в Windows с помощью GPO в изолированных средах

Если у вас возникла задача регулярного обновления корневых сертификатов в изолированном от Интернета домене Active Directory, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. В изолированных сетях Windows вы можете настроить обновление корневых сертификатов на компьютерах пользователей несколькими способами.

Первый способ предполагает, что вы регулярно вручную скачиваете и копируете в вашу изолированную сеть файл с корневыми сертификатами, полученный так:

certutil.exe –generateSSTFromWU roots.sst

Затем сертификаты из данного файла можно установить через SCCM или PowerShell логон скрипт в GPO:
$sstStore = ( Get-ChildItem -Path \\dc01\SYSVOL\winitpro.ru\rootcert\roots.sst )

$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root

Второй способ предполагает получение актуальных корневых сертификатов с помощью команды:

Certutil -syncWithWU -f \\dc01\SYSVOL\winitpro.ru\rootcert\

В указанном сетевом каталоге появится ряд файлов корневых сертификатов (CRT) и в том числе файлы (authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt).

Затем с помощью GPP нужно изменить значение параметра реестра RootDirURL  в ветке HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate.

Этот параметр должен указывать на сетевую папку, из которой клиентам нужно получать новые корневые сертификаты. Перейдите в секцию редактора GPO Computer Configuration ->  Preferences ->  Windows Settings -> Registry.

И создайте новый параметр реестра со значениями:

Action: Update
Hive: HKLM
Key path: Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
Value name: RootDirURL
Type: REG_SZ
Value data: file://\\dc01\SYSVOL\winitpro.ru\rootcert\

Осталось назначить эту политику на компьютеры и после обновления политик проверить появление новых корневых сертификатов в хранилище.

В этой статье мы рассмотрели несколько способов обновления корневых сертификатов на ОС Windows, изолированной от Интернета.

Источник: http://winitpro.ru/index.php/2017/03/20/obnovlenie-kornevyx-sertifikatov-v-windows/

Как вручную обновить корневые сертификаты в Windows

Обновление корневых сертификатов в Windows. Как посмотреть установленные сертификаты

В операционных системах семейства Windows, начиная с Windows 7, присутствует система автоматического обновления корневых сертификатов с сайта Microsoft.

MSFT в рамках программы Microsoft Trusted Root Certificate Program, ведет и публикует в своем онлайн хранилище список сертификатов для клиентов и устройств Windows.

В том, случае если проверяемый сертификат в своей цепочке сертфикации относится к корневому CA, который участвует в этой программе, система автоматически скачает с узла Windows Update и добавит такой корневой сертификат в доверенные.

В том случае, если у Windows  отсутствует прямой доступ к каталогу Windows Update,  то система не сможет обновить корневой сертификат, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия), либо с установкой / запуском подписанных приложений или скриптов.

В этой статье попробуем разобраться, как можно вручную обновить список корневых сертификатов в TrustedRootCA в изолированных системах, или системах без прямого подключения к интернету.

Примечание. В  том случае, если пользователи получают доступ в интернет через прокси сервер, для того, что работало автоматическое обновление корневых сертификатов на компьютера пользователей, Microsoft рекомендует открыть прямой доступ (bypass)  к узлам Microsoft. Но это не всегда возможно/применимо.

Получения списка корневых сертификатов с узла Windows Update с помощью Сertutil

Последняя версия утилиты для управления и работы с сертификатам Сertutil (представленная в Windows 10), позволяет скачать и сохранить в SST файл актуальный список корневых сертификатов.

Для генерации SST файла, на компьютере Windows 10 с прямым доступом в Интернет, выполните с правами администратора команду:

certutil.exe -generateSSTFromWU roots.sst

В результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий сертификаты.Как вы видите, откроется знакомая оснастка управления сертификатами, из которой вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 358 элементов. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.

Совет. Для генерации индивидуальных файлов сертификатов можно использовать команду certutil -syncWithWU. Полученные таким образом сертификаты можно распространить на клиентов с помощью GPO.

Для установки всех сертификатов, содержащихся в файле, воспользуемся утилитой updroots.exe (она содержится в архиве rootsupd.exe, который мы распаковали в предыдущем разделе).

Установка сертификатов из STT фалйла выполняется командой:

updroots.exe roots.sst

Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority.

Правник
Добавить комментарий