Keluarga sistem operasi Windows memiliki sistem untuk memperbarui sertifikat root secara otomatis dari situs web Microsoft. MSFT sebagai bagian dari program sertifikat root Microsoft Tepercaya Rooting Sertifikat Program, memelihara dan menerbitkan di toko daring daftar sertifikat untuk klien dan perangkat Windows. Jika sertifikat yang akan diverifikasi dalam rantai sertifikasinya merujuk ke root CA yang berpartisipasi dalam program ini, sistem akan secara otomatis mengunduh dari simpul Pembaruan Windows dan menambahkan sertifikat akar tersebut ke tepercaya..
Windows meminta pembaruan sertifikat akar trust (CTL) seminggu sekali. Jika Windows tidak memiliki akses langsung ke direktori Pembaruan Windows, sistem tidak akan dapat memperbarui sertifikat root, sehingga pengguna mungkin memiliki masalah dalam membuka situs web (sertifikat SSL yang ditandatangani oleh CA, yang tidak dipercaya, lihat artikel kesalahan Chrome "Situs ini tidak dapat menyediakan koneksi yang aman "), atau dengan instalasi dengan meluncurkan aplikasi atau skrip yang ditandatangani.
Pada artikel ini, kami akan mencoba mencari cara untuk memperbarui secara manual daftar sertifikat root di TrustedRootCA pada jaringan yang terisolasi, atau komputer / server tanpa koneksi internet langsung..
Konten:
- Mengelola sertifikat root komputer di Windows 10
- Utilitas rootupd.exe
- Certutil: mendapatkan sertifikat root melalui Pembaruan Windows
- Daftar sertifikat root dalam format STL
- Memutakhirkan sertifikat root pada Windows menggunakan GPO di lingkungan berpasir
Mengelola sertifikat root komputer di Windows 10
Cara melihat daftar sertifikat root untuk komputer Windows?
- Untuk membuka penyimpanan sertifikat root komputer di Windows 10 / 8.1 / 7 / Windows Server, mulai konsol mmc.exe;
- Klik File (File) -> Tambah atau hapus snap-in (Tambah / Hapus Snap-in), dalam daftar snap-in, pilih Sertifikasi (Sertifikat) -> Tambah (Tambah);
- Di kotak dialog, pilih apa yang ingin Anda kelola sertifikat akun komputer (Akun komputer);
- Berikutnya -> Oke -> Oke;
- Perluas Sertifikat (Sertifikat) -> Toko Otoritas Sertifikasi Akar Tepercaya (Sertifikat Root Tepercaya). Daftar ini berisi daftar sertifikat tepercaya root untuk komputer Anda..
Anda juga bisa mendapatkan daftar sertifikat root tepercaya dengan tanggal kedaluwarsa menggunakan PowerShell:
Dapatkan-Childitem cert: \ LocalMachine \ root | format-list
Anda dapat mencantumkan sertifikat yang kedaluwarsa, atau yang kedaluwarsa dalam 30 hari ke depan:
Dapatkan-ChildItem cert: \ LocalMachine \ root | Di mana $ _. NotAfter -lt (Get-Date) .AddDays (30)
Di konsol mmc, Anda dapat melihat informasi tentang sertifikat apa pun atau menghapusnya dari tepercaya.
Untuk alasan keamanan, disarankan agar Anda secara berkala memeriksa toko sertifikat untuk sertifikat palsu menggunakan utilitas Sigcheck.Anda dapat mentransfer file sertifikat root secara manual dari satu komputer ke komputer lain melalui fungsi Ekspor / Impor.
- Anda dapat mengekspor sertifikat .CER ke file dengan mengkliknya dan memilih "Semua Tugas" -> "Ekspor";
- Kemudian gunakan perintah Impor Anda dapat mengimpor sertifikat ini di komputer lain.
Utilitas rootupd.exe
Di Windows XP, utilitas yang digunakan untuk memperbarui sertifikat root rootupd.exe. Utilitas ini berisi daftar sertifikat root dan dicabut, yang ditransfer secara teratur. Utilitas itu sendiri didistribusikan sebagai pembaruan terpisah. KB931125 (Pembaruan untuk Sertifikat Root).
- Utilitas unduhan rootupd.exe, mengikuti tautan (per 15 Juli 2019 tautan tidak berfungsi, mungkin Microsoft memutuskan untuk menghapusnya dari domain publik. Saat ini, Anda dapat mengunduh utilitas dari kaspersky.com - http://media.kaspersky.com/utilities/CorporateUtilities /rootsupd.zip);
- Untuk menginstal sertifikat root Windows, jalankan file rootupd.exe. Tapi kami akan mencoba memeriksa isinya lebih hati-hati, membukanya menggunakan perintah:
rootupd.exe / c / t: C: \ PS \ rootupd
- Sertifikat terdapat dalam file SST: authroots.sst, delroot.sst, dll. Untuk menghapus / menginstal sertifikat, Anda dapat menggunakan perintah:
updroots.exe authroots.sst
updroots.exe -d delroots.sst
Tapi, Seperti yang Anda lihat, tanggal pembuatan file-file ini adalah 4 April 2013 (hampir setahun sebelum berakhirnya dukungan resmi untuk Windows XP). Dengan demikian, sejak saat itu, utilitas belum diperbarui dan tidak dapat digunakan untuk menginstal sertifikat saat ini. Namun, kita akan memerlukan file updroots.exe nanti.
Certutil: mendapatkan sertifikat root melalui Pembaruan Windows
Utilitas Manajemen dan Sertifikat Certutil (muncul di Windows 10), memungkinkan Anda untuk mengunduh daftar sertifikat root terbaru dari node Pembaruan Windows dan menyimpan daftar sertifikat root saat ini.
Untuk menghasilkan file SST pada komputer Windows 10 dengan akses Internet, jalankan perintah berikut dengan hak administrator:
certutil.exe -generateSSTFromWU roots.sst
Akibatnya, file SST yang berisi daftar sertifikat saat ini muncul di direktori tujuan. Klik dua kali untuk membuka. File ini adalah wadah yang berisi sertifikat root tepercaya..
Dalam snap-in manajemen sertifikat mmc terbuka, Anda dapat mengekspor salah satu dari sertifikat yang diterima. Dalam kasus saya, daftar sertifikat berisi 358 elemen. Secara alami, mengekspor sertifikat dan menginstal satu per satu tidak rasional.
certutil -syncWithWU. Sertifikat yang diperoleh dengan cara ini dapat didistribusikan ke klien menggunakan GPO.Untuk menginstal semua sertifikat dari file SST dan menambahkannya ke daftar sertifikat root komputer, Anda dapat menggunakan perintah PowerShell:
$ sstStore = (Get-ChildItem -Path C: \ ps \ rootupd \ roots.sst)
$ sstStore | Import-Certificate -CertStoreLocation Cert: \ LocalMachine \ Root
Anda juga dapat menggunakan utilitas updroots.exe (itu terkandung dalam arsip rootupd.exe, yang kami ekstrak di bagian sebelumnya):
updroots.exe roots.sst
Jalankan snap-in certmgr.msc dan verifikasi bahwa semua sertifikat telah ditambahkan ke repositori Otoritas Sertifikasi Root Tepercaya.
Daftar sertifikat root dalam format STL
Ada cara lain untuk mendapatkan daftar sertifikat dari Microsoft. Untuk melakukan ini, unduh file http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (diperbarui dua kali sebulan). Menggunakan pengarsipan apa pun (atau Windows Explorer), unzip konten arsip authrootstl.taksi. Ini berisi satu file. authroot.stl.
File authroot.stl adalah sebuah wadah dengan daftar sertifikat tepercaya dalam format Daftar Kepercayaan Sertifikasi.
File ini dapat diinstal pada sistem menggunakan menu konteks file STL (Instal CTL).
Atau menggunakan utilitas certutil:
certutil -addstore -f root authroot.stl
root "Otoritas Sertifikasi Root Tepercaya" CTL "0" telah ditambahkan ke repositori. CertUtil: -addstore - perintah berhasil diselesaikan.
Anda juga dapat mengimpor sertifikat dari konsol manajemen sertifikat (Kepercayaan Rooting Sertifikasi Otoritas ->Sertifikat -> Semua Tugas > Impor).
Tentukan jalur ke file STL Anda dengan sertifikat.
Setelah menjalankan perintah, di konsol manajemen sertifikat (certmgr.msc) di wadah Tepercaya Rooting Sertifikasi Otoritas (Sertifikat Root Tepercaya) bagian baru akan muncul dengan nama Sertifikat Kepercayaan Daftar (Daftar Kepercayaan Sertifikat).
Demikian pula, Anda dapat mengunduh dan menginstal daftar sertifikat yang dicabut yang telah dikeluarkan dari Program Sertifikat Akar. untuk ini, unduh file tersebut dianulircertstl.taksi (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), unzip dan tambahkan ke bagian Untrusted Certificates dengan perintah:
certutil -addstore -f dianulir tidak diizinkancert.stl
Memutakhirkan sertifikat root pada Windows menggunakan GPO di lingkungan berpasir
Jika Anda memiliki tugas untuk secara teratur memperbarui sertifikat root dalam domain Active Directory yang terisolasi Internet, ada skema yang sedikit lebih rumit untuk memperbarui toko sertifikat lokal di komputer domain menggunakan kebijakan grup. Pada jaringan Windows yang terisolasi, Anda dapat mengonfigurasi pembaruan sertifikat root di komputer pengguna dengan beberapa cara.
Cara pertama mengasumsikan bahwa Anda secara teratur mengunduh dan menyalin ke jaringan Anda yang terisolasi file dengan sertifikat root yang diperoleh sebagai berikut:
certutil.exe -generateSSTFromWU roots.sst
Kemudian sertifikat dari file ini dapat diinstal melalui skrip log masuk SCCM atau PowerShell di GPO:
$ sstStore = (Dapatkan-ChildItem -Path \\ dc01 \ SYSVOL \ winitpro.ru \ rootcert \ roots.sst)
$ sstStore | Import-Certificate -CertStoreLocation Cert: \ LocalMachine \ Root
Cara kedua melibatkan mendapatkan sertifikat root yang relevan menggunakan perintah:
Certutil -syncWithWU -f \\ dc01 \ SYSVOL \ winitpro.ru \ rootcert \
Sejumlah file sertifikat root (CRT) akan muncul di direktori jaringan yang ditentukan, termasuk file (authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt).
Kemudian, menggunakan GPP, Anda perlu mengubah nilai registri Rootootl di cabang HKLM \ Software \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate. Parameter ini harus mengarah ke folder jaringan dari mana klien perlu menerima sertifikat root baru. Buka bagian editor GPO Konfigurasi Komputer -> Preferensi -> Pengaturan Windows -> Registri. Dan buat pengaturan registri baru dengan nilai-nilai:
Aksi: Perbarui
Sarang: HKLM
Jalur utama: Perangkat Lunak \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate
Nama nilai: RootDirURL
Jenis: REG_SZ
Nilai data: file: // \\ dc01 \ SYSVOL \ winitpro.ru \ rootcert \
Tetap menetapkan kebijakan ini untuk komputer dan setelah memperbarui kebijakan memeriksa sertifikat root baru di toko.
Politik Matikan Pembaruan Sertifikat Root Otomatis di bawah Konfigurasi Komputer -> Template Administratif -> Sistem -> Manajemen Komunikasi Internet -> Pengaturan Komunikasi Internet harus dimatikan atau tidak dikonfigurasi.Pada artikel ini, kami melihat beberapa cara untuk memperbarui sertifikat root pada Internet yang terisolasi dari Windows..
