ПРОГРАММА ДЛЯ ОБНОВЛЕНИЯ СЕРТИФИКАТОВ

ПРОГРАММА ДЛЯ ОБНОВЛЕНИЯ СЕРТИФИКАТОВ ЭЦП

По умолчанию, все операционные системы семейства Windows автоматически получают и обновляют корневые сертификаты с сайта Microsoft. Компания MSFT в рамках программы корневых сертификатов Microsoft Trusted Root Certificate Program, ведет и публикует в своем онлайн хранилище сертификаты для клиентов и устройств Windows. Если проверяемый сертификат в своей цепочке сертификации относится к корневому CA, который участвует в этой программе, Windows автоматически скачает с узла Microsoft Update и добавит такой корневой сертификат в доверенные на вашем компьютере.

Windows запрашивает обновление списка корневых сертификатов (certificate trust lists — CTL) один раз в неделю. Если в Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневые сертификаты, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны недоверенными CA, см. статью об ошибке в Chrome Этот сайт не может обеспечить безопасное соединение), либо с установкой запуском подписанных приложений или скриптов.

В этой статье попробуем разобраться, как в Windows вручную обновить список корневых сертификатов в TrustedRootCA в изолированных сетях, или компьютерах/серверах без прямого подключения к Интернету.

Примечание. Если ваши компьютеры выходят в Интернет через прокси-сервер, для автоматического обновления корневых сертификатов Microsoft рекомендует открыть прямой доступ (bypass) к веб-узлам Microsoft. Но это не всегда возможно/применимо.

Совместимость: от Windows XP до Windows 11 (x86/x64)

Данный обновлятор представляет собой 7z SFX архив со следующим конфигом:

и содержит актуальные на дату публикации файлы authroots.sst, delroots.sst, roots.sst, updroots.sst и disallowedcert.sst

Вы можете самостоятельно обновлять обновлятор) открыв его в архиваторе 7-Zip и перетянув в него более свежие sst-файлы:

На применённый в наборе SFX модуль 7-Zip возможен ложный детект антивируса. Отключите временно антивирус или используйте другой вариант обновления сертификатов.

Другие варианты обновления корневых сертификатов:

Набор от Vanadiy777 (обновляется автором)

Набор от boss911

Набор от sov44 (обновляется автором)

Набор от san02

Russian Trusted Root CA + Russian Trusted Sub CA — Российский корневой сертификат

Набор установки и обновления корневых сертификатов UpdRootsCert версия 23.05.14.2

Набор обновлен до версии 23.05.14.2

Набор обновлен до версии 23.04.30.4

Набор обновлен до версии 23.03.17.3

Набор обновлен до версии 23.03.02.1

Набор обновлен до версии 23.01.19.3

ЭЦП:  ТОЧКА ЭДО ЧТО ТАКОЕ ФУНКЦИЯ СИСТЕМЫ ЭДО

Набор обновлен до версии 22.11.30.4

Набор UpdRootsCert 22.11.06.4 пересобран в другой кодировке

Набор обновлен до версии 22.11.06.4 (Old)

Набор обновлен до версии 22.11.01.1

Набор обновлен до версии 22.10.26

Набор модернизирован и обновлен до версии 22.10.20

Набор обновлен до версии 22.10.16

Набор обновлен до версии 22.10.14

Набор обновлен до версии 22.09.30

Набор обновлен до версии 22.09.25

Набор обновлен до версии 22.08.23

Набор установки сертификатов, версия 22.06.30

Архивные версии программы

Ключи для тихой установки: (Примеры)

Параметры «/Tasks=» можно указывать в любой последовательности через запятую.

Скан на VirusTotal

Обновление корневых сертификатов в Windows с помощью GPO в изолированных средах

Если у вас возникла задача регулярного обновления корневых сертификатов в изолированном от Интернета домене Active Directory, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. В изолированных сетях Windows вы можете настроить обновление корневых сертификатов на компьютерах пользователей несколькими способами.

Первый способ предполагает, что вы регулярно вручную скачиваете и копируете в вашу изолированную сеть файл с корневыми сертификатами, полученный так:

certutil.exe –generateSSTFromWU roots.sst

Второй способ предполагает получение актуальных корневых сертификатов с помощью команды:

Certutil -syncWithWU -f \dc01SYSVOLwinitpro.ru
ootcert

В указанном сетевом каталоге появится ряд файлов корневых сертификатов (CRT) и в том числе файлы (authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt).


ПРОГРАММА ДЛЯ ОБНОВЛЕНИЯ СЕРТИФИКАТОВ

Action: UpdateHive: HKLMKey path: SoftwareMicrosoftSystemCertificatesAuthRootAutoUpdateValue name: RootDirURLType: REG_SZValue data: file://\dc01SYSVOLwinitpro.ru
ootcert


ПРОГРАММА ДЛЯ ОБНОВЛЕНИЯ СЕРТИФИКАТОВ

Осталось назначить эту политику на компьютеры и после обновления настроек GPO на клиенте проверить появление новых корневых сертификатов в хранилище.

Утилита rootsupd. exe для обновления сертификатов в Windows XP

В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe. В этой утилита содержится список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates).

ЭЦП:  Примеры запросов на создание подписи средствами REST API | КриптоПро DSS

Но, как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до окончания официальной поддержки Windows XP). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов. Однако нам чуть позже понадобится файл updroots.exe.

Была информация, что утилиту updroots.exe нежелательно использовать в современных билдах Windows 10 1803+, т.к. она может сломать корневой сертификат Microsoft Root Certificate Authority.

В этой статье мы рассмотрели несколько способов обновления корневых сертификатов на компьютерах Windows, изолированных от Интернета.

Ручное обновление корневых сертификатов в Windows 10 и 11

Для генерации SST файла, на компьютере Windows 10/11 с доступом в Интернет, выполните с правами администратора команду:

certutil.exe -generateSSTFromWU c:PS
oots.sst

Updated SST file.
CertUtil: -generateSSTFromWU command completed successfully.

В результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий доверенные корневые сертификаты.


ПРОГРАММА ДЛЯ ОБНОВЛЕНИЯ СЕРТИФИКАТОВ

В указанном каталоге появится файл SST, содержащий актуальный список сертификатов. Данный файл представляет собой контейнер, содержащий доверенные корневые сертификаты. Дважды щелкните по нему.

В открывшейся
mmc
консоли вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 436 элементов. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.

Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority. В нашем примере на Windows 11 количество корневых сертификатов увеличилось с 34 до 438.


ПРОГРАММА ДЛЯ ОБНОВЛЕНИЯ СЕРТИФИКАТОВ

Чистая копия Windows после установки содержит в корневом хранилище лишь небольшое количество сертификатов. Если компьютер подключен к интернету, остальные корневые сертификаты будут устанавливаться автоматически (по требованию), если ваше устройство попытается получить доступ к HTTPS сайту/SSL сертификату, в чей цепочке доверия есть отпечаток из CTL Microsoft. Поэтому как правило, нет необходимости добавлять в свое локальное хранилище сразу все сертификаты, доверенные Microsoft.

Включить/отключить автоматическое обновление корневых сертификатов в Windows

Как мы уже упомянули, Windows по умолчанию сама обновляет корневые сертификаты. Вы можете включить или отключить обновление сертификатов в Windows через GPO или реестр.

Параметр Turn off Automatic Root Certificates Update в этом разделе позволяет отключить автоматическое обновление корневых сертификатов через сайт Windows Update. По умолчанию это политика не настроена и Windows всегда пытается автоматически обновлять корневые сертификаты.

ЭЦП:  Интернет-магазин КриптоАРМ.Ру. Программы для электронной подписи.


ПРОГРАММА ДЛЯ ОБНОВЛЕНИЯ СЕРТИФИКАТОВ

Если эта политика не настроена, а сертификаты не обновляются автоматически, проверьте не включен ли вручную параметр реестра, отвечающий за эту настройку. Проверьте значение параметра реестра с помощью PowerShell:

Get-ItemProperty -Path ‘HKLM:SoftwarePoliciesMicrosoftSystemCertificatesAuthRoot’ -Name DisableRootAutoUpdate


ПРОГРАММА ДЛЯ ОБНОВЛЕНИЯ СЕРТИФИКАТОВ

Если команда вернет, что значение ключа
DisableRootAutoUpdate=1
, значит на вашем компьютере отключено обновление корневых сертификатов. Чтобы включить его, измените значение параметра на 0.

Обновление корневых сертификатов в Windows 7

Несмотря на то, что Windows 7 уже снята с поддержки, есть много пользователей и компаний, в которых она еще используется.

После установки чистой Windows 7 из образа вы может столкнуться, что многие современные программы и инструменты на ней не работают из-за того, что они подписаны с помощью новых сертификатов. В частности, были жалобы, что в Windows 7 64 без обновления сертификатов не удается установить . Net Framework 4.8. или

vs_Community.exe с ошибкой:

installer manifest failed signature validation

После этого вы можете использовать утилиту certutil для генерации SST файла с сертификатами (на этом или на другом компьютере):

Теперь можно импортировать сертификаты в доверенные:

Управление корневыми сертификатами в Windows 10 и 11

Как посмотреть список корневых сертификатов на устройстве Windows?

Вы можете вывести список доверенных корневых сертификатов на вашем компьютере со сроками их действия с помощью PowerShell:

Можно вывести список истекших сертификатов, или которые истекут в ближайшие 30 дней:


ПРОГРАММА ДЛЯ ОБНОВЛЕНИЯ СЕРТИФИКАТОВ

Вы можете вручную перенести файл корневого сертификата с одного компьютера на другой с помощью функцию Экспорта/Импорта.

Список корневых сертификатов в формате STL

Файл authroot.stl представляет собой контейнер со списком отпечатков (thumbprint) доверенных сертификатов Microsoft в формате Certification Trust List.


ПРОГРАММА ДЛЯ ОБНОВЛЕНИЯ СЕРТИФИКАТОВ

Данный файл можно установить в системе с помощью утилиты certutil:

certutil -enterprise -f -v -AddStore «Root» «C:PSauthroot.stl»


ПРОГРАММА ДЛЯ ОБНОВЛЕНИЯ СЕРТИФИКАТОВ

Root «Trusted Root Certification Authorities»
CTL 0 added to store.
CertUtil: -addstore command completed successfully.


ПРОГРАММА ДЛЯ ОБНОВЛЕНИЯ СЕРТИФИКАТОВ

После выполнения команды, в консоли управления сертификатами (
certmgr.msc
) в контейнере Trusted Root Certification Authorities (Доверенные корневые сертификаты) появится новый раздел с именем Certificate Trust List (Список доверия сертификатов).


ПРОГРАММА ДЛЯ ОБНОВЛЕНИЯ СЕРТИФИКАТОВ

certutil -enterprise -f -v -AddStore disallowed «C:PSdisallowedcert.stl »

Оцените статью
ЭЦП64
Добавить комментарий