В этой статье описывается обновление, которое позволяет срочные обновления для Программы корневых сертификатов Windows в Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, Windows 8, Windows RT, Windows Server 2012, Windows 7 и Windows Server 2008 R2. Перед установкой этого обновления, см. Дополнительные сведения об этом обновлении и извлечь необходимые компоненты в этой статье.
Сведения об этом обновлении
Программа корневых сертификатов Windows (Windows Root Certificate Program) обеспечивает автоматическое распространение доверенных корневых сертификатов в Windows. Обычно клиентский компьютер запрашивает обновление корневых сертификатов один раз в неделю. После применения этого обновления, клиентский компьютер может получать обновления срочные корневой сертификат в течение 24 часов.
Известные проблемы
После установки этого обновления при запуске Windows Update может появиться ошибка 0x800706f7.
Решение
Чтобы устранить эту проблему, установите обновление 3024777.
Как получить это обновление
Метод 1. Центр обновления Windows
Метод 2. Центр загрузки Майкрософт
Следующие файлы доступны для загрузки из Центра загрузки Майкрософт.
|
Операционная система |
Обновление |
|---|---|
|
Для всех поддерживаемых 86-разрядных версий Windows 8.1 |
|
|
Для всех поддерживаемых 64-разрядных версий Windows 8.1 |
|
|
Для всех поддерживаемых 64-разрядных версий Windows Server 2012 R2 |
|
|
Для всех поддерживаемых 32-разрядных версий Windows 8 |
|
|
Для всех поддерживаемых версий Windows 8 для систем на базе x64 |
|
|
Для всех поддерживаемых 64-разрядных версий Windows Server 2012 |
|
|
Для всех поддерживаемых 86-разрядных версий Windows 7 |
|
|
Для всех поддерживаемых 64-разрядных версий Windows 7 |
|
|
Для всех поддерживаемых 64-разрядных версий Windows Server 2008 R2 |
|
|
Для всех поддерживаемых версий Windows Server 2008 R2 для платформы IA-64 |
|
Notes
-
Следует запускать программу установки из командной строки с повышенными правами.
-
Обновление для Windows RT 8.1 или Windows RT можно получить только из центра обновления Windows.
Для получения дополнительных сведений о том, как скачать файлы поддержки Майкрософт, щелкните следующий номер статьи базы знаний Майкрософт.
Как загрузить файлы поддержки Microsoft через оперативные службы 119591Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последнее антивирусное программное обеспечение, доступное на период публикации файла. Файл хранится на защищенных серверах, что предотвращает его несанкционированное изменение.
Способ 3: Накопительный пакет обновления для Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, Windows 8, Windows RT или Windows Server 2012
Установите одно из следующих накопительных пакетов обновления, датированные декабря 2014 г.
-
Получить декабря 2014 накопительный пакет обновления для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2
-
Получить декабря 2014 накопительный пакет обновления для Windows RT, Windows 8 и Windows Server 2012
Примечание. Накопительный пакет обновления устраняет многие другие проблемы, отдельное обновление устраняет проблему. Накопительный пакет обновления больше, чем отдельное обновление. Таким образом накопительный пакет обновлений занимает больше времени при загрузке.
Сведения об обновлении
Предварительные условия
Для установки этого обновления необходимо установить обновление 2919355 в Windows Server 2012 R2 или Windows 8.1. Или установите Пакет обновления 1 для Windows 7 или Windows Server 2008 R2.
Сведения о реестре
Чтобы применить это обновление, нет необходимости вносить изменения в реестр.
Необходимость перезагрузки
Возможно потребуется перезагрузить компьютер после установки этого обновления.
Сведения о замене обновлений
Это обновление не заменяет ранее выпущенное обновление.
Дополнительные сведения
Дополнительные сведения см. ниже статьях базы знаний Майкрософт:
2677070 Программа автоматического обновления для отозванных сертификатов для Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2
2813430 Обновление, которое позволяет администраторам обновлять надежные и запрещенные CTL в отключенных средах в Windows
Глобальная версия этого обновления устанавливает файлы, которые имеют атрибуты, перечисленные в следующих таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.
Сведения о файлах Windows 8.1 и Windows Server 2012 R2 и заметки
-
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.
Версия
Продукт
Контрольная точка
Направление поддержки
6.3.960 0.17 xxx
Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2
RTM
GDR
-
Файлы MANIFEST (.manifest) и MUM (.mum), устанавливаемые для каждой среды не указываются.
Для всех поддерживаемых 32-разрядных версий Windows 8.1
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.3.9600.17475 |
1,612,992 |
30-Oct-2014 |
23:38 |
x86 |
Для всех поддерживаемых версий на базе x64 Windows 8.1 или Windows Server 2012 R2
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.3.9600.17475 |
1,970,432 |
30-Oct-2014 |
23:39 |
x64 |
|
Crypt32.dll |
6.3.9600.17475 |
1,612,992 |
30-Oct-2014 |
23:38 |
x86 |
Для всех поддерживаемых версий Windows 8.1 для систем на базе ARM
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.3.9600.17475 |
1,499,336 |
30-Oct-2014 |
23:32 |
Неприменимо |
Сведения о файле Windows 8 и Windows Server 2012 и заметки
-
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.
Версия
Продукт
Контрольная точка
Направление поддержки
6.2.920 0.17xxx
Windows 8, Windows RT или Windows Server 2012
RTM
GDR
6.2.920 0.21xxx
Windows 8, Windows RT или Windows Server 2012
RTM
LDR
-
Выпуски обновлений GDR содержат только те исправления, которые выпускаются повсеместно и предназначены для устранения распространенных критических проблем. В обновления LDR входят также специализированные исправления.
-
Файлы MANIFEST (.manifest) и MUM (.mum), устанавливаемые для каждой среды не указываются.
Для всех поддерживаемых версий Windows 8 для систем на базе x86
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.2.9200.17164 |
1,569,792 |
30-Oct-2014 |
05:22 |
x86 |
|
Crypt32.dll |
6.2.9200.21279 |
1,591,808 |
30-Oct-2014 |
00:46 |
x86 |
Для всех поддерживаемых версий x64 под управлением Windows 8 или Windows Server 2012
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.2.9200.17164 |
1,890,816 |
30-Oct-2014 |
07:20 |
x64 |
|
Crypt32.dll |
6.2.9200.21279 |
1,919,488 |
30-Oct-2014 |
00:51 |
x64 |
|
Crypt32.dll |
6.2.9200.17164 |
1,569,792 |
30-Oct-2014 |
05:22 |
x86 |
|
Crypt32.dll |
6.2.9200.21279 |
1,591,808 |
30-Oct-2014 |
00:46 |
x86 |
Для всех поддерживаемых версий Windows 8 для систем на базе ARM
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.2.9200.17164 |
1,403,392 |
30-Oct-2014 |
05:45 |
Неприменимо |
Информация о файлах для Windows 7 и Windows Server 2008 R2 и примечания
-
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.
-
Выпуски обновлений GDR содержат только те исправления, которые выпускаются повсеместно и предназначены для устранения распространенных критических проблем. В обновления LDR входят также специализированные исправления.
-
Файлы MANIFEST (.manifest) и MUM (.mum), устанавливаемые для каждой среды не указываются.
Для всех поддерживаемых 86-разрядных версий Windows 7
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.1.7601.18700 |
1,174,528 |
12-Dec-2014 |
05:07 |
x86 |
|
Crypt32.dll |
6.1.7601.22908 |
1,175,040 |
12-Dec-2014 |
05:38 |
x86 |
|
Cryptnet.dll |
6.1.7601.18205 |
103,936 |
09-Jul-2013 |
04:46 |
x86 |
|
Cryptnet.dll |
6.1.7601.22780 |
106,496 |
19-Aug-2014 |
02:47 |
x86 |
|
Cryptsvc.dll |
6.1.7601.18526 |
143,872 |
07-Jul-2014 |
01:40 |
x86 |
|
Cryptsvc.dll |
6.1.7601.22856 |
145,920 |
30-Oct-2014 |
02:14 |
x86 |
|
Wintrust.dll |
6.1.7601.18526 |
179,200 |
07-Jul-2014 |
01:40 |
x86 |
|
Wintrust.dll |
6.1.7601.22736 |
179,200 |
07-Jul-2014 |
01:41 |
x86 |
Для всех поддерживаемых 64-разрядных версий Windows 7 и Windows Server 2008 R2
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.1.7601.18700 |
1,480,192 |
12-Dec-2014 |
05:31 |
x64 |
|
Crypt32.dll |
6.1.7601.22908 |
1,480,704 |
12-Dec-2014 |
06:02 |
x64 |
|
Cryptnet.dll |
6.1.7601.18205 |
139,776 |
09-Jul-2013 |
05:46 |
x64 |
|
Cryptnet.dll |
6.1.7601.22780 |
142,336 |
19-Aug-2014 |
03:05 |
x64 |
|
Cryptsvc.dll |
6.1.7601.18526 |
187,904 |
07-Jul-2014 |
02:06 |
x64 |
|
Cryptsvc.dll |
6.1.7601.22736 |
190,976 |
07-Jul-2014 |
02:06 |
x64 |
|
Wintrust.dll |
6.1.7601.18526 |
229,376 |
07-Jul-2014 |
02:07 |
x64 |
|
Wintrust.dll |
6.1.7601.22736 |
229,376 |
07-Jul-2014 |
02:06 |
x64 |
|
Crypt32.dll |
6.1.7601.18700 |
1,174,528 |
12-Dec-2014 |
05:07 |
x86 |
|
Crypt32.dll |
6.1.7601.22908 |
1,175,040 |
12-Dec-2014 |
05:38 |
x86 |
|
Cryptnet.dll |
6.1.7601.18205 |
103,936 |
09-Jul-2013 |
04:46 |
x86 |
|
Cryptnet.dll |
6.1.7601.22780 |
106,496 |
19-Aug-2014 |
02:47 |
x86 |
|
Cryptsvc.dll |
6.1.7601.18526 |
143,872 |
07-Jul-2014 |
01:40 |
x86 |
|
Cryptsvc.dll |
6.1.7601.22856 |
145,920 |
30-Oct-2014 |
02:14 |
x86 |
|
Wintrust.dll |
6.1.7601.18526 |
179,200 |
07-Jul-2014 |
01:40 |
x86 |
|
Wintrust.dll |
6.1.7601.22736 |
179,200 |
07-Jul-2014 |
01:41 |
x86 |
Для всех поддерживаемых версий Windows Server 2008 R2 для систем на базе процессоров IA-64
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.1.7601.18700 |
2,690,048 |
12-Dec-2014 |
04:45 |
IA-64 |
|
Crypt32.dll |
6.1.7601.22908 |
2,691,072 |
12-Dec-2014 |
04:45 |
IA-64 |
|
Cryptnet.dll |
6.1.7601.18205 |
267,264 |
09-Jul-2013 |
04:27 |
IA-64 |
|
Cryptnet.dll |
6.1.7601.22780 |
272,896 |
19-Aug-2014 |
02:13 |
IA-64 |
|
Cryptsvc.dll |
6.1.7601.18526 |
388,608 |
07-Jul-2014 |
01:22 |
IA-64 |
|
Cryptsvc.dll |
6.1.7601.22736 |
392,704 |
07-Jul-2014 |
01:25 |
IA-64 |
|
Wintrust.dll |
6.1.7601.18526 |
514,048 |
07-Jul-2014 |
01:22 |
IA-64 |
|
Wintrust.dll |
6.1.7601.22736 |
514,048 |
07-Jul-2014 |
01:25 |
IA-64 |
|
Crypt32.dll |
6.1.7601.18700 |
1,174,528 |
12-Dec-2014 |
05:07 |
x86 |
|
Crypt32.dll |
6.1.7601.22908 |
1,175,040 |
12-Dec-2014 |
05:38 |
x86 |
|
Cryptnet.dll |
6.1.7601.18205 |
103,936 |
09-Jul-2013 |
04:46 |
x86 |
|
Cryptnet.dll |
6.1.7601.22780 |
106,496 |
19-Aug-2014 |
02:47 |
x86 |
|
Cryptsvc.dll |
6.1.7601.18526 |
143,872 |
07-Jul-2014 |
01:40 |
x86 |
|
Cryptsvc.dll |
6.1.7601.22856 |
145,920 |
30-Oct-2014 |
02:14 |
x86 |
|
Wintrust.dll |
6.1.7601.18526 |
179,200 |
07-Jul-2014 |
01:40 |
x86 |
|
Wintrust.dll |
6.1.7601.22736 |
179,200 |
07-Jul-2014 |
01:41 |
x86 |
Ссылки
См. термины , которые корпорация Майкрософт использует для описания обновлений программного обеспечения.
По умолчанию, все операционные системы семейства Windows автоматически получают и обновляют корневые сертификаты с сайта Microsoft. Компания MSFT в рамках программы корневых сертификатов Microsoft Trusted Root Certificate Program, ведет и публикует в своем онлайн хранилище сертификаты для клиентов и устройств Windows. Если проверяемый сертификат в своей цепочке сертификации относится к корневому CA, который участвует в этой программе, Windows автоматически скачает с узла Microsoft Update и добавит такой корневой сертификат в доверенные на вашем компьютере.
Windows запрашивает обновление списка корневых сертификатов (certificate trust lists — CTL) один раз в неделю. Если в Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневые сертификаты, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны недоверенными CA, см. статью об ошибке в Chrome Этот сайт не может обеспечить безопасное соединение), либо с установкой запуском подписанных приложений или скриптов.
В этой статье попробуем разобраться, как в Windows вручную обновить список корневых сертификатов в TrustedRootCA в изолированных сетях, или компьютерах/серверах без прямого подключения к Интернету.
Содержание:
- Управление корневыми сертификатами в Windows 10 и 11
- Включить/отключить автоматическое обновление корневых сертификатов в Windows
- Ручное обновление корневых сертификатов в Windows 10 и 11
- Список корневых сертификатов в формате STL
- Обновление корневых сертификатов в Windows с помощью GPO в изолированных средах
- Обновление корневых сертификатов в Windows 7
- Утилита rootsupd.exe для обновления сертификатов в Windows XP
Примечание. Если ваши компьютеры выходят в Интернет через прокси-сервер, для автоматического обновления корневых сертификатов Microsoft рекомендует открыть прямой доступ (bypass) к веб-узлам Microsoft. Но это не всегда возможно/применимо.
Управление корневыми сертификатами в Windows 10 и 11
Как посмотреть список корневых сертификатов на устройстве Windows?
- Чтобы открыть хранилище корневых сертификатов компьютера в Windows /Windows Server, запустите консоль
mmc.exe
; - Нажмите Файл (File) -> Добавить или удалить оснастку (Add/Remove Snap-in), в списке оснасток выберите Сертификаты (Certificates) -> Добавить (Add);
- В диалоговом окне выберите что вы хотите управлять сертификатами учетной записи компьютера (Computer account);
- Далее -> Ok -> Ok;
- Разверните Certificates (Сертификаты) -> Trusted Root Certification Authorities Store (Доверенные корневые сертификаты). В этом списке содержится список доверенных корневых сертификатов вашего компьютера.
Вы можете вывести список доверенных корневых сертификатов на вашем компьютере со сроками их действия с помощью PowerShell:
Get-Childitem cert:LocalMachineroot |format-list
Можно вывести список истекших сертификатов, или которые истекут в ближайшие 30 дней:
Get-ChildItem cert:LocalMachineroot| Where {$_.NotAfter -lt (Get-Date).AddDays(30)} |select NotAfter, Subject
В целях безопасности рекомендует периодически проверять хранилище доверенных сертификатов на наличие поддельных сертификатов с помощью утилиты Sigcheck. Утилита позволяет сравнить список сертификатов, установленных на компьютере со списком корневых сертификатов на сайте Microsoft (можно скачать офлайн файл с актуальными сертификатами authrootstl.cab).
Вы можете вручную перенести файл корневого сертификата с одного компьютера на другой с помощью функцию Экспорта/Импорта.
- Вы можете экспортировать любой сертификат .CER в файл, щелкнув по нему и выбрав “Все задачи” -> “Экспорт”;
- Затем с помощью команды Импорт можно импортировать этот сертификат на другом компьютере.
Включить/отключить автоматическое обновление корневых сертификатов в Windows
Как мы уже упомянули, Windows по умолчанию сама обновляет корневые сертификаты. Вы можете включить или отключить обновление сертификатов в Windows через GPO или реестр.
Откройте локальный редактор групповой политики (gpedit.msc) и перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Internet Communication Management -> Internet Communication.
Параметр Turn off Automatic Root Certificates Update в этом разделе позволяет отключить автоматическое обновление корневых сертификатов через сайт Windows Update. По умолчанию это политика не настроена и Windows всегда пытается автоматически обновлять корневые сертификаты.
Если эта политика не настроена, а сертификаты не обновляются автоматически, проверьте не включен ли вручную параметр реестра, отвечающий за эту настройку. Проверьте значение параметра реестра с помощью PowerShell:
Get-ItemProperty -Path 'HKLM:SoftwarePoliciesMicrosoftSystemCertificatesAuthRoot' -Name DisableRootAutoUpdate
Если команда вернет, что значение ключа
DisableRootAutoUpdate=1
, значит на вашем компьютере отключено обновление корневых сертификатов. Чтобы включить его, измените значение параметра на 0.
Ручное обновление корневых сертификатов в Windows 10 и 11
Утилита управления и работы с сертификатами Certutil (появилась в Windows 10, для Windows 7 доступна в виде отдельного обновления), позволяет скачать с узлов Windows Update и сохранить в SST файл актуальный список корневых сертификатов.
Для генерации SST файла, на компьютере Windows 10/11 с доступом в Интернет, выполните с правами администратора команду:
certutil.exe -generateSSTFromWU c:PSroots.sst
Updated SST file. CertUtil: -generateSSTFromWU command completed successfully.
В результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий доверенные корневые сертификаты.
В указанном каталоге появится файл SST, содержащий актуальный список сертификатов. Данный файл представляет собой контейнер, содержащий доверенные корневые сертификаты. Дважды щелкните по нему.
В открывшейся
mmc
консоли вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 436 элементов. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.
Для установки всех сертификатов из SST файла и добавления их в список корневых сертификатов компьютера можно воспользоваться командами PowerShell:
$sstStore = ( Get-ChildItem -Path C:psrootsupdroots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:LocalMachineRoot
Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority. В нашем примере на Windows 11 количество корневых сертификатов увеличилось с 34 до 438.
Чистая копия Windows после установки содержит в корневом хранилище лишь небольшое количество сертификатов. Если компьютер подключен к интернету, остальные корневые сертификаты будут устанавливаться автоматически (по требованию), если ваше устройство попытается получить доступ к HTTPS сайту/SSL сертификату, в чей цепочке доверия есть отпечаток из CTL Microsoft. Поэтому как правило, нет необходимости добавлять в свое локальное хранилище сразу все сертификаты, доверенные Microsoft.
Список корневых сертификатов в формате STL
Есть еще один способ получения списка сертификатов с сайта Microsoft. Для этого нужно скачать файл http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (обновляется дважды в месяц).С помощью любого архиватора (или проводника Windows) распакуйте содержимое архива authrootstl.cab. Он содержит один файл authroot.stl.
Файл authroot.stl представляет собой контейнер со списком отпечатков (thumbprint) доверенных сертификатов Microsoft в формате Certification Trust List.
Данный файл можно установить в системе с помощью утилиты certutil:
certutil -enterprise -f -v -AddStore "Root" "C:PSauthroot.stl"
Root "Trusted Root Certification Authorities" CTL 0 added to store. CertUtil: -addstore command completed successfully.
Также вы можете импортировать сертификаты из консоли управления сертификатами (Trust Root CertificationAuthorities –>Certificates -> All Tasks > Import). Укажите путь к вашему STL файлу сертификатами.
После выполнения команды, в консоли управления сертификатами (
certmgr.msc
) в контейнере Trusted Root Certification Authorities (Доверенные корневые сертификаты) появится новый раздел с именем Certificate Trust List (Список доверия сертификатов).
Аналогичным образом можно скачать и установить список с отозванными сертификатами, которые были исключены из программы Root Certificate Program. для этого, скачайте файл disallowedcertstl.cab (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), распакуйте его и добавьте в раздел Untrusted Certificates командой:
certutil -enterprise -f -v -AddStore disallowed "C:PSdisallowedcert.stl "
Обновление корневых сертификатов в Windows с помощью GPO в изолированных средах
Если у вас возникла задача регулярного обновления корневых сертификатов в изолированном от Интернета домене Active Directory, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. В изолированных сетях Windows вы можете настроить обновление корневых сертификатов на компьютерах пользователей несколькими способами.
Первый способ предполагает, что вы регулярно вручную скачиваете и копируете в вашу изолированную сеть файл с корневыми сертификатами, полученный так:
certutil.exe –generateSSTFromWU roots.sst
Затем сертификаты из данного файла можно установить через SCCM или PowerShell логон скрипт в GPO:
$sstStore = ( Get-ChildItem -Path \dc01SYSVOLwinitpro.rurootcertroots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:LocalMachineRoot
Второй способ предполагает получение актуальных корневых сертификатов с помощью команды:
Certutil -syncWithWU -f \dc01SYSVOLwinitpro.rurootcert
В указанном сетевом каталоге появится ряд файлов корневых сертификатов (CRT) и в том числе файлы (authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt).
Затем с помощью GPP нужно изменить значение параметра реестра RootDirURL в ветке HKLMSoftwareMicrosoftSystemCertificatesAuthRootAutoUpdate. Этот параметр должен указывать на сетевую папку, из которой клиентам нужно получать новые корневые сертификаты. Перейдите в секцию редактора GPO Computer Configuration -> Preferences -> Windows Settings -> Registry. И создайте новый параметр реестра со значениями:
Action: Update
Hive: HKLM
Key path: SoftwareMicrosoftSystemCertificatesAuthRootAutoUpdate
Value name: RootDirURL
Type: REG_SZ
Value data: file://\dc01SYSVOLwinitpro.rurootcert
Осталось назначить эту политику на компьютеры и после обновления настроек GPO на клиенте проверить появление новых корневых сертификатов в хранилище.
Политика Turn off Automatic Root Certificates Update в разделе Computer Configuration -> Administrative Templates -> System -> Internet Communication Management -> Internet Communication settings должна быть выключена или не настроена.
Обновление корневых сертификатов в Windows 7
Несмотря на то, что Windows 7 уже снята с поддержки, есть много пользователей и компаний, в которых она еще используется.
После установки чистой Windows 7 из образа вы может столкнуться, что многие современные программы и инструменты на ней не работают из-за того, что они подписаны с помощью новых сертификатов. В частности, были жалобы, что в Windows 7 64 без обновления сертификатов не удается установить .Net Framework 4.8. или
vs_Community.exe с ошибкой:
installer manifest failed signature validation
Чтобы обновить корневые сертификаты в Windows 7, нужно скачать и установить MSU обновление KB2813430 (https://support.microsoft.com/en-us/topic/an-update-is-available-that-enables-administrators-to-update-trusted-and-disallowed-ctls-in-disconnected-environments-in-windows-0c51c702-fdcc-f6be-7089-4585fad729d6).
После этого вы можете использовать утилиту certutil для генерации SST файла с сертификатами (на этом или на другом компьютере):
certutil.exe -generateSSTFromWU c:psroots.sst
Теперь можно импортировать сертификаты в доверенные:
MMC -> add snap-in -> certificates -> computer account > local computer. Перейдите в раздел Trusted root certification authority, выберите All Tasks -> Import, найдите ваш SST файл (в типе файлов выберите Microsoft Serialized Certificate Store — *.sst) -> Open -> Place all certificates in the following store -> Trusted Root Certification Authorities
Утилита rootsupd.exe для обновления сертификатов в Windows XP
В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe. В этой утилита содержится список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates).
- Скачайте утилиту rootsupd.exe, перейдя по ссылке (по состоянию на 15.07.2019 ссылка не работает, возможно в Microsoft решили убрать ее из общего доступа. На данный момент вы можете скачать утилиту с сайта kaspersky.com — http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip);
- Для установки корневых сертификатов Windows, достаточно запустить файл rootsupd.exe. Но мы попробуем более внимательно рассмотреть его содержимое, распаковав его с помощью команды:
rootsupd.exe /c /t:C:PSrootsupd
- Сертификаты содержатся в SST файлах: authroots.sst, delroot.sst и т.п. Для удаления/установки сертификатов можно воспользоваться командами:
updroots.exe authroots.sst
updroots.exe -d delroots.sst
Но, как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до окончания официальной поддержки Windows XP). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов. Однако нам чуть позже понадобится файл updroots.exe.
Была информация, что утилиту updroots.exe нежелательно использовать в современных билдах Windows 10 1803+, т.к. она может сломать корневой сертификат Microsoft Root Certificate Authority.
В этой статье мы рассмотрели несколько способов обновления корневых сертификатов на компьютерах Windows, изолированных от Интернета.
Обновлено: 24.12.2022
Опубликовано: 03.09.2020
Актуальные системы семейства Windows, подключенные к Интернету, могут автоматически обновлять корневые сертификаты. В противном случае, обновление необходимо выполнять вручную. Если это не делать, мы можем столкнуться с рядом проблем:
- Не открываются или выдают предупреждение безопасности некоторые (или все) сайты, работающие по https.
- Некорректная работа отдельных приложений (например, антивирусных систем).
- Ошибки при подключении по удаленному рабочему столу.
Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживания компанией Microsoft (Windows XP, 7, а также Server 2003, 2008).
Обновление сертификатов
Обновление доверенных корневых сертификатов выполняется во время обновления операционной системы. Если последнее включено, то нашего участия не требуется, иначе, можно установить обновление вручную. Пример такого пакета — KB931125 (ссылка).
Однако, если операционная система устарела, разработчик прекращает выпуск обновлений, и мы не можем воспользоваться средствами обновления системы. В таком случае, необходимо сделать выгрузку корневых сертификатов на актуальной системе и перенести их на устаревший.
Получение актуальных сертификатов
Для начала, выгрузим сертификаты на компьютере с актуальной версией Windows (10) и подключением к сети Интернет.
Создадим каталог, в который будет выгружен файл с корневыми сертификатами, например, C:CA (папка CA на диске C).
Открываем командную строку от администратора и вводим команду:
certutil.exe -generateSSTFromWU C:CAroots.sst
* где C:CA — каталог, который мы создали; roots.sst — файл, в который будут выгружены сертификаты.
* если мы получили ошибку Не удается найти указанный файл. 0x80070002, то необходимо убедиться, что каталог CA создан (в нашем примере в корне диска С).
В папке C:CA мы должны увидеть файл roots.sst.
Установка/обновление корневых сертификатов
Полученный на предыдущем этапе файл переносим на компьютер, где необходимо обновить доверенные корневые сертификаты, например, также в папку C:CA. Скачиваем утилиту rootsupd и распаковываем ее в этот же каталог.
Открываем командную строку от администратора и вводим команду:
C:CArootsupd.exe /c /t:C:CA
* где C:CA — папка, в которую мы перенесли корневые сертификаты.
В появившемся окне Roots Update:
… выбираем No, чтобы не переписывать наш файл roots.sst.
В папке C:CA должны появится новые файлы, в том числе, утилита updroots. Вводим теперь команду:
C:CAupdroots.exe C:CAroots.sst
Готово.
Была ли полезна вам эта инструкция?
Да Нет
Содержание
- Этап 1: Получение сертификатов
- Этап 2: Установка новых сертификатов в Windows 7
- Вопросы и ответы
Этап 1: Получение сертификатов
Так как поддержка Windows 7 пользовательских редакций прекращена, единственный способ получения необходимых обновлений – это выгрузка таковых на актуальной системе, в частности, Windows 10 последних версий.
- Первым делом создайте каталог, куда будут выгружены сертификаты (например, папка на диске C: под названием Certs).
- Далее понадобится запустить «Командную строку» с привилегиями администратора – в «десятке» проще всего будет найти оснастку в «Поиске» по запросу
cmdи воспользоваться опциями запуска.Подробнее: Как открыть «Командную строку» от администратора в Windows 10
- Далее введите команду следующего вида:
certutil.exe -generateSSTFromWU *полный путь к целевой папке*roots.sstВместо
*полный путь к целевой папке*введите адрес каталога, созданного на шаге 1. Проверьте правильность ввода всех аргументов и нажмите Enter. - После сообщения о завершении работы откройте нужную директорию – в ней должен появиться файл roots.sst.
Скопируйте этот файл и перенесите его на компьютер с «семёркой».
Для того чтобы успешно выполнить рассматриваемую процедуру, понадобится загрузить специальную утилиту, которая называется rootsupd – она доступна по ссылке далее.
Скачать rootsupd для Windows 7
- Выберите любой подходящий вам каталог, куда сохраните полученный на первом этапе пакет сертификатов и туда же распакуйте архив с утилитой для обновления.
- Запустите интерфейс ввода команд от администратора – как и в случае с «десяткой», откройте «Пуск», выбрать поиск, в который введите запрос
cmd, а после обнаружения результата кликните по нему правой кнопкой мыши и выберите вариант «Запуск от имени администратора».Подробнее: Как запустить «Командную строку» от имени администратора в Windows 7
- Далее напишите в окне «Командной строки» следующее:
*папка с сертификатом и утилитой*rootupd.exe /c /t:*папка с сертификатом и утилитой*Вместо
*папка с сертификатом и утилитой*укажите полный путь к каталогу, выбранному на шаге 1, проверьте правильность ввода и нажмите Enter.
Появится небольшое окно с предложением перезаписать файл – нам это не требуется, поэтому выберите «No».
- После этих действий откройте папку с утилитой и сертификатами – там должны появиться новые элементы, в том числе исполняемый файл с именем updroots. Если он есть, можно продолжать выполнение процедуры, если отсутствует, повторите действия из третьего шага и внимательнее введите необходимые значения.
- Вернитесь к окну «Командной строки» и пропишите там такую команду:
*папка с сертификатом и утилитой*updroots.exe *папка с сертификатом и утилитой*roots.sstУбедитесь, что все аргументы указаны верно, затем выполните команду нажатием на Enter.
- Утилита никак не сигнализирует о выполнении задачи, поэтому единственный способ убедиться в работоспособности – открыть поддерживаемый браузер и удостовериться в том, что сайты и веб-приложения, которые раньше выдавали ошибки, теперь функционируют нормально.
Если вы по-прежнему наблюдаете сбои, это означает, что какое-то из действий Этапа 2 выполнено неверно, и процедуру понадобится повторить.
Еще статьи по данной теме:
Помогла ли Вам статья?
Learn to manage the certificates on your device
by Matthew Adams
Matthew is a freelancer who has produced a variety of articles on various topics related to technology. His main focus is the Windows OS and all the things… read more
Updated on September 27, 2022
Reviewed by
Vlad Turiceanu
Passionate about technology, Windows, and everything that has a power button, he spent most of his time developing new skills and learning more about the tech world. Coming… read more
- Root certificates help your browser determine whether certain websites are genuine and safe to open.
- A trusted certificate is required in case the digital certificate is not from a trusted authority.
- Although Windows 10 already has built-in certificates, you can also install new ones.
- Read on to find out how to install trusted root certificates on Windows 10/11.
XINSTALL BY CLICKING THE DOWNLOAD FILE
This software will repair common computer errors, protect you from file loss, malware, hardware failure and optimize your PC for maximum performance. Fix PC issues and remove viruses now in 3 easy steps:
- Download Restoro PC Repair Tool that comes with Patented Technologies (patent available here).
- Click Start Scan to find Windows issues that could be causing PC problems.
- Click Repair All to fix issues affecting your computer’s security and performance
- Restoro has been downloaded by 0 readers this month.
Root certificates are public key certificates that help your browser determine whether communication with a website is genuine and is based upon whether the issuing authority is trusted and if the digital certificate remains valid.
If a digital certificate is not from a trusted authority, you’ll get an error message along the lines of “There is a problem with this website’s security certificate” and the browser might block communication with the website.
Windows 10 has built-in certificates and automatically updates them. However, you can still manually add more root certificates to Windows 10 from certificate authorities (CAs).
There are numerous certificate issuing authorities, with Comodo and Symantec among the best known.
How can I add a certificate to a trusted root in Windows 10/11?
- Install certificates from trusted CAs
- Install Trusted Root Certificates with the Microsoft Management Console
1. Install certificates from trusted CAs
This is how you can add digital certificates to Windows 10/11 from trusted CAs.
- First, you’ll need to download a root certificate from a CA. For example, you could download one from the GeoTrust site.
- Next, open Local Security Policy in Windows by pressing the Win key + R hotkey and entering ‘secpol.msc’ in Run’s text box. Note that Windows 10 Home edition doesn’t include the Local Security Policy editor. If your Windows key doesn’t work, check our quick guide to fix it.
- Then, click Public Key Policies and Certificate Path Validation Settings to open a Certificate Path Validation Settings Properties window.
- Click the Stores tab and select the Define these policy settings check box.
- Select the Allow user trusted root CAs to be used to validate certificates and Allow users to trust peer trust certificates options if they’re not already selected.
- You should also select the Third-Party Root CAs and Enterprise Root CAs checkbox and press the Apply > OK buttons to confirm the selected settings.
- Next, press the Win key + R hotkey and enter ‘certmgr.msc’ in Run’s text box to open the window shown in the snapshot directly below. That’s the Certification Manager which lists your digital certificates.
- Click Trusted Root Certification Authorities and right-click Certificates to open a context menu.
- Select All Tasks > Import on the context menu to open the window shown below.
- Press the Next button, click Browse, and then select the digital certificate root file saved to your HDD.
- Press Next again to select the Automatically select the certificate store based on the type of certificate option.
- Then you can press Next > Finish to wrap up the import wizard. A window will open confirming that “the import was successful.”
Most Windows 10 users have no idea how to edit the Group Policy. Learn how you can do it by reading our simple article.
You don’t have the Group Policy Editor on your Windows PC? Get it right now in just a couple of easy steps with our guide on how to install the Group Policy Editor on Windows 10.
2. Install Trusted Root Certificates with the Microsoft Management Console
1. Press the Win key + R hotkey to open the Run dialog.
2. Input mmc in Run and press Enter to open the window below.
3. Click File and then select Add/Remove Snap-ins to open the window in the snapshot below.
4. Next, you should select Certificates and press the Add button.
Some PC issues are hard to tackle, especially when it comes to corrupted repositories or missing Windows files. If you are having troubles fixing an error, your system may be partially broken.
We recommend installing Restoro, a tool that will scan your machine and identify what the fault is.
Click here to download and start repairing.
5. A Certificates Snap-in window opens from which you can select Computer account >Local Account, and press the Finish button to close the window.
6. Then press the OK button in the Add or Remove Snap-in window.
7. Now you can select Certificates and right-click Trusted Root Certification Authorities on the MMC console window as below.
8. Then you can click All Tasks > Import to open the Certificate Import Wizard window.
9. From the Certificate Import Wizard window, you can add the digital certificate to Windows.
You can also install root certificates on Windows 10/11 with the Microsoft Management Console. The process is easy and simple, and the console can be accessed via the Run dialog.
If Microsoft Management Console can’t create a new document, follow the easy steps in our guide to solving the issue.
Can’t load the Microsoft Management Console? Our step-by-step guide will help you sort things out.
Now you’ve installed a new trusted root certificate in Windows 10/11. You can add many more digital certificates to that OS and other Windows platforms in a similar manner.
Just make sure that the third-party digital certificates come from trusted CAs, such as GoDaddy, DigiCert, Comodo, GlobalSign, Entrust, and Symantec.
If you have any more suggestions or questions, leave them in the comments section below and we’ll certainly check them out.
Newsletter
Learn to manage the certificates on your device
by Matthew Adams
Matthew is a freelancer who has produced a variety of articles on various topics related to technology. His main focus is the Windows OS and all the things… read more
Updated on September 27, 2022
Reviewed by
Vlad Turiceanu
Passionate about technology, Windows, and everything that has a power button, he spent most of his time developing new skills and learning more about the tech world. Coming… read more
- Root certificates help your browser determine whether certain websites are genuine and safe to open.
- A trusted certificate is required in case the digital certificate is not from a trusted authority.
- Although Windows 10 already has built-in certificates, you can also install new ones.
- Read on to find out how to install trusted root certificates on Windows 10/11.
XINSTALL BY CLICKING THE DOWNLOAD FILE
This software will repair common computer errors, protect you from file loss, malware, hardware failure and optimize your PC for maximum performance. Fix PC issues and remove viruses now in 3 easy steps:
- Download Restoro PC Repair Tool that comes with Patented Technologies (patent available here).
- Click Start Scan to find Windows issues that could be causing PC problems.
- Click Repair All to fix issues affecting your computer’s security and performance
- Restoro has been downloaded by 0 readers this month.
Root certificates are public key certificates that help your browser determine whether communication with a website is genuine and is based upon whether the issuing authority is trusted and if the digital certificate remains valid.
If a digital certificate is not from a trusted authority, you’ll get an error message along the lines of “There is a problem with this website’s security certificate” and the browser might block communication with the website.
Windows 10 has built-in certificates and automatically updates them. However, you can still manually add more root certificates to Windows 10 from certificate authorities (CAs).
There are numerous certificate issuing authorities, with Comodo and Symantec among the best known.
How can I add a certificate to a trusted root in Windows 10/11?
- Install certificates from trusted CAs
- Install Trusted Root Certificates with the Microsoft Management Console
1. Install certificates from trusted CAs
This is how you can add digital certificates to Windows 10/11 from trusted CAs.
- First, you’ll need to download a root certificate from a CA. For example, you could download one from the GeoTrust site.
- Next, open Local Security Policy in Windows by pressing the Win key + R hotkey and entering ‘secpol.msc’ in Run’s text box. Note that Windows 10 Home edition doesn’t include the Local Security Policy editor. If your Windows key doesn’t work, check our quick guide to fix it.
- Then, click Public Key Policies and Certificate Path Validation Settings to open a Certificate Path Validation Settings Properties window.
- Click the Stores tab and select the Define these policy settings check box.
- Select the Allow user trusted root CAs to be used to validate certificates and Allow users to trust peer trust certificates options if they’re not already selected.
- You should also select the Third-Party Root CAs and Enterprise Root CAs checkbox and press the Apply > OK buttons to confirm the selected settings.
- Next, press the Win key + R hotkey and enter ‘certmgr.msc’ in Run’s text box to open the window shown in the snapshot directly below. That’s the Certification Manager which lists your digital certificates.
- Click Trusted Root Certification Authorities and right-click Certificates to open a context menu.
- Select All Tasks > Import on the context menu to open the window shown below.
- Press the Next button, click Browse, and then select the digital certificate root file saved to your HDD.
- Press Next again to select the Automatically select the certificate store based on the type of certificate option.
- Then you can press Next > Finish to wrap up the import wizard. A window will open confirming that “the import was successful.”
Most Windows 10 users have no idea how to edit the Group Policy. Learn how you can do it by reading our simple article.
You don’t have the Group Policy Editor on your Windows PC? Get it right now in just a couple of easy steps with our guide on how to install the Group Policy Editor on Windows 10.
2. Install Trusted Root Certificates with the Microsoft Management Console
1. Press the Win key + R hotkey to open the Run dialog.
2. Input mmc in Run and press Enter to open the window below.
3. Click File and then select Add/Remove Snap-ins to open the window in the snapshot below.
4. Next, you should select Certificates and press the Add button.
Some PC issues are hard to tackle, especially when it comes to corrupted repositories or missing Windows files. If you are having troubles fixing an error, your system may be partially broken.
We recommend installing Restoro, a tool that will scan your machine and identify what the fault is.
Click here to download and start repairing.
5. A Certificates Snap-in window opens from which you can select Computer account >Local Account, and press the Finish button to close the window.
6. Then press the OK button in the Add or Remove Snap-in window.
7. Now you can select Certificates and right-click Trusted Root Certification Authorities on the MMC console window as below.
8. Then you can click All Tasks > Import to open the Certificate Import Wizard window.
9. From the Certificate Import Wizard window, you can add the digital certificate to Windows.
You can also install root certificates on Windows 10/11 with the Microsoft Management Console. The process is easy and simple, and the console can be accessed via the Run dialog.
If Microsoft Management Console can’t create a new document, follow the easy steps in our guide to solving the issue.
Can’t load the Microsoft Management Console? Our step-by-step guide will help you sort things out.
Now you’ve installed a new trusted root certificate in Windows 10/11. You can add many more digital certificates to that OS and other Windows platforms in a similar manner.
Just make sure that the third-party digital certificates come from trusted CAs, such as GoDaddy, DigiCert, Comodo, GlobalSign, Entrust, and Symantec.
If you have any more suggestions or questions, leave them in the comments section below and we’ll certainly check them out.
Newsletter
Skip to content
На чтение 4 мин. Просмотров 18.7k. Опубликовано 03.09.2019
Корневые сертификаты – это сертификаты открытых ключей, которые помогают вашему браузеру определить, является ли общение с веб-сайтом подлинным, и основано на том, является ли орган, выдавший лицензию, доверенным и остается ли цифровой сертификат действительным. Если цифровой сертификат не принадлежит доверенному органу, вы получите сообщение об ошибке в виде « Проблема с сертификатом безопасности этого веб-сайта », и браузер может заблокировать связь с веб-сайтом.
Windows 10 имеет встроенные сертификаты и автоматически обновляет их. Однако вы все равно можете вручную добавить дополнительные корневые сертификаты в Windows 10 из центров сертификации (ЦС). Существует множество органов по выдаче сертификатов, среди которых наиболее известны Comodo и Symantec.
Содержание
- Как добавить корневые сертификаты Windows 10 вручную?
- Способ 1. Установите сертификаты из доверенных ЦС
- Способ 2. Установите сертификаты с помощью консоли управления Microsoft
Как добавить корневые сертификаты Windows 10 вручную?
- Установить сертификаты из доверенных ЦС
- Установите сертификаты с помощью консоли управления Microsoft
Способ 1. Установите сертификаты из доверенных ЦС
Вот как вы можете добавить цифровые сертификаты в Windows 10 из доверенных центров сертификации.
- Во-первых, вам нужно загрузить корневой сертификат из ЦС. Например, вы можете скачать его с сайта GeoTrust.
- Затем откройте локальную политику безопасности в Windows, нажав горячую клавишу Win + R и введите «secpol.msc» в текстовом поле «Выполнить». Обратите внимание, что Windows 10 Home edition не включает редактор локальной политики безопасности.
- Затем нажмите Политики открытого ключа и Параметры проверки пути сертификата , чтобы открыть окно Свойства параметров проверки пути сертификата.
- Перейдите на вкладку «Магазины» и установите флажок Определить эти параметры политики .
- Выберите параметры Разрешить доверенные корневые центры сертификации для проверки сертификатов и Разрешить пользователям доверять сертификатам доверенных сертификатов , если они еще не выбраны.
- Вам также следует установить флажки Сторонние корневые центры сертификации и корпоративные корневые центры сертификации и нажать кнопки Применить > ОК , чтобы подтвердить выбранные настройки.
-
Затем нажмите горячую клавишу Win + R и введите «certmgr.msc» в текстовом поле «Выполнить», чтобы открыть окно, показанное на снимке экрана ниже. Это менеджер сертификации, который перечисляет ваши цифровые сертификаты.
- Нажмите Доверенные корневые центры сертификации и щелкните правой кнопкой Сертификаты , чтобы открыть контекстное меню.
-
Выберите Все задачи > Импорт в контекстном меню, чтобы открыть окно, показанное ниже.
- Нажмите кнопку Далее , нажмите Обзор, и выберите корневой файл цифрового сертификата, сохраненный на жестком диске.
- Снова нажмите Далее , чтобы выбрать Автоматически выбирать хранилище сертификатов на основе типа сертификата .
- Затем нажмите Далее > Готово , чтобы завершить работу мастера импорта. Откроется окно, подтверждающее, что « импорт был успешным. »
Способ 2. Установите сертификаты с помощью консоли управления Microsoft
-
Вы также можете добавить цифровые сертификаты в Windows с помощью консоли управления Microsoft. Нажмите клавишу Win + R и введите «mmc» в «Выполнить», чтобы открыть окно ниже.
-
Нажмите Файл , а затем выберите Добавить/удалить оснастки , чтобы открыть окно на снимке экрана ниже.
- Затем выберите Сертификаты и нажмите кнопку Добавить .
- Откроется окно оснастки «Сертификаты», в котором можно выбрать Учетная запись компьютера > Локальная учетная запись и нажать кнопку Готово , чтобы закрыть окно.
- Затем нажмите кнопку ОК в окне «Добавить или удалить оснастку».
-
Теперь вы можете выбрать Сертификаты и щелкнуть правой кнопкой мыши Доверенные корневые центры сертификации в окне консоли MMC, как показано ниже.
- Затем нажмите Все задачи > Импорт , чтобы открыть окно мастера импорта сертификатов, из которого можно добавить цифровой сертификат в Windows.
Теперь вы установили новый доверенный корневой сертификат в Windows 10. Таким же образом вы можете добавить еще много цифровых сертификатов для этой ОС и других платформ Windows. Просто убедитесь, что сторонние цифровые сертификаты поступают от доверенных центров сертификации, таких как GoDaddy, DigiCert, Comodo, GlobalSign, Entrust и Symantec.
Примечание редактора . Этот пост был первоначально опубликован в апреле 2017 года и с тех пор был полностью переработан и обновлен для обеспечения свежести, точности и полноты.
В этом руководстве мы покажем вам шаги по установке корневых сертификатов на ПК с Windows 11. Корневые сертификаты — это цифровые сертификаты, выдаваемые центром сертификации. Он проверяет веб-сайты и программное обеспечение на предмет их достоверности, и если они отмечают необходимые предварительные условия, он ставит над ними виртуальную печать власти. Что касается их обновлений, Microsoft автоматически обновляет их через список доверенных корневых сертификатов, используя свой канал обновлений.
Но если вы приостановили обновление Windows или не устанавливали его в течение достаточно долгого времени, срок действия оболочки сертификата может закончиться довольно скоро. И по истечении срока его действия связанные приложения и программы не смогут работать должным образом. Даже веб-браузер может постоянно выдавать запросы о просроченном сертификате и препятствовать доступу к нужному веб-сайту. Чтобы устранить эти проблемы, вам следует обновить существующие сертификаты (срок действия которых истекает) или установить новые на ПК с Windows 11. И в этом руководстве мы покажем вам, как это сделать. Следуйте вместе.
Ниже приведены шаги по загрузке и установке корневые сертификаты из формата хранилища сериализованных сертификатов (SST), а также из списка доверия сериализованных сертификатов (STL). Вы можете обратиться к разделу, который соответствует вашему требованию.
Установите сертификаты в Windows 11 через SST
Прежде всего, мы покажем вам, как загрузить сертификаты из файлов в формате хранилища сериализованных сертификатов. После этого будут рассмотрены шаги по их установке (по отдельности или все сразу). Следуйте вместе.
Скачать корневые сертификаты SST
- Перейдите в папку, в которую вы хотите загрузить сертификат.
- Затем запустите CMD от имени администратора и измените его каталог на эту папку (с помощью команды cd).
- Теперь введите приведенную ниже команду, чтобы загрузить корневые сертификаты в файле SST: certutil.exe -generateSSTFromWU roots.sst.
Установить все сертификаты SST
- Если вы хотите установить все сертификаты, являющиеся частью файла SST, следуйте приведенным ниже инструкциям:
- Перейдите в меню «Пуск», найдите Powershell и откройте его.
- Теперь выполните приведенную ниже команду, обязательно заменив CertificatePath соответствующим образом: $sstStore = ( Get-ChildItem -Path CertificatePathroots.sst)
- Все сертификаты внутри этого пакета SST теперь будут установлены на вашем ПК с Windows 11.
Установить конкретный сертификат SST
Если вы хотите установить конкретный сертификат из пакета SST, вам нужно сделать следующее:
- Дважды щелкните, чтобы запустить загруженный корневой сертификат SST.
- Затем дважды щелкните сертификат по вашему выбору.
- Теперь нажмите кнопку «Установить сертификат».
- Этот конкретный корневой сертификат SST теперь будет установлен на вашем ПК с Windows 11.
Установите сертификаты в Windows 11 через STL
- Для начала загрузите пакет сертификатов STL непосредственно с Windows-сервер.
- После загрузки извлеките его в любое удобное место на вашем ПК.
- Затем перейдите в адресную строку этой папки, введите CMD и нажмите Enter.
- После этого выполните следующую команду в открывшемся окне CMD: certutil -addstore -f root authroot.stl
- Сертификаты внутри пакета STL теперь будут установлены на вашем ПК с Windows 11.
Как просмотреть установленные корневые сертификаты в Windows 11
Теперь давайте проверим, где корневые сертификаты были успешно загружены и установлены на вашем ПК. Это можно сделать двумя разными способами: через Powershell и с помощью консоли управления Microsoft (MMC). Метод Powershell короче и проще в исполнении, однако выдает результаты в загроможденном виде, тем самым затрудняя понимание.
С другой стороны, метод MMC занимает несколько дополнительных секунд, но конечные результаты будут упрощены и понятны. В любом случае, мы перечислили оба этих метода ниже, вы можете обратиться к нужному.
Через PowerShell
- Перейдите в меню «Пуск», найдите Powershell и запустите его от имени администратора.
- Затем выполните приведенную ниже команду в PowerShell, чтобы получить список всех сертификатов: Get-Childitem cert:LocalMachineroot |format-list
- Если вам нужен только список сертификатов с истекшим сроком действия, выполните следующую команду: Get-ChildItem cert:LocalMachineroot | Где {$_.NotAfter -lt (Get-Date).AddDays(40)}
Через консоль управления Microsoft
- Откройте диалоговое окно «Выполнить» с помощью сочетания клавиш Windows + R.
- Затем введите приведенную ниже команду и нажмите Enter, чтобы открыть консоль управления: mmc.exe.
- После этого нажмите «Файл» > «Добавить/удалить оснастку».
- Теперь выберите «Сертификаты» и нажмите кнопку «Добавить».
- Затем выберите учетную запись компьютера и нажмите «Далее».
- Теперь выберите «Локальный компьютер» и нажмите «Готово».
- После этого перейдите в следующее место из левой панели меню MMC «Сертификаты (локальный компьютер)»> «Доверенные корневые центры сертификации»> «Сертификаты».
- Теперь вы сможете просмотреть список всех просроченных и активных сертификатов.
Вот и все. Это были шаги по установке/обновлению сертификатов в Windows 11. Мы также перечислили шаги для проверки активных сертификатов и сертификатов с истекшим сроком действия. Если у вас есть какие-либо вопросы относительно вышеупомянутых шагов, сообщите нам об этом в комментариях. Мы вернемся к вам с решением в ближайшее время.