This article describes an update that enables urgent updates for the Windows Root Certificate Program in Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, Windows 8, Windows RT, Windows Server 2012, Windows 7, and Windows Server 2008 R2. Before you apply this update, see more about this update and check out the prerequisites in this article.
About this update
The Windows Root Certificate Program enables trusted root certificates to be distributed automatically in Windows. Usually, a client computer polls root certificate updates one time a week. After you apply this update, the client computer can receive urgent root certificate updates within 24 hours.
Known issue
After you apply this update, you may encounter error 0x800706f7 when you run Windows Update.
Resolution
To resolve this issue, install update 3024777.
How to obtain this update
Method 1: Windows Update
Method 2: Microsoft Download Center
The following files are available for download from the Microsoft Download Center.
|
Operating system |
Update |
|---|---|
|
All supported x86-based versions of Windows 8.1 |
|
|
All supported x64-based versions of Windows 8.1 |
|
|
All supported x64-based versions of Windows Server 2012 R2 |
|
|
All supported x86-based versions of Windows 8 |
|
|
All supported x64-based versions of Windows 8 |
|
|
All supported x64-based versions of Windows Server 2012 |
|
|
All supported x86-based versions of Windows 7 |
|
|
All supported x64-based versions of Windows 7 |
|
|
All supported x64-based versions of Windows Server 2008 R2 |
|
|
All supported IA-64-based versions of Windows Server 2008 R2 |
|
Notes
-
The update installer should be run from an elevated command prompt.
-
The update for Windows RT 8.1 or Windows RT can be obtained only from Windows Update.
For more information about how to download Microsoft support files, click the following article number to view the article in the Microsoft Knowledge Base:
119591 How to obtain Microsoft support files from online services Microsoft scanned this file for viruses. Microsoft used the most current virus-detection software that was available on the date that the file was posted. The file is stored on security-enhanced servers that help prevent any unauthorized changes to the file.
Method 3: Update rollup for Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, Windows 8, Windows RT, or Windows Server 2012
Install one of the following update rollup packages that are dated December 2014:
-
Get the December 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2
-
Get the December 2014 update rollup for Windows RT, Windows 8, and Windows Server 2012
Note The update rollup fixes many other issues in addition to the issue that the stand-alone update fixes. The update rollup is larger than the stand-alone update. Therefore, the update rollup takes longer to download.
Update information
Prerequisites
To install this update, you must install update 2919355 in Windows 8.1 or Windows Server 2012 R2. Or, install Service Pack 1 for Windows 7 or Windows Server 2008 R2.
Registry information
To apply this update, you do not have to make any changes to the registry.
Restart requirement
You may have to restart the computer after you apply this update.
Update replacement information
This update does not replace a previously released update.
More Information
For more information, see the following articles in the Microsoft Knowledge Base:
KB 2677070 An automatic updater of revoked certificates is available for Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2
KB 2813430 An update that enables administrators to update trusted and disallowed CTLs in disconnected environments in Windows
The global version of this update installs files that have the attributes that are listed in the following tables. The dates and the times for these files are listed in Coordinated Universal Time (UTC). The dates and the times for these files on your local computer are displayed in your local time together with your current daylight saving time (DST) bias. Additionally, the dates and the times may change when you perform certain operations on the files.
Windows 8.1 and Windows Server 2012 R2 file information and notes
-
The files that apply to a specific product, milestone (RTM, SPn), and service branch (LDR, GDR) can be identified by examining the file version numbers as shown in the following table.
Version
Product
Milestone
Service branch
6.3.960 0.17 xxx
Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2
RTM
GDR
-
The MANIFEST files (.manifest) and the MUM files (.mum) that are installed for each environment are not listed.
For all supported x86-based versions of Windows 8.1
|
File name |
File version |
File size |
Date |
Time |
Platform |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.3.9600.17475 |
1,612,992 |
30-Oct-2014 |
23:38 |
x86 |
For all supported x64-based versions of Windows 8.1 or Windows Server 2012 R2
|
File name |
File version |
File size |
Date |
Time |
Platform |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.3.9600.17475 |
1,970,432 |
30-Oct-2014 |
23:39 |
x64 |
|
Crypt32.dll |
6.3.9600.17475 |
1,612,992 |
30-Oct-2014 |
23:38 |
x86 |
For all supported ARM-based versions of Windows 8.1
|
File name |
File version |
File size |
Date |
Time |
Platform |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.3.9600.17475 |
1,499,336 |
30-Oct-2014 |
23:32 |
Not applicable |
Windows 8 and Windows Server 2012 file information and notes
-
The files that apply to a specific product, milestone (RTM, SPn), and service branch (LDR, GDR) can be identified by examining the file version numbers as shown in the following table.
Version
Product
Milestone
Service branch
6.2.920 0.17xxx
Windows 8, Windows RT, or Windows Server 2012
RTM
GDR
6.2.920 0.21xxx
Windows 8, Windows RT, or Windows Server 2012
RTM
LDR
-
GDR service branches contain only those fixes that are widely released to address widespread, critical issues. LDR service branches contain hotfixes in addition to widely released fixes.
-
The MANIFEST files (.manifest) and the MUM files (.mum) that are installed for each environment are not listed.
For all supported x86-based versions of Windows 8
|
File name |
File version |
File size |
Date |
Time |
Platform |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.2.9200.17164 |
1,569,792 |
30-Oct-2014 |
05:22 |
x86 |
|
Crypt32.dll |
6.2.9200.21279 |
1,591,808 |
30-Oct-2014 |
00:46 |
x86 |
For all supported x64-based versions of Windows 8 or Windows Server 2012
|
File name |
File version |
File size |
Date |
Time |
Platform |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.2.9200.17164 |
1,890,816 |
30-Oct-2014 |
07:20 |
x64 |
|
Crypt32.dll |
6.2.9200.21279 |
1,919,488 |
30-Oct-2014 |
00:51 |
x64 |
|
Crypt32.dll |
6.2.9200.17164 |
1,569,792 |
30-Oct-2014 |
05:22 |
x86 |
|
Crypt32.dll |
6.2.9200.21279 |
1,591,808 |
30-Oct-2014 |
00:46 |
x86 |
For all supported ARM-based versions of Windows 8
|
File name |
File version |
File size |
Date |
Time |
Platform |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.2.9200.17164 |
1,403,392 |
30-Oct-2014 |
05:45 |
Not applicable |
Windows 7 and Windows Server 2008 R2 file information and notes
-
The files that apply to a specific product, milestone (RTM, SPn), and service branch (LDR, GDR) can be identified by examining the file version numbers as shown in the following table:
-
GDR service branches contain only those fixes that are widely released to address widespread, critical issues. LDR service branches contain hotfixes in addition to widely released fixes.
-
The MANIFEST files (.manifest) and the MUM files (.mum) that are installed for each environment are not listed.
For all supported x86-based versions of Windows 7
|
File name |
File version |
File size |
Date |
Time |
Platform |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.1.7601.18700 |
1,174,528 |
12-Dec-2014 |
05:07 |
x86 |
|
Crypt32.dll |
6.1.7601.22908 |
1,175,040 |
12-Dec-2014 |
05:38 |
x86 |
|
Cryptnet.dll |
6.1.7601.18205 |
103,936 |
09-Jul-2013 |
04:46 |
x86 |
|
Cryptnet.dll |
6.1.7601.22780 |
106,496 |
19-Aug-2014 |
02:47 |
x86 |
|
Cryptsvc.dll |
6.1.7601.18526 |
143,872 |
07-Jul-2014 |
01:40 |
x86 |
|
Cryptsvc.dll |
6.1.7601.22856 |
145,920 |
30-Oct-2014 |
02:14 |
x86 |
|
Wintrust.dll |
6.1.7601.18526 |
179,200 |
07-Jul-2014 |
01:40 |
x86 |
|
Wintrust.dll |
6.1.7601.22736 |
179,200 |
07-Jul-2014 |
01:41 |
x86 |
For all supported x64-based versions of Windows 7 and of Windows Server 2008 R2
|
File name |
File version |
File size |
Date |
Time |
Platform |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.1.7601.18700 |
1,480,192 |
12-Dec-2014 |
05:31 |
x64 |
|
Crypt32.dll |
6.1.7601.22908 |
1,480,704 |
12-Dec-2014 |
06:02 |
x64 |
|
Cryptnet.dll |
6.1.7601.18205 |
139,776 |
09-Jul-2013 |
05:46 |
x64 |
|
Cryptnet.dll |
6.1.7601.22780 |
142,336 |
19-Aug-2014 |
03:05 |
x64 |
|
Cryptsvc.dll |
6.1.7601.18526 |
187,904 |
07-Jul-2014 |
02:06 |
x64 |
|
Cryptsvc.dll |
6.1.7601.22736 |
190,976 |
07-Jul-2014 |
02:06 |
x64 |
|
Wintrust.dll |
6.1.7601.18526 |
229,376 |
07-Jul-2014 |
02:07 |
x64 |
|
Wintrust.dll |
6.1.7601.22736 |
229,376 |
07-Jul-2014 |
02:06 |
x64 |
|
Crypt32.dll |
6.1.7601.18700 |
1,174,528 |
12-Dec-2014 |
05:07 |
x86 |
|
Crypt32.dll |
6.1.7601.22908 |
1,175,040 |
12-Dec-2014 |
05:38 |
x86 |
|
Cryptnet.dll |
6.1.7601.18205 |
103,936 |
09-Jul-2013 |
04:46 |
x86 |
|
Cryptnet.dll |
6.1.7601.22780 |
106,496 |
19-Aug-2014 |
02:47 |
x86 |
|
Cryptsvc.dll |
6.1.7601.18526 |
143,872 |
07-Jul-2014 |
01:40 |
x86 |
|
Cryptsvc.dll |
6.1.7601.22856 |
145,920 |
30-Oct-2014 |
02:14 |
x86 |
|
Wintrust.dll |
6.1.7601.18526 |
179,200 |
07-Jul-2014 |
01:40 |
x86 |
|
Wintrust.dll |
6.1.7601.22736 |
179,200 |
07-Jul-2014 |
01:41 |
x86 |
For all supported IA-64-based versions of Windows Server 2008 R2
|
File name |
File version |
File size |
Date |
Time |
Platform |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.1.7601.18700 |
2,690,048 |
12-Dec-2014 |
04:45 |
IA-64 |
|
Crypt32.dll |
6.1.7601.22908 |
2,691,072 |
12-Dec-2014 |
04:45 |
IA-64 |
|
Cryptnet.dll |
6.1.7601.18205 |
267,264 |
09-Jul-2013 |
04:27 |
IA-64 |
|
Cryptnet.dll |
6.1.7601.22780 |
272,896 |
19-Aug-2014 |
02:13 |
IA-64 |
|
Cryptsvc.dll |
6.1.7601.18526 |
388,608 |
07-Jul-2014 |
01:22 |
IA-64 |
|
Cryptsvc.dll |
6.1.7601.22736 |
392,704 |
07-Jul-2014 |
01:25 |
IA-64 |
|
Wintrust.dll |
6.1.7601.18526 |
514,048 |
07-Jul-2014 |
01:22 |
IA-64 |
|
Wintrust.dll |
6.1.7601.22736 |
514,048 |
07-Jul-2014 |
01:25 |
IA-64 |
|
Crypt32.dll |
6.1.7601.18700 |
1,174,528 |
12-Dec-2014 |
05:07 |
x86 |
|
Crypt32.dll |
6.1.7601.22908 |
1,175,040 |
12-Dec-2014 |
05:38 |
x86 |
|
Cryptnet.dll |
6.1.7601.18205 |
103,936 |
09-Jul-2013 |
04:46 |
x86 |
|
Cryptnet.dll |
6.1.7601.22780 |
106,496 |
19-Aug-2014 |
02:47 |
x86 |
|
Cryptsvc.dll |
6.1.7601.18526 |
143,872 |
07-Jul-2014 |
01:40 |
x86 |
|
Cryptsvc.dll |
6.1.7601.22856 |
145,920 |
30-Oct-2014 |
02:14 |
x86 |
|
Wintrust.dll |
6.1.7601.18526 |
179,200 |
07-Jul-2014 |
01:40 |
x86 |
|
Wintrust.dll |
6.1.7601.22736 |
179,200 |
07-Jul-2014 |
01:41 |
x86 |
References
See the terminology that Microsoft uses to describe software updates.
В этой статье описывается обновление, которое позволяет срочные обновления для Программы корневых сертификатов Windows в Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, Windows 8, Windows RT, Windows Server 2012, Windows 7 и Windows Server 2008 R2. Перед установкой этого обновления, см. Дополнительные сведения об этом обновлении и извлечь необходимые компоненты в этой статье.
Сведения об этом обновлении
Программа корневых сертификатов Windows (Windows Root Certificate Program) обеспечивает автоматическое распространение доверенных корневых сертификатов в Windows. Обычно клиентский компьютер запрашивает обновление корневых сертификатов один раз в неделю. После применения этого обновления, клиентский компьютер может получать обновления срочные корневой сертификат в течение 24 часов.
Известные проблемы
После установки этого обновления при запуске Windows Update может появиться ошибка 0x800706f7.
Решение
Чтобы устранить эту проблему, установите обновление 3024777.
Как получить это обновление
Метод 1. Центр обновления Windows
Метод 2. Центр загрузки Майкрософт
Следующие файлы доступны для загрузки из Центра загрузки Майкрософт.
|
Операционная система |
Обновление |
|---|---|
|
Для всех поддерживаемых 86-разрядных версий Windows 8.1 |
|
|
Для всех поддерживаемых 64-разрядных версий Windows 8.1 |
|
|
Для всех поддерживаемых 64-разрядных версий Windows Server 2012 R2 |
|
|
Для всех поддерживаемых 32-разрядных версий Windows 8 |
|
|
Для всех поддерживаемых версий Windows 8 для систем на базе x64 |
|
|
Для всех поддерживаемых 64-разрядных версий Windows Server 2012 |
|
|
Для всех поддерживаемых 86-разрядных версий Windows 7 |
|
|
Для всех поддерживаемых 64-разрядных версий Windows 7 |
|
|
Для всех поддерживаемых 64-разрядных версий Windows Server 2008 R2 |
|
|
Для всех поддерживаемых версий Windows Server 2008 R2 для платформы IA-64 |
|
Notes
-
Следует запускать программу установки из командной строки с повышенными правами.
-
Обновление для Windows RT 8.1 или Windows RT можно получить только из центра обновления Windows.
Для получения дополнительных сведений о том, как скачать файлы поддержки Майкрософт, щелкните следующий номер статьи базы знаний Майкрософт.
Как загрузить файлы поддержки Microsoft через оперативные службы 119591Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последнее антивирусное программное обеспечение, доступное на период публикации файла. Файл хранится на защищенных серверах, что предотвращает его несанкционированное изменение.
Способ 3: Накопительный пакет обновления для Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, Windows 8, Windows RT или Windows Server 2012
Установите одно из следующих накопительных пакетов обновления, датированные декабря 2014 г.
-
Получить декабря 2014 накопительный пакет обновления для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2
-
Получить декабря 2014 накопительный пакет обновления для Windows RT, Windows 8 и Windows Server 2012
Примечание. Накопительный пакет обновления устраняет многие другие проблемы, отдельное обновление устраняет проблему. Накопительный пакет обновления больше, чем отдельное обновление. Таким образом накопительный пакет обновлений занимает больше времени при загрузке.
Сведения об обновлении
Предварительные условия
Для установки этого обновления необходимо установить обновление 2919355 в Windows Server 2012 R2 или Windows 8.1. Или установите Пакет обновления 1 для Windows 7 или Windows Server 2008 R2.
Сведения о реестре
Чтобы применить это обновление, нет необходимости вносить изменения в реестр.
Необходимость перезагрузки
Возможно потребуется перезагрузить компьютер после установки этого обновления.
Сведения о замене обновлений
Это обновление не заменяет ранее выпущенное обновление.
Дополнительные сведения
Дополнительные сведения см. ниже статьях базы знаний Майкрософт:
2677070 Программа автоматического обновления для отозванных сертификатов для Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2
2813430 Обновление, которое позволяет администраторам обновлять надежные и запрещенные CTL в отключенных средах в Windows
Глобальная версия этого обновления устанавливает файлы, которые имеют атрибуты, перечисленные в следующих таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.
Сведения о файлах Windows 8.1 и Windows Server 2012 R2 и заметки
-
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.
Версия
Продукт
Контрольная точка
Направление поддержки
6.3.960 0.17 xxx
Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2
RTM
GDR
-
Файлы MANIFEST (.manifest) и MUM (.mum), устанавливаемые для каждой среды не указываются.
Для всех поддерживаемых 32-разрядных версий Windows 8.1
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.3.9600.17475 |
1,612,992 |
30-Oct-2014 |
23:38 |
x86 |
Для всех поддерживаемых версий на базе x64 Windows 8.1 или Windows Server 2012 R2
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.3.9600.17475 |
1,970,432 |
30-Oct-2014 |
23:39 |
x64 |
|
Crypt32.dll |
6.3.9600.17475 |
1,612,992 |
30-Oct-2014 |
23:38 |
x86 |
Для всех поддерживаемых версий Windows 8.1 для систем на базе ARM
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.3.9600.17475 |
1,499,336 |
30-Oct-2014 |
23:32 |
Неприменимо |
Сведения о файле Windows 8 и Windows Server 2012 и заметки
-
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.
Версия
Продукт
Контрольная точка
Направление поддержки
6.2.920 0.17xxx
Windows 8, Windows RT или Windows Server 2012
RTM
GDR
6.2.920 0.21xxx
Windows 8, Windows RT или Windows Server 2012
RTM
LDR
-
Выпуски обновлений GDR содержат только те исправления, которые выпускаются повсеместно и предназначены для устранения распространенных критических проблем. В обновления LDR входят также специализированные исправления.
-
Файлы MANIFEST (.manifest) и MUM (.mum), устанавливаемые для каждой среды не указываются.
Для всех поддерживаемых версий Windows 8 для систем на базе x86
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.2.9200.17164 |
1,569,792 |
30-Oct-2014 |
05:22 |
x86 |
|
Crypt32.dll |
6.2.9200.21279 |
1,591,808 |
30-Oct-2014 |
00:46 |
x86 |
Для всех поддерживаемых версий x64 под управлением Windows 8 или Windows Server 2012
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.2.9200.17164 |
1,890,816 |
30-Oct-2014 |
07:20 |
x64 |
|
Crypt32.dll |
6.2.9200.21279 |
1,919,488 |
30-Oct-2014 |
00:51 |
x64 |
|
Crypt32.dll |
6.2.9200.17164 |
1,569,792 |
30-Oct-2014 |
05:22 |
x86 |
|
Crypt32.dll |
6.2.9200.21279 |
1,591,808 |
30-Oct-2014 |
00:46 |
x86 |
Для всех поддерживаемых версий Windows 8 для систем на базе ARM
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.2.9200.17164 |
1,403,392 |
30-Oct-2014 |
05:45 |
Неприменимо |
Информация о файлах для Windows 7 и Windows Server 2008 R2 и примечания
-
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.
-
Выпуски обновлений GDR содержат только те исправления, которые выпускаются повсеместно и предназначены для устранения распространенных критических проблем. В обновления LDR входят также специализированные исправления.
-
Файлы MANIFEST (.manifest) и MUM (.mum), устанавливаемые для каждой среды не указываются.
Для всех поддерживаемых 86-разрядных версий Windows 7
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.1.7601.18700 |
1,174,528 |
12-Dec-2014 |
05:07 |
x86 |
|
Crypt32.dll |
6.1.7601.22908 |
1,175,040 |
12-Dec-2014 |
05:38 |
x86 |
|
Cryptnet.dll |
6.1.7601.18205 |
103,936 |
09-Jul-2013 |
04:46 |
x86 |
|
Cryptnet.dll |
6.1.7601.22780 |
106,496 |
19-Aug-2014 |
02:47 |
x86 |
|
Cryptsvc.dll |
6.1.7601.18526 |
143,872 |
07-Jul-2014 |
01:40 |
x86 |
|
Cryptsvc.dll |
6.1.7601.22856 |
145,920 |
30-Oct-2014 |
02:14 |
x86 |
|
Wintrust.dll |
6.1.7601.18526 |
179,200 |
07-Jul-2014 |
01:40 |
x86 |
|
Wintrust.dll |
6.1.7601.22736 |
179,200 |
07-Jul-2014 |
01:41 |
x86 |
Для всех поддерживаемых 64-разрядных версий Windows 7 и Windows Server 2008 R2
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.1.7601.18700 |
1,480,192 |
12-Dec-2014 |
05:31 |
x64 |
|
Crypt32.dll |
6.1.7601.22908 |
1,480,704 |
12-Dec-2014 |
06:02 |
x64 |
|
Cryptnet.dll |
6.1.7601.18205 |
139,776 |
09-Jul-2013 |
05:46 |
x64 |
|
Cryptnet.dll |
6.1.7601.22780 |
142,336 |
19-Aug-2014 |
03:05 |
x64 |
|
Cryptsvc.dll |
6.1.7601.18526 |
187,904 |
07-Jul-2014 |
02:06 |
x64 |
|
Cryptsvc.dll |
6.1.7601.22736 |
190,976 |
07-Jul-2014 |
02:06 |
x64 |
|
Wintrust.dll |
6.1.7601.18526 |
229,376 |
07-Jul-2014 |
02:07 |
x64 |
|
Wintrust.dll |
6.1.7601.22736 |
229,376 |
07-Jul-2014 |
02:06 |
x64 |
|
Crypt32.dll |
6.1.7601.18700 |
1,174,528 |
12-Dec-2014 |
05:07 |
x86 |
|
Crypt32.dll |
6.1.7601.22908 |
1,175,040 |
12-Dec-2014 |
05:38 |
x86 |
|
Cryptnet.dll |
6.1.7601.18205 |
103,936 |
09-Jul-2013 |
04:46 |
x86 |
|
Cryptnet.dll |
6.1.7601.22780 |
106,496 |
19-Aug-2014 |
02:47 |
x86 |
|
Cryptsvc.dll |
6.1.7601.18526 |
143,872 |
07-Jul-2014 |
01:40 |
x86 |
|
Cryptsvc.dll |
6.1.7601.22856 |
145,920 |
30-Oct-2014 |
02:14 |
x86 |
|
Wintrust.dll |
6.1.7601.18526 |
179,200 |
07-Jul-2014 |
01:40 |
x86 |
|
Wintrust.dll |
6.1.7601.22736 |
179,200 |
07-Jul-2014 |
01:41 |
x86 |
Для всех поддерживаемых версий Windows Server 2008 R2 для систем на базе процессоров IA-64
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Crypt32.dll |
6.1.7601.18700 |
2,690,048 |
12-Dec-2014 |
04:45 |
IA-64 |
|
Crypt32.dll |
6.1.7601.22908 |
2,691,072 |
12-Dec-2014 |
04:45 |
IA-64 |
|
Cryptnet.dll |
6.1.7601.18205 |
267,264 |
09-Jul-2013 |
04:27 |
IA-64 |
|
Cryptnet.dll |
6.1.7601.22780 |
272,896 |
19-Aug-2014 |
02:13 |
IA-64 |
|
Cryptsvc.dll |
6.1.7601.18526 |
388,608 |
07-Jul-2014 |
01:22 |
IA-64 |
|
Cryptsvc.dll |
6.1.7601.22736 |
392,704 |
07-Jul-2014 |
01:25 |
IA-64 |
|
Wintrust.dll |
6.1.7601.18526 |
514,048 |
07-Jul-2014 |
01:22 |
IA-64 |
|
Wintrust.dll |
6.1.7601.22736 |
514,048 |
07-Jul-2014 |
01:25 |
IA-64 |
|
Crypt32.dll |
6.1.7601.18700 |
1,174,528 |
12-Dec-2014 |
05:07 |
x86 |
|
Crypt32.dll |
6.1.7601.22908 |
1,175,040 |
12-Dec-2014 |
05:38 |
x86 |
|
Cryptnet.dll |
6.1.7601.18205 |
103,936 |
09-Jul-2013 |
04:46 |
x86 |
|
Cryptnet.dll |
6.1.7601.22780 |
106,496 |
19-Aug-2014 |
02:47 |
x86 |
|
Cryptsvc.dll |
6.1.7601.18526 |
143,872 |
07-Jul-2014 |
01:40 |
x86 |
|
Cryptsvc.dll |
6.1.7601.22856 |
145,920 |
30-Oct-2014 |
02:14 |
x86 |
|
Wintrust.dll |
6.1.7601.18526 |
179,200 |
07-Jul-2014 |
01:40 |
x86 |
|
Wintrust.dll |
6.1.7601.22736 |
179,200 |
07-Jul-2014 |
01:41 |
x86 |
Ссылки
См. термины , которые корпорация Майкрософт использует для описания обновлений программного обеспечения.
По умолчанию, все операционные системы семейства Windows автоматически получают и обновляют корневые сертификаты с сайта Microsoft. Компания MSFT в рамках программы корневых сертификатов Microsoft Trusted Root Certificate Program, ведет и публикует в своем онлайн хранилище сертификаты для клиентов и устройств Windows. Если проверяемый сертификат в своей цепочке сертификации относится к корневому CA, который участвует в этой программе, Windows автоматически скачает с узла Microsoft Update и добавит такой корневой сертификат в доверенные на вашем компьютере.
Windows запрашивает обновление списка корневых сертификатов (certificate trust lists — CTL) один раз в неделю. Если в Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневые сертификаты, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны недоверенными CA, см. статью об ошибке в Chrome Этот сайт не может обеспечить безопасное соединение), либо с установкой запуском подписанных приложений или скриптов.
В этой статье попробуем разобраться, как в Windows вручную обновить список корневых сертификатов в TrustedRootCA в изолированных сетях, или компьютерах/серверах без прямого подключения к Интернету.
Содержание:
- Управление корневыми сертификатами в Windows 10 и 11
- Включить/отключить автоматическое обновление корневых сертификатов в Windows
- Ручное обновление корневых сертификатов в Windows 10 и 11
- Список корневых сертификатов в формате STL
- Обновление корневых сертификатов в Windows с помощью GPO в изолированных средах
- Обновление корневых сертификатов в Windows 7
- Утилита rootsupd.exe для обновления сертификатов в Windows XP
Примечание. Если ваши компьютеры выходят в Интернет через прокси-сервер, для автоматического обновления корневых сертификатов Microsoft рекомендует открыть прямой доступ (bypass) к веб-узлам Microsoft. Но это не всегда возможно/применимо.
Управление корневыми сертификатами в Windows 10 и 11
Как посмотреть список корневых сертификатов на устройстве Windows?
- Чтобы открыть хранилище корневых сертификатов компьютера в Windows /Windows Server, запустите консоль
mmc.exe
; - Нажмите Файл (File) -> Добавить или удалить оснастку (Add/Remove Snap-in), в списке оснасток выберите Сертификаты (Certificates) -> Добавить (Add);
- В диалоговом окне выберите что вы хотите управлять сертификатами учетной записи компьютера (Computer account);
- Далее -> Ok -> Ok;
- Разверните Certificates (Сертификаты) -> Trusted Root Certification Authorities Store (Доверенные корневые сертификаты). В этом списке содержится список доверенных корневых сертификатов вашего компьютера.
Вы можете вывести список доверенных корневых сертификатов на вашем компьютере со сроками их действия с помощью PowerShell:
Get-Childitem cert:LocalMachineroot |format-list
Можно вывести список истекших сертификатов, или которые истекут в ближайшие 30 дней:
Get-ChildItem cert:LocalMachineroot| Where {$_.NotAfter -lt (Get-Date).AddDays(30)} |select NotAfter, Subject
В целях безопасности рекомендует периодически проверять хранилище доверенных сертификатов на наличие поддельных сертификатов с помощью утилиты Sigcheck. Утилита позволяет сравнить список сертификатов, установленных на компьютере со списком корневых сертификатов на сайте Microsoft (можно скачать офлайн файл с актуальными сертификатами authrootstl.cab).
Вы можете вручную перенести файл корневого сертификата с одного компьютера на другой с помощью функцию Экспорта/Импорта.
- Вы можете экспортировать любой сертификат .CER в файл, щелкнув по нему и выбрав “Все задачи” -> “Экспорт”;
- Затем с помощью команды Импорт можно импортировать этот сертификат на другом компьютере.
Включить/отключить автоматическое обновление корневых сертификатов в Windows
Как мы уже упомянули, Windows по умолчанию сама обновляет корневые сертификаты. Вы можете включить или отключить обновление сертификатов в Windows через GPO или реестр.
Откройте локальный редактор групповой политики (gpedit.msc) и перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Internet Communication Management -> Internet Communication.
Параметр Turn off Automatic Root Certificates Update в этом разделе позволяет отключить автоматическое обновление корневых сертификатов через сайт Windows Update. По умолчанию это политика не настроена и Windows всегда пытается автоматически обновлять корневые сертификаты.
Если эта политика не настроена, а сертификаты не обновляются автоматически, проверьте не включен ли вручную параметр реестра, отвечающий за эту настройку. Проверьте значение параметра реестра с помощью PowerShell:
Get-ItemProperty -Path 'HKLM:SoftwarePoliciesMicrosoftSystemCertificatesAuthRoot' -Name DisableRootAutoUpdate
Если команда вернет, что значение ключа
DisableRootAutoUpdate=1
, значит на вашем компьютере отключено обновление корневых сертификатов. Чтобы включить его, измените значение параметра на 0.
Ручное обновление корневых сертификатов в Windows 10 и 11
Утилита управления и работы с сертификатами Certutil (появилась в Windows 10, для Windows 7 доступна в виде отдельного обновления), позволяет скачать с узлов Windows Update и сохранить в SST файл актуальный список корневых сертификатов.
Для генерации SST файла, на компьютере Windows 10/11 с доступом в Интернет, выполните с правами администратора команду:
certutil.exe -generateSSTFromWU c:PSroots.sst
Updated SST file. CertUtil: -generateSSTFromWU command completed successfully.
В результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий доверенные корневые сертификаты.
В указанном каталоге появится файл SST, содержащий актуальный список сертификатов. Данный файл представляет собой контейнер, содержащий доверенные корневые сертификаты. Дважды щелкните по нему.
В открывшейся
mmc
консоли вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 436 элементов. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.
Для установки всех сертификатов из SST файла и добавления их в список корневых сертификатов компьютера можно воспользоваться командами PowerShell:
$sstStore = ( Get-ChildItem -Path C:psrootsupdroots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:LocalMachineRoot
Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority. В нашем примере на Windows 11 количество корневых сертификатов увеличилось с 34 до 438.
Чистая копия Windows после установки содержит в корневом хранилище лишь небольшое количество сертификатов. Если компьютер подключен к интернету, остальные корневые сертификаты будут устанавливаться автоматически (по требованию), если ваше устройство попытается получить доступ к HTTPS сайту/SSL сертификату, в чей цепочке доверия есть отпечаток из CTL Microsoft. Поэтому как правило, нет необходимости добавлять в свое локальное хранилище сразу все сертификаты, доверенные Microsoft.
Список корневых сертификатов в формате STL
Есть еще один способ получения списка сертификатов с сайта Microsoft. Для этого нужно скачать файл http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (обновляется дважды в месяц).С помощью любого архиватора (или проводника Windows) распакуйте содержимое архива authrootstl.cab. Он содержит один файл authroot.stl.
Файл authroot.stl представляет собой контейнер со списком отпечатков (thumbprint) доверенных сертификатов Microsoft в формате Certification Trust List.
Данный файл можно установить в системе с помощью утилиты certutil:
certutil -enterprise -f -v -AddStore "Root" "C:PSauthroot.stl"
Root "Trusted Root Certification Authorities" CTL 0 added to store. CertUtil: -addstore command completed successfully.
Также вы можете импортировать сертификаты из консоли управления сертификатами (Trust Root CertificationAuthorities –>Certificates -> All Tasks > Import). Укажите путь к вашему STL файлу сертификатами.
После выполнения команды, в консоли управления сертификатами (
certmgr.msc
) в контейнере Trusted Root Certification Authorities (Доверенные корневые сертификаты) появится новый раздел с именем Certificate Trust List (Список доверия сертификатов).
Аналогичным образом можно скачать и установить список с отозванными сертификатами, которые были исключены из программы Root Certificate Program. для этого, скачайте файл disallowedcertstl.cab (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), распакуйте его и добавьте в раздел Untrusted Certificates командой:
certutil -enterprise -f -v -AddStore disallowed "C:PSdisallowedcert.stl "
Обновление корневых сертификатов в Windows с помощью GPO в изолированных средах
Если у вас возникла задача регулярного обновления корневых сертификатов в изолированном от Интернета домене Active Directory, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. В изолированных сетях Windows вы можете настроить обновление корневых сертификатов на компьютерах пользователей несколькими способами.
Первый способ предполагает, что вы регулярно вручную скачиваете и копируете в вашу изолированную сеть файл с корневыми сертификатами, полученный так:
certutil.exe –generateSSTFromWU roots.sst
Затем сертификаты из данного файла можно установить через SCCM или PowerShell логон скрипт в GPO:
$sstStore = ( Get-ChildItem -Path \dc01SYSVOLwinitpro.rurootcertroots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:LocalMachineRoot
Второй способ предполагает получение актуальных корневых сертификатов с помощью команды:
Certutil -syncWithWU -f \dc01SYSVOLwinitpro.rurootcert
В указанном сетевом каталоге появится ряд файлов корневых сертификатов (CRT) и в том числе файлы (authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt).
Затем с помощью GPP нужно изменить значение параметра реестра RootDirURL в ветке HKLMSoftwareMicrosoftSystemCertificatesAuthRootAutoUpdate. Этот параметр должен указывать на сетевую папку, из которой клиентам нужно получать новые корневые сертификаты. Перейдите в секцию редактора GPO Computer Configuration -> Preferences -> Windows Settings -> Registry. И создайте новый параметр реестра со значениями:
Action: Update
Hive: HKLM
Key path: SoftwareMicrosoftSystemCertificatesAuthRootAutoUpdate
Value name: RootDirURL
Type: REG_SZ
Value data: file://\dc01SYSVOLwinitpro.rurootcert
Осталось назначить эту политику на компьютеры и после обновления настроек GPO на клиенте проверить появление новых корневых сертификатов в хранилище.
Политика Turn off Automatic Root Certificates Update в разделе Computer Configuration -> Administrative Templates -> System -> Internet Communication Management -> Internet Communication settings должна быть выключена или не настроена.
Обновление корневых сертификатов в Windows 7
Несмотря на то, что Windows 7 уже снята с поддержки, есть много пользователей и компаний, в которых она еще используется.
После установки чистой Windows 7 из образа вы может столкнуться, что многие современные программы и инструменты на ней не работают из-за того, что они подписаны с помощью новых сертификатов. В частности, были жалобы, что в Windows 7 64 без обновления сертификатов не удается установить .Net Framework 4.8. или
vs_Community.exe с ошибкой:
installer manifest failed signature validation
Чтобы обновить корневые сертификаты в Windows 7, нужно скачать и установить MSU обновление KB2813430 (https://support.microsoft.com/en-us/topic/an-update-is-available-that-enables-administrators-to-update-trusted-and-disallowed-ctls-in-disconnected-environments-in-windows-0c51c702-fdcc-f6be-7089-4585fad729d6).
После этого вы можете использовать утилиту certutil для генерации SST файла с сертификатами (на этом или на другом компьютере):
certutil.exe -generateSSTFromWU c:psroots.sst
Теперь можно импортировать сертификаты в доверенные:
MMC -> add snap-in -> certificates -> computer account > local computer. Перейдите в раздел Trusted root certification authority, выберите All Tasks -> Import, найдите ваш SST файл (в типе файлов выберите Microsoft Serialized Certificate Store — *.sst) -> Open -> Place all certificates in the following store -> Trusted Root Certification Authorities
Утилита rootsupd.exe для обновления сертификатов в Windows XP
В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe. В этой утилита содержится список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates).
- Скачайте утилиту rootsupd.exe, перейдя по ссылке (по состоянию на 15.07.2019 ссылка не работает, возможно в Microsoft решили убрать ее из общего доступа. На данный момент вы можете скачать утилиту с сайта kaspersky.com — http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip);
- Для установки корневых сертификатов Windows, достаточно запустить файл rootsupd.exe. Но мы попробуем более внимательно рассмотреть его содержимое, распаковав его с помощью команды:
rootsupd.exe /c /t:C:PSrootsupd
- Сертификаты содержатся в SST файлах: authroots.sst, delroot.sst и т.п. Для удаления/установки сертификатов можно воспользоваться командами:
updroots.exe authroots.sst
updroots.exe -d delroots.sst
Но, как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до окончания официальной поддержки Windows XP). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов. Однако нам чуть позже понадобится файл updroots.exe.
Была информация, что утилиту updroots.exe нежелательно использовать в современных билдах Windows 10 1803+, т.к. она может сломать корневой сертификат Microsoft Root Certificate Authority.
В этой статье мы рассмотрели несколько способов обновления корневых сертификатов на компьютерах Windows, изолированных от Интернета.
Hello, All.
I currently have a Server 2012 r2 standalone Root CA server which is currently KSP, with RSA2048 keys. This was migrated over from a 2003 server, by way of a Server 2008 r2 migration a couple of years ago. The root CA certificate is set to expire
June 13, 2018 and I was working to renew it this past weekend.
My plan was to renew this certificate using the same key pair and I followed the steps as noted elsewhere:
1. Open the Certification Authority MMC
2. Right-click the CA name then select All Tasks—Renew CA Certificate
3. Click «Yes» to stop the AD Certificate Services.
4. Select «No» to the option of generating a new public/private key pair and click «OK».
The process seems to complete and the CA services start again, but the certificate does not show an updated expiration date. The existing certificates v0 (the expired CSP) and v1 (the current KSP) are the only two certificates listed in the CA properties
and there is now new certificate in «C:WindowsSystem32CertSvcCertEnroll» I do see there is a new .crl for 5/27/2018,
which is when I first attempted this.
Note, I have also attempted this by first stopping the CA service manually and then processing the renewal, but to the same effect.
I know I’m missing something dead-simple, but cannot figure it out for the life of me.
Any ideas, anyone?
Thanks,
MP
If no-one else will say it, I will. Microsoft screwed up years ago and published an update to the trusted root CAs that broken any machine lucky enough to get said update prior to Microsoft pulling the update. To this day, I still deal with this problem.
Because I understand the security implications, I am not providing direct links to these issues. Instead, this is what one searches for in Google to find the related information:
Update KB3004394 breaks Root Certificate in Windows 7/ Windows Server 2008 R2
Microsoft releases ‘Silver Bullet’ patch KB 3024777 to eliminate KB 3004394
And the one I experienced and to this day causes countless issues:
SSL/TLS communication problems after you install KB 931125
This package installed more than 330 Third-party Root Certication
Authorities. Currently, the maximum size of the trusted certificate
authorities list that the Schannel security package supports is 16
kilobytes (KB). Having a large amount of Third-party Root Certication
Authorities will go over the 16k limit, and you will experience
TLS/SSL communication problems.
Another reason is because Microsoft has distrusted a number of root CAs over the years. Lazy admins will simply disable this feature for their Intranet servers and never resolve the root problem — re-signing everything no longer trusted.
Anyway, simple answer is to use a different code signing certificate.
The below content is superseded — for information on updating your certificates please see:
- Token signing and decryption
- SSL certificate
Active Directory Federation Services (AD FS) heavily leverages X.509 certificates to allow the solution to function securely. As with all of the other certificates that you deploy within your enterprise, there must be a process to manage and renew certificates prior to them expiring. If a certificate expires this can be summarised quite simply as not good!
The Office 365 Portal will provide notifications to indicate that one or more of your AD FS certificates will expire shortly. This may be the SSL certificate, service communication certificate, token decryption or token signing certificates. If one of these are about to expire, you will get the alert as shown below in the Office 365 Portal.
Clicking the link in the alert will take you to: Renewing Federation Certificates for Office 365 and Azure AD. That will walk you through renewing the token decryption and token signing certificates. This blog post discusses renewing the SSL certificate and service communications certificate.
In the AD FS management console, the certificate expiration dates are highlighted.
The PowerShell commands to get the same information on the AD FS servers are: Get-AdfsCertificate and Get-AdfsSslCertificate
On the Web Application Proxy (WAP) servers we can use Get-WebApplicationProxySslCertificate. More on the PowerShell cmdlets later.
What’s The Worst That Can Happen If I Don’t Do This?
If you do not follow your process to renew AD FS certificates, or see the additional prompt in the Office 365 Portal, then expect the wheels to fall off the bus.
Users will be unable to access Office 365 services in most cases. The below are some images that you will most likely NOT want to see in production. The below SSL and service communication certificate has expired. The below images were taken after the 8th of February 2016.
If we then browse to the AD FS metadata page, IE is not happy either.
Clicking to continue on, we can then review the certificate.
Telling users that the above is situation is fine to proceed, is unacceptable and irresponsible on our part. All that we are doing is teaching people that it is OK to click here to either see the dancing pigs, or re-confirm your online banking credentials. Not good.
This is why it is critical that we proactively renew certificates so we provide a secure environment to users, and promote correct behaviours.
That’s enough doom and gloom, time to get back to ensuring this does not happen!
If we review Certificate Requirements for Federation Servers on TechNet, there are multiple certificate types that come into play. To list them out:
- Token-decryption certificate
- Token-signing certificate
- Secure Sockets Layer (SSL) certificate
- Service communication certificate
By default the token signing and token decryption certificates are self signed and will automatically manage themselves in the default configuration. As long as Office 365 is able to retrieve the AD FS metadata, then Office 365 automatically updates with no additional scripts or manual intervention. Note – this assumes that you are current on Windows updates, else the certificates do not roll over properly. Blog post on that later.
The last two are separate but are often blended together. By default, the service communication certificate uses the same certificate as the Secure Sockets Layer (SSL) certificate. Federation servers use a server authentication certificate, also known as a service communication for Windows Communication Foundation (WCF) Message Security.
Regarding the SSL certificate, Federation servers use an SSL certificate to secure Web services traffic for SSL communication with Web clients and with federation server proxies.
Because of this, we have two PowerShell commands to manage the SSL certificate and service communication certificate. The commands are Set-AdfsSslCertificate and Set-AdfsCertificate. They are very similar, and appear to be the same but are not.
If we look at them this way the difference is more apparent.
Set-AdfsSslCertificate
Set-AdfsCertificate
Keep in mind that there are two separate commands and we will come back to them later in the post.
Note that the GUI is not used in this post as it is not able to perform all of the changes we require to update the certificates in Windows Server 2012 R2 AD FS.
A high level overview of the steps we will perform are:
- Obtain new certificate
- Install new certificate on all AD FS servers
- Install new certificate on all WAP servers
- Set SSL certificate on all AD FS servers
- Set Service Communication certificate
- Set SSL certificate on all WAP servers
- Verify and test
Obtain New Certificate
This section is not only about requesting a new certificate, but also about ensuring that it is correctly installed and then preparing for the subsequent steps.
There are a few ways in which you can request a SSL/TLS certificate. Some Exchange people use the Exchange toolset to do this, though you may not be able to do so. In such cases we can use this process How To Request Certificate Without Using IIS or Exchange to manually generate the certificate request and process it directly on an AD FS 2012 R2 server. Please see the aforementioned blog post on the details, and how to edit the template. The certificate used here only has a subject name, there are no SAN entries. Your use case may also involve Device Registration, and have an additional name on the certificate.
We will generate the new certificate with the same name as before: adfs.tailspintoys.ca
Certreq.exe is used to generate the pending certificate request, which is called newcert.req.
The pending request (newcert.req) was then submitted and processed by the issuing CA. Follow the steps in your vendor’s documentation to complete this process. The signed response from the CA has been copied back to the same AD FS server and is the file called adfs_tailspintoys_ca.cer.
Certreq.exe is then used to mate the pending request with the signed CA response.
Part of my standard certificate drills are to then immediately check to ensure the following are OK:
-
Certificate subject name is correct – ensure there are no typos!
-
Certificate Subject Alternative Names (SAN) are correct – SAN names might not apply in your environment.
-
Valid from
-
Valid to
-
Certificate has private key
-
Certificate chains correctly
-
Any intermediate CA certificates that were required to be updated
The last point is important. With the move to SHA2 certificates, there is a good chance that a different intermediate issuing CA is going to be used. What is the best thing to do? Read the documentation from your CA provider, and follow the installation instructions that come with your certificate. Some vendors have a tool that does all this for you, others require you to manually install updated certs. Either will work, you must ensure that the requisite steps are performed.
We need to know the new certificate’s thumbprint so that we can specify it in later steps. To determine the thumbprint, one option is to list the certificates in the local machine store using PowerShell:
Get-ChildItem –Path Cert:LocalMachinemy
The above is the bare minimum to type, and will show all the certs in the local machine’s store. If you have several, the following command may be more beneficial:
Get-ChildItem -Path Cert:LocalMachinemy | Select-Object FriendlyName, Thumbprint, Subject, NotBefore, NotAfter
The thumbprint can also be obtained by looking at the certificate’s properties in the certificate MMC. Note the highlighted line below:
In this case the thumbprint is B4E3C4EC85B50BAD7CF5F8093EA546CF7F84674A – yours will be different.
Now we have our shiny new certificate. This needs to be exported out, and deployed to the other servers. To export the certificate, we can use the certificate MMC, just be sure to chose the option to export out the private key. Hint – if the file type is not .PFX then you have not chosen to export the private key. A strong password was set during the export operation, as we want to provide as much protection as possible.
Alternatively you can export out using Export-PfxCertificate.
Install New Certificate on All AD FS Servers
The certificate needs to be deployed onto the remaining AD FS servers. As with the export there are different ways to accomplish this. For example:
- Double click the .PFX file and import using wizard
- Open certificate manager, and import to the local computer’s personal store
- Use Import-PFX
As with the initial install, ensure the following are OK:
-
Valid from
-
Valid to
-
Certificate has private key
-
Certificate chains correctly
-
Any intermediate CA certificates that were required to be updated were updated
Install New Certificate on All WAP Servers
The same process to copy over and install the certificate needs to be followed on all WAP servers.
Set SSL certificate on all AD FS servers
Now that the new certificate has been deployed, onto all of the AD FS servers we can then enable it as the SSL certificate using PowerShell
Set-AdfsSslCertificate –Thumbprint XXXXXXXX
In our example this will be:
Set-AdfsSslCertificate –Thumbprint B4E3C4EC85B50BAD7CF5F8093EA546CF7F84674A
This step must be performed on all AD FS servers.
The AD FS service account[s] also require access to the new certificate’s key. If we look at the certificate’s private key permissions after running the previous command, note the ACLs that are present:
Manually adding those permissions was not required in this lab. In TechNet’s Obtain and Configure an SSL Certificate for AD FS article it states:
The following message will inform you that you need to set the private key permissions correctly on the new certificate: “Ensure that the private key for the chosen certificate is accessible to the service account for this Federation Service on each server in the farm.” Update the permissions on the SSL and the service communication certificates to allow Read access for the AD FS service and DRS services. You have to complete the following procedure on all federation servers in your farm.
We can look at the HTTPS.sys binding using netsh http show sslcert
Do NOT make modifications using netsh in AD FS 2012 R2. It is mentioned as a read only verification step here.
Set Service Communication certificate
This is where we come back to the two cmdlets referenced at the start of this post. In the previous section we ran the Set-AdfsSslCertificate cmdlet. Now we must also run the Set-ADFSCertificate to complete the process. Execute the Set-ADFSCertificate command only on the Primary ADFS node. If you are not sure which is primary, run Get-AdfsSyncProperties. Note this command is not to be executed on every AD FS server. It is to be executed once. Stating to execute the Set-ADFSCertificate on the primary is a simple statement and covers all cases.
We have to instruct AD FS to use the new certificate for the service communications cert. This is done using PowerShell:
Set-AdfsCertificate -CertificateType Service-Communications –Thumbprint XXXXXXX
In our example:
Set-AdfsCertificate -CertificateType Service-Communications –Thumbprint B4E3C4EC85B50BAD7CF5F8093EA546CF7F84674A
As prompted, restart the Active Directory Federation Services service (adfssrv) on all AD FS servers in the farm.
Set SSL certificate on all WAP servers
To enable the SSL certificate on the WAP servers, we need to run Set-WebApplicationProxySslCertificate on each server. Remember that the new certificate was previously deployed to all WAP servers. In this stage we are simply enabling it.
Set-WebApplicationProxySslCertificate -Thumbprint XXXX
In our example:
Set-WebApplicationProxySslCertificate -Thumbprint B4E3C4EC85B50BAD7CF5F8093EA546CF7F84674A
Verify and Test
At this point we need to test and ensure that AD FS is able to authentication and sign in clients internally and externally.
Cleanup –Optional
Once you have verified that all aspects of AD FS are functioning, you may want to go back and archive the old SSL certificates from the servers to keep the certificate stores clean.
Automating AD FS Service Certificate Change
If you wish to automate or script changing the SSL/TLS certificates, then you are in luck! Pierre Audonnet has published the below script to the TechNet scripting gallery to help with automating this change.
Bootnote
For reference TechNet has the following verbiage on the certificate cmdlets for AD FS servers.
The Set-AdfsSslCertificate cmdlet sets an SSL certificate for HTTPS bindings for Active Directory Federation Services (AD FS) and, if configured, the device registration service. The subject name of the specified certificate must match the federation service name. Use this cmdlet to change the SSL certificate associated with the AD FS service. You must run this cmdlet on each AD FS server in the AD FS farm
The Set-AdfsCertificate cmdlet sets the properties of an existing certificate that Active Directory Federation Services (AD FS) uses to sign, decrypt, or secure communications..
All of the AD FS Cmdlets in Windows PowerShell are listed here.
Cheers,
Rhoderick
Обновлено: 24.12.2022
Опубликовано: 03.09.2020
Актуальные системы семейства Windows, подключенные к Интернету, могут автоматически обновлять корневые сертификаты. В противном случае, обновление необходимо выполнять вручную. Если это не делать, мы можем столкнуться с рядом проблем:
- Не открываются или выдают предупреждение безопасности некоторые (или все) сайты, работающие по https.
- Некорректная работа отдельных приложений (например, антивирусных систем).
- Ошибки при подключении по удаленному рабочему столу.
Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживания компанией Microsoft (Windows XP, 7, а также Server 2003, 2008).
Обновление сертификатов
Обновление доверенных корневых сертификатов выполняется во время обновления операционной системы. Если последнее включено, то нашего участия не требуется, иначе, можно установить обновление вручную. Пример такого пакета — KB931125 (ссылка).
Однако, если операционная система устарела, разработчик прекращает выпуск обновлений, и мы не можем воспользоваться средствами обновления системы. В таком случае, необходимо сделать выгрузку корневых сертификатов на актуальной системе и перенести их на устаревший.
Получение актуальных сертификатов
Для начала, выгрузим сертификаты на компьютере с актуальной версией Windows (10) и подключением к сети Интернет.
Создадим каталог, в который будет выгружен файл с корневыми сертификатами, например, C:CA (папка CA на диске C).
Открываем командную строку от администратора и вводим команду:
certutil.exe -generateSSTFromWU C:CAroots.sst
* где C:CA — каталог, который мы создали; roots.sst — файл, в который будут выгружены сертификаты.
* если мы получили ошибку Не удается найти указанный файл. 0x80070002, то необходимо убедиться, что каталог CA создан (в нашем примере в корне диска С).
В папке C:CA мы должны увидеть файл roots.sst.
Установка/обновление корневых сертификатов
Полученный на предыдущем этапе файл переносим на компьютер, где необходимо обновить доверенные корневые сертификаты, например, также в папку C:CA. Скачиваем утилиту rootsupd и распаковываем ее в этот же каталог.
Открываем командную строку от администратора и вводим команду:
C:CArootsupd.exe /c /t:C:CA
* где C:CA — папка, в которую мы перенесли корневые сертификаты.
В появившемся окне Roots Update:
… выбираем No, чтобы не переписывать наш файл roots.sst.
В папке C:CA должны появится новые файлы, в том числе, утилита updroots. Вводим теперь команду:
C:CAupdroots.exe C:CAroots.sst
Готово.
Была ли полезна вам эта инструкция?
Да Нет