Как обновить корневые сертификаты Windows 10
Обновлено: 24.11.2024
Windows 10 20H1 установлена на компьютере моего клиента и имеет проблему, заключающуюся в том, что не установлен драйвер принтера с цифровой подписью.
Но драйвер принтера установлен на нашем тестовом ПК хорошо. Поэтому мы исследовали причину.
И мы проверили проблему между Windows 10 клиента и нашей тестовой Windows 10 и выяснили, что Windows 10 клиента
и обнаружили, что в Windows 10 клиента отсутствует «Корневой центр сертификации Microsoft» в certmgr.msc, например ниже.
Мы не знаем, почему удален корневой центр сертификации Microsoft.
Итак, мы хотим установить (добавить) сертификат «Microsoft Root Certificate Authority» в Windows 10 клиента. Не могли бы вы сказать мне, как это сделать??
Или вы могли бы сказать мне, как решить эту проблему?
Всего наилучшего,
Сынван
3 ответа
На ПК, на котором у вас есть сертификат, вы можете щелкнуть сертификат правой кнопкой мыши и выбрать Все задачи->Экспорт. .
На устройстве, на котором отсутствует сертификат, нажмите «Сертификаты», а затем нажмите «Все задачи» -> «Импорт». и импортируйте сертификат.
Большое спасибо за ответ.
Я сделал то, что сказал, но Windows 10 по-прежнему не считает, что драйвер принтера был подписан после того, как я импортировал сертификат.
Возможно, он делает что-то еще, чтобы работать хорошо. Не могли бы вы знать, что мне делать после импорта сертификата.
Большое спасибо за ответ.
Я сделал то, что сказал, но Windows 10 по-прежнему не считает, что драйвер принтера был подписан после того, как я импортировал сертификат.
Возможно, он делает что-то еще, чтобы работать хорошо. Не могли бы вы знать, что мне делать после импорта сертификата.
Или, судя по информации, которую вы мне дали, срок действия сертификата полностью истек. Так должен ли клиент снова установить Windows 10?
Спасибо за публикацию здесь.
Попробуйте выполнить следующие действия, чтобы проверить, поможет ли это.
1. Экспортируйте упомянутый вами сертификат «Корневой центр сертификации Microsoft» с одного исправного компьютера в соответствии с шагами, упомянутыми Реза-Амери.
2. Затем на одной проблемной машине (лучше это будет тестовая машина) импортируйте экспортированный сертификат «Корневой центр сертификации Microsoft» в хранилище «Доверенный корневой центр сертификации» в разделе «Текущий пользователь» и в разделе «Локальный компьютер» на основе на шагах, упомянутых Реза-Амери.
3. На проблемном компьютере выполните обновление операционной системы на месте, чтобы посмотреть, поможет ли это.
4.Если это работает, как указано выше, попробуйте выполнить описанные выше действия на проблемном компьютере пользователя, наконец, проверьте, сохраняется ли проблема или исчезает.
Надеюсь, приведенная выше информация окажется полезной.
Если у вас возникнут какие-либо вопросы или проблемы, сообщите нам об этом.
С уважением,
Дейзи Чжоу
===========================================
Если ответ полезен, нажмите "Принять ответ" и проголосуйте за него.
Все версии Windows имеют встроенную функцию автоматического обновления корневых сертификатов с веб-сайтов Microsoft. MSFT в рамках программы Microsoft Trusted Root Certificate Program поддерживает и публикует список доверенных сертификатов для клиентов и устройств Windows в своем онлайн-репозитории. Если проверенный сертификат в своей цепочке сертификации ссылается на корневой ЦС, участвующий в этой программе, система автоматически загрузит этот корневой сертификат с серверов Центра обновления Windows и добавит его в доверенные.
Windows обновляет список доверенных корневых сертификатов (CTL) раз в неделю. Если у Windows нет прямого доступа к Центру обновления Windows, система не сможет обновить корневые сертификаты. Таким образом, у пользователя могут возникнуть проблемы при просмотре веб-сайтов (какие SSL-сертификаты подписаны ненадежным центром сертификации — см. статью «Ошибка Chrome SSL: этот сайт не может обеспечить безопасное соединение») или с установкой/запуском подписанных скриптов. и приложения.
В этой статье мы попытаемся выяснить, как вручную обновить список корневых сертификатов в TrustedRootCA в отключенных (изолированных) сетях или компьютерах/серверах без прямого доступа в Интернет.
Примечание. Если ваши компьютеры выходят в Интернет через прокси-сервер, Microsoft рекомендует открыть прямой доступ (в обход) к веб-сайтам Microsoft для автоматического обновления корневых сертификатов. Однако это не всегда возможно или применимо из-за корпоративных ограничений.
Управление доверенными корневыми сертификатами в Windows 10 и 11
Как посмотреть список доверенных корневых сертификатов на компьютере с Windows?
- Чтобы открыть корневое хранилище сертификатов компьютера под управлением Windows 11/10/8.1/7 или Windows Server 2022/2019/2016, запустите консоль mmc.exe;
- Выберите «Файл» -> «Добавить/удалить оснастку», в списке оснасток выберите «Сертификаты» (certmgr) -> «Добавить»;
- Выберите, что вы хотите управлять сертификатами локальной учетной записи компьютера;
- Далее -> ОК -> ОК;
- Разверните узел Сертификаты ->TrustedRootCertificationAuthoritiesStore. Этот раздел содержит список доверенных корневых сертификатов на вашем компьютере. ол>р>
В консоли mmc можно просмотреть информацию о любом сертификате или удалить его из доверенных.
Вы также можете получить список доверенных корневых сертификатов с датами истечения срока их действия с помощью PowerShell:
Get-Childitem cert:\LocalMachine\root |format-list
Вы можете перечислить сертификаты с истекшим сроком действия или сертификаты, срок действия которых истекает в ближайшие 60 дней:
Get-ChildItem cert:\LocalMachine\root|Где |выберите NotAfter, Subject
В целях безопасности рекомендуется периодически проверять хранилище доверенных сертификатов на вашем компьютере на наличие подозрительных и отозванных сертификатов с помощью инструмента Sigcheck. Этот инструмент позволяет сравнить список сертификатов, установленных на компьютере, со списком корневых сертификатов на сайте Microsoft (можно скачать офлайн-файл с актуальными сертификатами authrootstl.cab).
Вы можете вручную перенести файл корневого сертификата между компьютерами Windows, используя параметры экспорта/импорта.
Как отключить/включить автоматическое обновление корневых сертификатов в Windows?
Как мы уже упоминали, Windows автоматически обновляет корневые сертификаты. Вы можете включить или отключить обновление сертификата в Windows через объект групповой политики или реестр.
Откройте редактор локальной групповой политики (gpedit.msc) и перейдите в раздел Конфигурация компьютера -> Административные шаблоны -> Система -> Управление интернет-связью -> Интернет-связь.
Параметр Отключить автоматическое обновление корневых сертификатов в этом разделе позволяет отключить автоматическое обновление корневых сертификатов через сайты Центра обновления Windows. По умолчанию эта политика не настроена, и Windows всегда пытается автоматически обновить корневые сертификаты.
Если этот параметр объекта групповой политики не настроен и корневые сертификаты не обновляются автоматически, проверьте, включен ли этот параметр вручную в реестре. Проверьте значение параметра реестра с помощью PowerShell:
Get-ItemProperty -Path 'HKLM:\Software\Policies\Microsoft\SystemCertificates\AuthRoot' -Name DisableRootAutoUpdate
Если команда возвращает значение параметра реестра DisableRootAutoUpdate, равное 1, обновление корневых сертификатов на вашем компьютере отключено. Чтобы включить его, измените значение параметра на 0.
Certutil: загрузка доверенных корневых сертификатов из Центра обновления Windows
Инструмент командной строки Certutil.exe можно использовать для управления сертификатами (появился в Windows 10, для Windows 7 доступен в виде отдельного обновления). Его можно использовать для загрузки актуального списка корневых сертификатов из Центра обновления Windows и сохранения его в файле SST.
Чтобы создать файл SST на компьютере под управлением Windows 10 или 11 и с прямым доступом к Интернету, откройте командную строку с повышенными привилегиями и выполните команду:
certutil.exe -generateSSTFromWU C:\PS\roots.sst
В результате в целевом каталоге появится SST-файл, содержащий актуальный список корневых сертификатов. Дважды щелкните, чтобы открыть его. Этот файл представляет собой контейнер, содержащий доверенные корневые сертификаты.
Как видите, открывается знакомая оснастка «Управление сертификатами», из которой вы можете экспортировать любой из полученных сертификатов. В моем случае в списке сертификатов было 358 пунктов. Очевидно, что экспортировать сертификаты и устанавливать их по одному нерационально.
Совет. Команду certutil -syncWithWU можно использовать для создания отдельных файлов сертификатов. Полученные таким образом сертификаты можно развернуть на устройствах Windows с помощью GPO.
Вы можете использовать сценарий PowerShell, чтобы установить все сертификаты из файла SST и добавить их в список доверенных корневых сертификатов на компьютере:
$sstStore = ( Get-ChildItem -Path C:\ps\rootsupd\roots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root
Запустите оснастку certmgr.msc и убедитесь, что все сертификаты добавлены в доверенный корневой центр сертификации. В моем примере на Windows 11 количество корневых сертификатов увеличилось с 34 до 438.
Список доверия сертификатов (STL) в Windows
Список доверия сертификатов (CTL) — это просто список данных (например, хэшей сертификатов), подписанный доверенной стороной (в данном случае Microsoft). Клиент Windows периодически загружает из Центра обновления Windows этот CTL, в котором хранятся хэши всех доверенных корневых центров сертификации. Следует понимать, что этот CTL не содержит самих сертификатов, только их хеши и атрибуты (например, Friendly Name). Устройства Windows могут загрузить доверенный сертификат из списка доверенных сертификатов по запросу.
Файл Authroot.stl представляет собой контейнер со списком отпечатков доверенных сертификатов в формате списка доверенных сертификатов.
Вы можете установить этот файл CTL в доверенный корневой центр сертификации с помощью команды certutil:
certutil -enterprise -f -v -AddStore "Root" "C:\PS\authroot.stl"
Вы также можете импортировать сертификаты с помощью консоли управления сертификатами (Доверять корневым центрам сертификации -> Сертификаты -> Все задачи -> Импорт). Укажите путь к файлу STL с отпечатками сертификата.
После выполнения команды в контейнере Trusted Root Certification Authorities консоли диспетчера сертификатов ( certmgr.msc ) появится новый раздел Certificate Trust List.
certutil -enterprise -f -v -AddStore disallowed "C:\PS\disallowedcert.stl"
Обновление доверенных корневых сертификатов через объект групповой политики в изолированной среде
Если у вас есть задача регулярно обновлять корневые сертификаты в домене Active Directory, изолированном от Интернета, существует несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах, присоединенных к домену, с помощью групповых политик. Вы можете настроить обновления корневого сертификата на компьютерах пользователей в отключенных сетях Windows несколькими способами.
Первый способ предполагает, что вы регулярно вручную загружаете и копируете файл с корневыми сертификатами в свою изолированную сеть. Вы можете скачать файл с текущими корневыми сертификатами Microsoft следующим образом:
certutil.exe – сгенерироватьSSTFromWUroots.sst
Затем корневые сертификаты из этого файла можно развернуть через SCCM или сценарий запуска PowerShell в GPO:
Второй способ — загрузить актуальные корневые сертификаты Microsoft с помощью команды:
Несколько файлов корневых сертификатов (формат файлов CRT) появятся в указанной общей сетевой папке (включая файлы authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt).
Затем используйте настройки групповой политики, чтобы изменить значение параметра реестра RootDirURL в HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate. Этот параметр должен указывать на общую сетевую папку, из которой ваши компьютеры Windows будут получать новые корневые сертификаты. Запустите консоль домена GPMC.msc, создайте новый объект групповой политики, перейдите в режим редактирования политики и разверните раздел Конфигурация компьютера -> Настройки -> Параметры Windows -> Реестр. Создайте новое свойство реестра со следующими параметрами:
Осталось связать эту политику на OU компьютера и после обновления настроек GPO на клиенте проверить наличие новых корневых сертификатов в certstore.
Параметр объекта групповой политики «Отключить автоматическое обновление корневых сертификатов» в разделе «Конфигурация компьютера» -> «Административные шаблоны» -> «Система» -> «Управление связью через Интернет» -> «Параметры связи через Интернет» должен быть отключен или не настроен.
Как обновить доверенные корневые сертификаты в Windows 7?
Несмотря на то, что Windows 7 сейчас находится на стадии окончания поддержки, многие пользователи и компании все еще используют ее.
После этого вы можете использовать certutil для создания файла SST с корневыми сертификатами (на текущем или другом компьютере):
certutil.exe -generateSSTFromWU c:\ps\roots.sst
Теперь вы можете импортировать сертификаты в доверенные:
Запустите MMC -> добавить оснастку -> сертификаты -> учетная запись компьютера > локальный компьютер. Щелкните правой кнопкой мыши Доверенный корневой центр сертификации, Все задачи -> Импорт, найдите файл SST (в типе файла выберите Microsoft Serialized Certificate Store — *.sst) -> Открыть -> Поместить все сертификаты в следующее хранилище -> Доверенные корневые центры сертификации. .
Обновление корневых сертификатов в Windows XP с помощью средства Rootsupd.exe
В Windows XP утилита rootupd.exe использовалась для обновления корневых сертификатов компьютера. Список корневых и отозванных сертификатов в нем регулярно обновлялся. Инструмент распространялся как отдельное обновление KB931125 (Обновление для корневых сертификатов). Давайте посмотрим, сможем ли мы использовать его сейчас.
Однако, как видите, эти файлы сертификатов были созданы 4 апреля 2013 г. (почти за год до окончания официальной поддержки Windows XP). Таким образом, с тех пор инструмент не обновлялся и не может использоваться для установки актуальных сертификатов.
Но вы можете использовать инструмент cerutil в Windows 10/11, чтобы загрузить root.sst, скопировать этот файл в Windows XP и установить сертификат с помощью updroots.exe:
Есть информация о том, что средство updroots.exe не рекомендуется использовать в современных сборках Windows 10 1803+ и Windows 11, так как оно может нарушить корневой ЦС Microsoft на устройстве.
В этой статье мы рассмотрели несколько способов обновления доверенных корневых сертификатов на сетевых компьютерах Windows, изолированных от Интернета (отключенная среда).
По умолчанию операционная система Windows Server содержит очень мало сертификатов Trusted Root Certification Authority.
В этом случае, Windows Server 2016, хранилище сертификатов содержит всего шестнадцать корневых сертификатов ЦС, что приводит к проблемам доверия при просмотре общедоступных и сторонних веб-сайтов с использованием Internet Explorer, размещенного на агентах виртуальной доставки Citrix XenApp.
По данным Microsoft:
Компонент автоматического обновления корневых сертификатов предназначен для автоматической проверки списка доверенных центров сертификации на веб-сайте Microsoft Windows Update. В частности, на локальном компьютере хранится список доверенных корневых центров сертификации (ЦС). Когда приложению предоставляется сертификат, выданный ЦС, оно проверяет локальную копию списка доверенных корневых ЦС. Если сертификата нет в списке, компонент автоматического обновления корневых сертификатов свяжется с веб-сайтом Microsoft Windows Update, чтобы узнать, доступно ли обновление. Если ЦС был добавлен в список доверенных ЦС Майкрософт, его сертификат будет автоматически добавлен в хранилище доверенных сертификатов на компьютере. Конфигурация автоматического обновления корневых сертификатов
Это, конечно, может увеличить время просмотра веб-страниц, и в зависимости от служб WIndows настройка объекта групповой политики и подключение могут быть недоступны для пользователя. Поэтому рекомендуется регулярно обновлять хранилище доверенных корневых сертификатов в рамках процедуры обслуживания главного образа VDA с помощью следующих команд, которые можно запустить из консоли Powershell.
После выполнения этой процедуры хранилище доверенных корневых сертификатов будет содержать более 350 корневых сертификатов ЦС.
Обнаружена проблема, из-за которой обновление доверенного корневого сертификата Microsoft Root Certificate Authority может помешать установке определенных драйверов устройств.
например. При установке приложения Citrix WorkSpace (включая драйвер перенаправления USB) возникает следующая ошибка, и драйвер не развертывается.
Ошибка — CComponentManager::GetInstallStatus(600) — Установка НЕ успешна для «USB», ошибка: 1603.
Это также приводит к тому, что ряд компонентов приложения WorkSpace не развертывается, так как процедура установки завершается преждевременно.
Эта проблема может затрагивать другие драйверы с цифровой подписью. В приведенном выше примере файлы Cat USB, предоставленные Citrix, подписаны следующей цепочкой сертификатов.
Хотя все кажется нормальным и правильным (сертификаты присутствуют и являются доверенными), USB-драйвер Citrix не устанавливается после обновления сертификатов Microsoft.
Чтобы избежать этой проблемы, запустите
CertUtil – сгенерироватьSSTFromWU C:\temp\certs\RootStore.sst
для создания файла SST.
Откройте файл SST и выберите все сертификаты, кроме сертификатов Microsoft.
Удерживая нажатой клавишу CTRL, экспортируйте список сертификатов в новый файл SST ( RootStore2.sst )
Затем импортируйте измененный файл SST
$file=Get-ChildItem -Path C:\temp\certs\Rootstore2.sst
$file | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root\
Я недавно начал развертывание Windows 10 и не могу понять, как обновить список доверенных корневых сертификатов. Я также не нахожу много информации в Интернете, когда я гуглю. Из того, что я читал, это должно происходить автоматически через обновление Windows. Я обновил свои системы на 100% как через wsus, так и напрямую онлайн. Я получаю бесчисленные предупреждения о сертификатах в I.E. и хром, и это сводит меня с ума. Есть предложения?
Я знаю, как вручную импортировать сертификаты в хранилище сертификатов, но надеюсь, что это будет делаться автоматически.
Это через Центр обновления Windows.
Я получаю бесчисленное количество предупреждений о сертификатах в I.E. и хром, и это сводит меня с ума
Как узнать, что это вызвано тем, что сертификаты не обновляются? Для этого есть больше причин, чем отсутствие обновлений.
Хороший вопрос. Я знаю, что они должны быть действительными, потому что они предназначены для известных сайтов, например. Microsoft, и когда я использую свой рабочий стол Windows 7, ошибок нет, и это точно такой же сертификат.
Корневые сертификаты обычно обновляются с помощью исправления от Microsoft.
Эти ошибки говорят о том, что сертификат небезопасен? Это может быть сертификат SHA1. Зайдите в свойства сертификата, чтобы убедиться, что вся цепочка существует и действительна. Можете ли вы предоставить дополнительную информацию об ошибках, возникающих в IE/chrome и т. д.
Если вы можете получить отсутствующие сертификаты, их можно установить с помощью сценария с помощью certutil.exe
Это не ошибка sha1, а "этот сертификат не может быть проверен до доверенного центра сертификации"
Протестируйте его на одном компьютере, прежде чем убедиться, что он работает. Я не уверен, что уже пробовал это в Windows 10, но уже сталкивался с этой проблемой раньше.
Эту ссылку сложно найти с помощью Google.
Это то, что сработало для меня. Мой образ был в порядке на 1607, но по какой-то причине я получил массу ошибок сертификата на 1703. Запуск rootupd.exe исправил это для меня.
Возможно, у вас неправильно установлены время и дата.
Не думаю, сэр
Недавно это было дома на моем ноутбуке с Windows 7. Та же проблема, казалось, что цепочка доверия разорвана в корневом сертификате. При просмотре хранилища сертификатов корневой сертификат определенно был там и действителен. Пробовал rootupd.exe, пытался импортировать сертификат с другой машины, ничего не помогло. В конце концов, я больше не мог беспокоить и переустанавливал, но все еще не знал, что не так. Довольно бесполезный пост для OP, но мне любопытно посмотреть, что из этого получится..
Надеюсь, это поможет. Я должен был сделать это вчера.
Откройте консоль управления групповыми политиками.
1. Выберите объект групповой политики для редактирования или создайте новый объект групповой политики для развертывания сертификата.
2. Перейдите в раздел Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Политики открытого ключа -> Доверенные корневые центры сертификации
3 Щелкните правой кнопкой мыши пункт "Доверенные корневые центры сертификации" и выберите "Импорт".
5 Выберите корневой сертификат и нажмите "Далее".
6 Убедитесь, что сертификат помещается в хранилище сертификатов доверенных корневых центров сертификации, и нажмите "Далее".
Читайте также: