Как обновить сертификаты Windows XP

Обновлено: 21.11.2024

Однажды я увидел, что кто-то где-то разместил сообщение о том, что веб-сайт Центра обновления Windows XP по-прежнему загружается и работает, если компьютер был пропатчен определенным образом, но я не понял технических деталей. Я также слышал, что Microsoft выпустила последнее обновление, которое навсегда испортило службу обновлений и не позволило ей работать или восстанавливаться.

Учитывая все вышесказанное, что мне нужно сделать, чтобы обновить компьютеры с Windows XP и как избежать обновления, нарушающего работу обновлений? Или их вообще возможно обновить?

Вы хотите использовать выпущенные обновления только для обычной Windows XP (до 2014 г.) или вы пытаетесь также установить обновления безопасности, разработанные для POSReady 2009 (до 2019 г.)?

Раньше я устанавливал Internet Explorer 8 и агент обновления Windows 3.0, а затем подключался к Интернету через соединение Ethernet. Затем я заходил на сайт обновлений и начинал обновление. Я не знаю технических терминов, но это именно те обновления, которые мне нужны. Было бы еще удобнее, если бы был просто загружаемый пакет "все обновления в одном", но я пойду любым путем, чтобы получить все обновления. Надеюсь, мне не придется вручную загружать и устанавливать каждый из них по отдельности. Я помню, что было более 200 обновлений, надеюсь, они лучше объяснят, что я ищу.

Почему каждая тема, которую я размещаю здесь, умирает после первого ответа?

Потому что вы нетерпеливы?

Если оставить в стороне язвительные комментарии, похоже, вам нужны обновления для обычного XP. Насколько я знаю, сервер обновлений для XP все еще в сети.

@Bry89 сказал:
Потому что вы нетерпеливы?

Не обращайте внимания на ехидные комментарии, похоже, вам нужны обновления для обычного XP. Насколько я знаю, сервер обновлений для XP все еще в сети.

Я уверен, что вы все еще можете получить эти обновления для XP, потому что, если сервер активации для Windows XP все еще находится в сети, сервер обновлений для ОС также будет активен. Я думаю.

Я давно не обновлял XP. Вам понадобится SP3, и вам может понадобиться обновление корневого сертификата от blackwingcat. Затем перейдите в настройки Интернета и отключите SSL 2.0 и включите SSL 3.0 и TLS 1.0, а затем попробуйте.

Извините, я пишу на многих других форумах, и темы умирают после одного ответа. Я предположил, что это один из них. Когда я говорю, что темы умирают, я имею в виду, что спустя 5 месяцев они все еще остаются без ответа.

В любом случае, не могли бы вы указать мне направление обновления корневого сертификата и руководство по его установке и отключению этих SSL-вещей?

перейдите в «Обновление старых версий Windows» и найдите «корневые сертификаты». Затем загрузите новейший исполняемый файл и запустите его.

Для SSL/TLS перейдите в "Свойства обозревателя" (щелкните правой кнопкой мыши значок IE, затем "Свойства"), перейдите на вкладку "Дополнительно", прокрутите вниз до пункта "Безопасность" и готово.

Вас также может заинтересовать пакет обновлений Windows XP SP4 + post-SP4:

@goody_fyre11 сказал:
Извините, я пишу на многих других форумах, и темы умирают после одного ответа. Я предположил, что это один из них. Когда я говорю, что темы умирают, я имею в виду, что спустя 5 месяцев они все еще остаются без ответа.

В любом случае, не забудьте указать мне направление обновления корневого сертификата и руководство по его установке и отключению этих SSL. вещи?

Иногда требуется время, чтобы кто-то ответил на вопросы или что-то сказал о вашей работе. Помните, что на всех форумах есть люди, которые постоянно общаются с множеством других людей. Так или иначе, они всегда находят время ответить на ваши сообщения

И, конечно же, вы можете сделать такой учебник. Я уверен, что найдутся люди, которые захотят узнать, как это сделать.

Веб-сайт корневого сертификата, на который вы указали, написан на японском языке. Я ничего не могу прочитать на странице.

Кроме того, как насчет того обновления, которое ломает службу установщика? Можно ли как-то этого избежать?

вам просто нужно щелкнуть "Windows Legacy Update" в строке меню, а затем ввести "корневые сертификаты" в поле поиска, которое появится слева.

Это обновление за апрель 2019 года. Чтобы это исправить, запустите -> выполните: regsvr32 MSI.DLL, затем MSIHND.DLL и MSISIP.DLL

Кто-нибудь проверял, работает ли какая-либо версия старого автономного средства обновления WSUS?

Да, ESR 9.2.5 работал несколько недель назад и позволял мне загружать обновления для Vista и Server 2003 x86/XP x64. Кажется, я также скачал обновления для XP x86, но 2000 больше не работает с WSUS

@goody_fyre11 сказал:
Веб-сайт корневого сертификата, на который вы ссылаетесь, написан на японском языке. Я ничего не могу прочитать на странице.

Кроме того, как насчет того обновления, которое ломает службу установщика? Можно ли как-то этого избежать?

В строке меню в верхней части страницы есть ссылка на английский язык.

Ссылка, которая переводит страницу на английский язык, просто обновляет страницу, не меняя ее на английский.

Также нет панели поиска, где я мог бы искать "корневые сертификаты".Слова «корневые сертификаты» нигде на странице нет. Я потратил много времени, нажимая все на странице, и ничего не появляется в строке поиска.

Разве на этом форуме нельзя размещать прямые ссылки для скачивания?

Прости. Я хотел сказать "Устаревший каталог Windows".

Его сайт блокирует прямые ссылки.

Вы должны нажать (в английской версии) «Обновление вручную». Здесь находится окно поиска.

Это было бы невероятно просто, если бы я свободно говорил по-японски. Почему никто не сделал страницу только на английском языке, используя файлы с этого сайта? Для этого мне не нужно учить новый язык.

Не нажимайте «Каталог старых версий Windows». Нажмите на первую ссылку, которую вам дал win32, затем нажмите на английский, затем нажмите «Обновление вручную» на боковой панели слева.

хм. Я даже не знал, что у blackwingcat есть опция поиска на английском языке на его сайте обновлений! Если бы только английские варианты не были такими запутанными.

Но все же лучше, чем большинство англоязычных версий муниципальных веб-сайтов Квебека в 2000-х годах.

Хорошо, я на странице обновления руководств на английском языке и нашел две дюжины результатов по запросу "корневые сертификаты". Какой из них мне нужен?

Получите последнюю версию версии 2019/07.

Приятно видеть, что Windows XP по-прежнему получает обновления, несмотря на то, что ее поддержка прекращена уже более пяти лет. Является ли Windows XP практически бессмертной на данный момент? Был ли он настолько влиятельным, что отказывается умирать, несмотря на то, что существуют более совершенные операционные системы? Если это так, то Windows 95 и 98 также должны получать обновления.

@Windows99SE сказал:
Приятно видеть, что Windows XP все еще получает обновления, несмотря на то, что ее поддержка прекращена уже более 5 лет. Является ли Windows XP практически бессмертной на данный момент? Был ли он настолько влиятельным, что отказывается умирать, несмотря на то, что существуют более совершенные операционные системы? Если это так, то Windows 95 и 98 также должны получать обновления.

Хорошо, у меня есть приложение для корневого сертификата. Это EXE-файл. Итак, я настраиваю Windows XP для обновлений, отключаю SSL 2.0, включаю SSL 3.0, запускаю этот EXE-файл и начинаю обновление? А как насчет того обновления, которое ломает службу установки? Как мне это исправить?

@goody_fyre11 сказал:
Хорошо, у меня есть приложение для корневого сертификата. Это EXE-файл. Итак, я настраиваю Windows XP для обновлений, отключаю SSL 2.0, включаю SSL 3.0, запускаю этот EXE-файл и начинаю обновление? А как насчет того обновления, которое ломает службу установки? Как мне это исправить?

Почему вы думаете, что обновление XP с помощью этого установщика приведет к поломке службы? Все работает нормально или у меня (за некоторыми исключениями). И да, вы можете быть правы, говоря, что вам нужно отключить настройки SSL, я думаю.

В обновлении POSReady для Windows XP от апреля 2019 г. M$ забыл зарегистрировать три библиотеки DLL установщика Windows, что фактически сделало службу непригодной для использования, пока пользователь не зарегистрировал их вручную.

Вдобавок ко всему, это должно было стать последним обновлением для NT 5.x!

Вы сказали "запустить: regsvr32 MSI.DLL, затем MSIHND.DLL и MSISIP.DLL". Значит, я ввожу его в командную строку вот так?

запустить regsvr32 MSI.DLL
запустить regsvr32 MSIHND.DLL
запустить regsvr32 MSISIP.DLL

Или мне ввести его по-другому? Я создаю текстовый документ с подробными инструкциями о том, что именно делать, я никак не смогу все это запомнить.

Все версии Windows имеют встроенную функцию автоматического обновления корневых сертификатов с веб-сайтов Microsoft. MSFT в рамках программы Microsoft Trusted Root Certificate Program поддерживает и публикует список доверенных сертификатов для клиентов и устройств Windows в своем онлайн-репозитории. Если проверенный сертификат в своей цепочке сертификации ссылается на корневой ЦС, участвующий в этой программе, система автоматически загрузит этот корневой сертификат с серверов Центра обновления Windows и добавит его в доверенные.

Windows обновляет список доверенных корневых сертификатов (CTL) раз в неделю. Если у Windows нет прямого доступа к Центру обновления Windows, система не сможет обновить корневые сертификаты. Таким образом, у пользователя могут возникнуть проблемы при просмотре веб-сайтов (какие SSL-сертификаты подписаны ненадежным центром сертификации — см. статью «Ошибка Chrome SSL: этот сайт не может обеспечить безопасное соединение») или с установкой/запуском подписанных скриптов. и приложения.

В этой статье мы попытаемся выяснить, как вручную обновить список корневых сертификатов в TrustedRootCA в отключенных (изолированных) сетях или компьютерах/серверах без прямого доступа в Интернет.

Примечание. Если ваши компьютеры выходят в Интернет через прокси-сервер, Microsoft рекомендует открыть прямой доступ (в обход) к веб-сайтам Microsoft для автоматического обновления корневых сертификатов. Однако это не всегда возможно или применимо из-за корпоративных ограничений.

Управление доверенными корневыми сертификатами в Windows 10 и 11

Как посмотреть список доверенных корневых сертификатов на компьютере с Windows?

Чтобы открыть корневое хранилище сертификатов компьютера под управлением Windows 11/10/8.1/7 или Windows Server 2022/2019/2016, запустите консоль mmc.exe;
Выберите «Файл» -> «Добавить/удалить оснастку», в списке оснасток выберите «Сертификаты» (certmgr) -> «Добавить»;
Выберите, что вы хотите управлять сертификатами локальной учетной записи компьютера;
Далее -> ОК -> ОК;
Разверните узел Сертификаты ->TrustedRootCertificationAuthoritiesStore. Этот раздел содержит список доверенных корневых сертификатов на вашем компьютере.

В консоли mmc можно просмотреть информацию о любом сертификате или удалить его из доверенных.

Вы также можете получить список доверенных корневых сертификатов с датами истечения срока их действия с помощью PowerShell:

Get-Childitem cert:\LocalMachine\root |format-list

Вы можете перечислить сертификаты с истекшим сроком действия или сертификаты, срок действия которых истекает в ближайшие 60 дней:

Get-ChildItem cert:\LocalMachine\root|Где |выберите NotAfter, Subject

В целях безопасности рекомендуется периодически проверять хранилище доверенных сертификатов на вашем компьютере на наличие подозрительных и отозванных сертификатов с помощью инструмента Sigcheck. Этот инструмент позволяет сравнить список сертификатов, установленных на компьютере, со списком корневых сертификатов на сайте Microsoft (можно скачать офлайн-файл с актуальными сертификатами authrootstl.cab).

Вы можете вручную перенести файл корневого сертификата между компьютерами Windows, используя параметры экспорта/импорта.

Как отключить/включить автоматическое обновление корневых сертификатов в Windows?

Как мы уже упоминали, Windows автоматически обновляет корневые сертификаты. Вы можете включить или отключить обновление сертификата в Windows через объект групповой политики или реестр.

Откройте редактор локальной групповой политики (gpedit.msc) и перейдите в раздел Конфигурация компьютера -> Административные шаблоны -> Система -> Управление интернет-связью -> Интернет-связь.

Параметр Отключить автоматическое обновление корневых сертификатов в этом разделе позволяет отключить автоматическое обновление корневых сертификатов через сайты Центра обновления Windows. По умолчанию эта политика не настроена, и Windows всегда пытается автоматически обновить корневые сертификаты.

Если этот параметр объекта групповой политики не настроен и корневые сертификаты не обновляются автоматически, проверьте, включен ли этот параметр вручную в реестре. Проверьте значение параметра реестра с помощью PowerShell:

Get-ItemProperty -Path 'HKLM:\Software\Policies\Microsoft\SystemCertificates\AuthRoot' -Name DisableRootAutoUpdate

Если команда возвращает значение параметра реестра DisableRootAutoUpdate, равное 1, обновление корневых сертификатов на вашем компьютере отключено. Чтобы включить его, измените значение параметра на 0.

Certutil: загрузка доверенных корневых сертификатов из Центра обновления Windows

Инструмент командной строки Certutil.exe можно использовать для управления сертификатами (появился в Windows 10, для Windows 7 доступен в виде отдельного обновления). Его можно использовать для загрузки актуального списка корневых сертификатов из Центра обновления Windows и сохранения его в файле SST.

Чтобы создать файл SST на компьютере под управлением Windows 10 или 11 и с прямым доступом к Интернету, откройте командную строку с повышенными привилегиями и выполните команду:

certutil.exe -generateSSTFromWU C:\PS\roots.sst

В результате в целевом каталоге появится SST-файл, содержащий актуальный список корневых сертификатов. Дважды щелкните, чтобы открыть его. Этот файл представляет собой контейнер, содержащий доверенные корневые сертификаты.

Как видите, открывается знакомая оснастка «Управление сертификатами», из которой вы можете экспортировать любой из полученных сертификатов. В моем случае в списке сертификатов было 358 пунктов. Очевидно, что экспортировать сертификаты и устанавливать их по одному нерационально.

Совет. Команду certutil -syncWithWU можно использовать для создания отдельных файлов сертификатов. Полученные таким образом сертификаты можно развернуть на устройствах Windows с помощью GPO.

Вы можете использовать сценарий PowerShell, чтобы установить все сертификаты из файла SST и добавить их в список доверенных корневых сертификатов на компьютере:

$sstStore = ( Get-ChildItem -Path C:\ps\rootsupd\roots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root

Запустите оснастку certmgr.msc и убедитесь, что все сертификаты добавлены в доверенный корневой центр сертификации. В моем примере на Windows 11 количество корневых сертификатов увеличилось с 34 до 438.

Список доверия сертификатов (STL) в Windows

Список доверия сертификатов (CTL) — это просто список данных (например, хэшей сертификатов), подписанный доверенной стороной (в данном случае Microsoft). Клиент Windows периодически загружает из Центра обновления Windows этот CTL, в котором хранятся хэши всех доверенных корневых центров сертификации. Следует понимать, что этот CTL не содержит самих сертификатов, только их хеши и атрибуты (например, Friendly Name). Устройства Windows могут загрузить доверенный сертификат из списка доверенных сертификатов по запросу.

Файл Authroot.stl представляет собой контейнер со списком отпечатков доверенных сертификатов в формате списка доверенных сертификатов.

Вы можете установить этот файл CTL в доверенный корневой центр сертификации с помощью команды certutil:

certutil -enterprise -f -v -AddStore "Root" "C:\PS\authroot.stl"

Вы также можете импортировать сертификаты с помощью консоли управления сертификатами (Доверять корневым центрам сертификации -> Сертификаты -> Все задачи -> Импорт). Укажите путь к файлу STL с отпечатками сертификата.

После выполнения команды в контейнере Trusted Root Certification Authorities консоли диспетчера сертификатов ( certmgr.msc ) появится новый раздел Certificate Trust List.

certutil -enterprise -f -v -AddStore disallowed "C:\PS\disallowedcert.stl"

Обновление доверенных корневых сертификатов через объект групповой политики в изолированной среде

Если у вас есть задача регулярно обновлять корневые сертификаты в домене Active Directory, изолированном от Интернета, существует несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах, присоединенных к домену, с помощью групповых политик. Вы можете настроить обновления корневого сертификата на компьютерах пользователей в отключенных сетях Windows несколькими способами.

Первый способ предполагает, что вы регулярно вручную загружаете и копируете файл с корневыми сертификатами в свою изолированную сеть. Вы можете скачать файл с текущими корневыми сертификатами Microsoft следующим образом:

certutil.exe – сгенерироватьSSTFromWUroots.sst

Затем корневые сертификаты из этого файла можно развернуть через SCCM или сценарий запуска PowerShell в GPO:

Второй способ — загрузить актуальные корневые сертификаты Microsoft с помощью команды:

Несколько файлов корневых сертификатов (формат файлов CRT) появятся в указанной общей сетевой папке (включая файлы authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt).

Затем используйте настройки групповой политики, чтобы изменить значение параметра реестра RootDirURL в HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate. Этот параметр должен указывать на общую сетевую папку, из которой ваши компьютеры Windows будут получать новые корневые сертификаты. Запустите консоль домена GPMC.msc, создайте новый объект групповой политики, перейдите в режим редактирования политики и разверните раздел Конфигурация компьютера -> Настройки -> Параметры Windows -> Реестр. Создайте новое свойство реестра со следующими параметрами:

Осталось связать эту политику на OU компьютера и после обновления настроек GPO на клиенте проверить наличие новых корневых сертификатов в certstore.

Параметр объекта групповой политики «Отключить автоматическое обновление корневых сертификатов» в разделе «Конфигурация компьютера» -> «Административные шаблоны» -> «Система» -> «Управление связью через Интернет» -> «Параметры связи через Интернет» должен быть отключен или не настроен.

Как обновить доверенные корневые сертификаты в Windows 7?

Несмотря на то, что Windows 7 сейчас находится на стадии окончания поддержки, многие пользователи и компании все еще используют ее.

После этого вы можете использовать certutil для создания файла SST с корневыми сертификатами (на текущем или другом компьютере):

certutil.exe -generateSSTFromWU c:\ps\roots.sst

Теперь вы можете импортировать сертификаты в доверенные:

Запустите MMC -> добавить оснастку -> сертификаты -> учетная запись компьютера > локальный компьютер. Щелкните правой кнопкой мыши Доверенный корневой центр сертификации, Все задачи -> Импорт, найдите файл SST (в типе файла выберите Microsoft Serialized Certificate Store — *.sst) -> Открыть -> Поместить все сертификаты в следующее хранилище -> Доверенные корневые центры сертификации. .

Обновление корневых сертификатов в Windows XP с помощью средства Rootsupd.exe

В Windows XP утилита rootupd.exe использовалась для обновления корневых сертификатов компьютера. Список корневых и отозванных сертификатов в нем регулярно обновлялся. Инструмент распространялся как отдельное обновление KB931125 (Обновление для корневых сертификатов). Давайте посмотрим, сможем ли мы использовать его сейчас.

Однако, как видите, эти файлы сертификатов были созданы 4 апреля 2013 г. (почти за год до окончания официальной поддержки Windows XP). Таким образом, с тех пор инструмент не обновлялся и не может использоваться для установки актуальных сертификатов.

Но вы можете использовать инструмент cerutil в Windows 10/11, чтобы загрузить root.sst, скопировать этот файл в Windows XP и установить сертификат с помощью updroots.exe:

Есть информация о том, что средство updroots.exe не рекомендуется использовать в современных сборках Windows 10 1803+ и Windows 11, так как оно может нарушить корневой ЦС Microsoft на устройстве.

В этой статье мы рассмотрели несколько способов обновления доверенных корневых сертификатов на сетевых компьютерах Windows, изолированных от Интернета (отключенная среда).

Перейдите в меню «Файл», нажмите «Добавить/удалить оснастку» и добавьте оснастку «Сертификаты» для локального компьютера. После добавления щелкните правой кнопкой мыши в среднем окне и выберите «Все задачи» > «Импорт». После импорта сертификат должен отображаться в разделе «Локальный компьютер», а не «Текущий пользователь».

Как обновить корневой сертификат Windows?

Вы можете вручную перенести файл корневого сертификата между компьютерами Windows с помощью функции экспорта/импорта.

Вы можете экспортировать любой сертификат в файл .CER, щелкнув его и выбрав Все задачи -> Экспорт;
Вы можете импортировать этот сертификат на другой компьютер, выбрав Все задачи -> Импорт.

Как вы управляете компьютерными сертификатами?

Как обновить корневой сертификат?

Как получить доверенный корневой сертификат?

Как просмотреть установленные сертификаты?

Как обновить корневой сертификат в Windows XP?

Где найти обновленный корневой сертификат в IE 8?

Когда закончилась работа утилиты сертификации Windows XP?

Как часто мне нужно обновлять доверенные корневые сертификаты?

Оглавление

Как исправить ошибки сертификата в Windows XP?

Для этого выполните следующие действия:

В Windows Internet Explorer нажмите «Продолжить открытие этого веб-сайта» (не рекомендуется).
Нажмите кнопку Ошибка сертификата, чтобы открыть информационное окно.
Нажмите "Просмотреть сертификаты", а затем нажмите "Установить сертификат".
В появившемся предупреждающем сообщении нажмите Да, чтобы установить сертификат.

Как избежать ошибки сертификата в Windows XP?

Есть ли база данных сертификатов для Windows XP?

Почему Windows XP не поддерживает более новые версии SSL-сертификатов?

Что делать, если Windows XP не подключается к Интернету?

Как обновить корневые сертификаты в Windows?

Управление доверенными корневыми сертификатами в Windows 10

Чтобы открыть корневое хранилище сертификатов компьютера под управлением Windows 10/8.1/7/Windows Server, запустите консоль mmc.exe;
Выберите «Файл» -> «Добавить/удалить оснастку», выберите «Сертификаты (certmgr)» в списке оснасток -> «Добавить»;

Как обновить цифровой сертификат?

Чтобы обновить сертификат, выполните следующие действия:

Войдите в ROS — появится экран обновления сертификата.
Введите свой «Старый пароль» (это тот, который вы использовали для входа в ROS до сих пор).
Повторно введите новый пароль в поле «Подтвердить пароль».
Нажмите "Продлить сейчас".

Как обновить автоматический сертификат?

Настроить автоматическое продление сертификатов

Перейдите в раздел Автоматизация > Автоматизированные IP-адреса.
На странице "Автоматические IP-адреса" найдите сертификат, который вы хотите настроить и автоматизировать.
Выберите соответствующую ссылку в столбце действий, соответствующем сертификату.
На странице "Автоматический запрос" выберите "Автообновление и установка сертификата".

Как узнать, является ли сертификат доверенным?

Чтобы просмотреть сертификаты текущего пользователя, откройте командную консоль и введите certmgr. мск. Появится инструмент Диспетчер сертификатов для текущего пользователя. Чтобы просмотреть свои сертификаты, в разделе Сертификаты — Текущий пользователь на левой панели разверните каталог для типа сертификата, который вы хотите просмотреть.

Как узнать, установлен ли мой корневой сертификат?

Выберите Корень консоли > Сертификаты > Доверенные корневые центры сертификации > Сертификаты, чтобы просмотреть установленные сертификаты.

Нажмите на ссылку, чтобы загрузить сертификат (файл .txt), или щелкните ссылку правой кнопкой мыши и выберите «Сохранить ссылку как…», чтобы переименовать файл и выбрать место для его сохранения. Не забудьте загрузить как первичный, так и вторичный сертификаты RSA, если у вас нет сервера Apache!

Как исправить ошибки сертификата в Windows XP?

Для этого выполните следующие действия:

В Windows Internet Explorer нажмите «Продолжить открытие этого веб-сайта» (не рекомендуется).
Нажмите кнопку Ошибка сертификата, чтобы открыть информационное окно.
Нажмите "Просмотреть сертификаты", а затем нажмите "Установить сертификат".
В появившемся предупреждающем сообщении нажмите Да, чтобы установить сертификат.