locked laptop image by CraterValley Photo from <a data-hren=’http://www.fotolia.com’>Fotolia.com</a>
Information transferred within networks such as the Internet, inter-office intranets, and home networks can be susceptible to many security issues and attacks. Certificates allow these types of information sharing to be private and secure without the use of individual file password protections. Root certificates embedded in your Windows operating system check these transactions against a list of trusted sites. You will receive a warning if you try to pass data to a site not on this trusted list. Updating your root certificates should help keep your personal information safe and secure.
- Step 1
- Step 2
- Step 3
- Step 4
- Как обновить корневые сертификаты Windows XP
- Получения списка корневых сертификатов с узла Windows Update с помощью Сertutil
- Утилита rootsupd. exe
- Ручное обновление корневых сертификатов на Windows
- Как вручную обновить корневые сертификаты в Windows
- Установка/обновление корневых сертификатов
- Как обновить корневые сертификаты windows xp
- Получение актуальных сертификатов
- Как вручную обновить корневые сертификаты в Windows
- Получение актуальных сертификатов
- Обновление сертификатов
- Ручное обновление корневых сертификатов на Windows
- Обновление сертификатов
- CertUtil. exe на Windows XP & ЦС на Windows Server 2012 R2 — 0x80094011 — Имеющиеся разрешения для центра сертификации не позволяют текущему пользователю получать сертификаты
- Установка/обновление корневых сертификатов
- Обновление сертификатов (для всех версий Windows)
- Шаг 1. Удаление старых сертификатов из контейнера cacer.p7b
- Шаг 2. Удаление старого сертификата безопасности для веб-узла сroInform.ru
- Обратите внимание:
- Получения списка корневых сертификатов с узла Windows Update с помощью Сertutil
- Утилита rootsupd. exe
- Список корневых сертификатов в формате STL
- Список корневых сертификатов в формате STL
Step 1
Step 2
Open your computer’s Control Panel. Click on the «Start» Menu and then «Control Panel». Double-click «Add/Remove Programs.»
Step 3
Click the «Add/Remove Windows Components button. Check the box next to «Update Root Certificates.»
Step 4
Jon Kaufman, a senior financial planner, has been writing financial and computer technology articles since 1999. His articles have appeared on Web sites like eHow. Kaufman received a Distinguished Honor Graduate award in 1999 and holds a Bachelor of Science in finance from Northern State University.
По работе приходится иногда иметь дело с этой операционкой, и если дело доходит до переустановки системы, то случается такая беда:
- ошибки при подключении к любым https веб ресурсам
- ошибки при работе приложений использующих https как транспорт
По хорошему, такие беды должны лечиться обновлениями системы, но обновления тоже получаются по https, таким образом — замкнутый круг.
Решение такое: перенести базу сертификатов из другой ОС (Windows 7 или 10). Но есть ньюанс — ОС должны быть лицензионной и с подключенным сервисом Windows Update, иначе фокус не получится.
Первым делом, на обновленной системе (Windows 7 или 10) нужно ввести в консоли вот такое заклинание:
certutil.exe -generateSSTFromWU roots.sst
В текущей директории получите файл с сертификатами roots.sst. Его нужно поместить в папку C:\PS\rootsupd\ на Windows XP.
Данную тулзу следует запустить с такими параметрами:
rootsupd.exe /c /t:C:\PS\rootsupd
Обратите внимание, что между /t и путем к каталогу нет пробела! Если команда отработала без ошибок, в каталоге C:\PS\rootsupd появится файл updroots.exe. Для установки полученных сертификатов его следует запустить с параметрами:
updroots.exe roots.sst
Все. После этого сертификаты установлены. Правда старые не удалены, но они не мешают, и как их чистить я не разбирался.
- Информация о материале:
- Опубликовано:
- Обновлено:
- Автор:
Не секрет, что Windows XP отправлена на свалку и более не поддерживается разработчиком, а при использовании различных веб-браузеров могут возникать ошибки SSL сертификата: недостаточно информации для проверки этого сертификата.
Ошибка сертификата в Windows XP может проявляться в разных браузерах включая Opera, Chrome и конечно Internet Explorer — все они используют одно хранилище сертификатов, которое разумеется давно устарело и не обновляется по причине отсутствия поддержки Windows XP. Именно по причине устаревших сертификатов мы и наблюдаем в браузерах ошибки типа: «недостаточно информации для проверки этого сертификата».
Как обновить корневые сертификаты Windows XP
Ручками обновить будет довольно проблематично. Официальных пакетов обновляющих корневые сертификаты Windows XP не существует.
На просторах Интернетов был найден один рецепт, состоящий из «заточки» пакета обновления сертификатов от «висты» под «хр», процесс выглядит следующим образом:
TempMode
Silent=1
Overwrite=1
Setup=Rundll32.exe advpack.dll,LaunchINFSection rvkroots.inf,DefaultInstallТеперь мы имеем файл отзывающий все небезопасные (устаревшие) сертификаты!
TempMode
Silent=1
Overwrite=1
Setup=Rundll32.exe advpack.dll,LaunchINFSection rootsupd.inf,DefaultInstallТеперь у нас есть файл обновлящий корневые сертификаты!
Только после полного отключения блокировщика скриптов и рекламы на этом месте появится полезная подсказка/ссылка/код/пример конфигурации/etc!
Браузер Firefox использует собственное хранилище корневых сертификатов и может работать без обновления корневых сертификатов на Windows XP.
Проблема корневых сертификатов стала актуальна для Windows XP, 2003 Server, 7, 2008 Server после окончания их поддержки. И если с отсутствием свежих обновлений можно смириться, то из-за не обновлённого хранилища сертификатов перестают нормально отображаться сайты и перестают работать онлайн инсталляторы.
Update and Revoked Roots. Инструмент для обновления корневых сертификатов. UpdRoots загружает сертификаты с сервера Microsoft и выводит реальную дату изменения загруженных файлов, тем самым можно определить, насколько свежий тот или иной сертификат.
Для обновления офлайн, разместите рядом с UpdRoots все пять групп сертификатов/файлов SST, при наличии доступа в интернет, офлайн обновление не работает.
Для тихого обновления предусмотрен ключ командной строки /S.
Скачивание и обновление корневых сертификатов:
CertUpdater.exe -aie -gm2 -fm0 — скачивание корневых сертификатов из Windows Update в папку MyRoots, создаётся автоматически рядом с CertUpdater.exe.
CertUpdater.exe -aii -gm2 -fm0 — импорт корневых сертификатов из папки MyRoots в систему.
CertUpdater.exe -aim -gm2 -fm0 — вызов системного менеджера сертификатов.
CertUpdater.exe -air -gm2 -fm0 — импорт корневых сертификатов из пакета корневых сертификатов CertUpdater в систему.
CertUpdater.exe -aiu -gm2 -fm0 — обновление пакета корневых сертификатов CertUpdater.
CertUpdater.exe -h — вызов справки.
Вариант 3: Обновление корневых сертификатов выполняет UpdatePack7R2 для обновления Windows 7 SP1 и Server 2008 R2 SP1 от simplix-а: http://forum.oszone.net/thread-257198.html
Вариант 4: Обновление корневых сертификатов выполняет набор обновлений «DrWindows» для Windows 7
Описание и обсуждение на русском языке: http://forum.oszone.net/thread-351049.html
Текст автора набора обновлений: https://www.drwindows.de/xf/threads/windows-7-update-pack-by-drwindows-september-2022.15232/
Вариант 5: Обновление корневых сертификатов при помощи RootCertUpdater
Данный обновлятор представляет собой 7z SFX архив со следующим конфигом:
и содержит актуальные на дату публикации файлы authroots.sst, delroots.sst, roots.sst, updroots.sst и disallowedcert.sst
Вы можете самостоятельно обновлять обновлятор) открыв его в архиваторе 7-Zip и перетянув в него более свежие sst-файлы:
Вариант 6: RootsUpdSetup для Windows XP
Сделано сразу в виде SVCPACK-аддона для Windows XP, упаковано в WinRAR SFX. Никаких ключей установки не требуется, всё максимально просто: есть интернет: *.sst-файлы обновляются и устанавливаются; нет интернета — ставится то, что есть в архиве.
Вариант 7: Обновление корневых сертификатов при помощи UpdRootsCert
Принцип работы: если есть интернет — то скачиваются и устанавливаются последние сертификаты,
если нет — то установятся сертификаты из набора.
PKI Tutorials — Herong’s Tutorial Examples
Outdated: Windows XP Component — Removing «Update Root Certificates»
This section provides a tutorial example on how to remove the ‘Update Root Certificates’ component from Windows XP system to stop root certificates getting into your computer automatically.
From the previous tutorial, we now know that IE 8 works with Windows XP «Update Root Certificates» component
to automatically install root certificates on my computer.
If you think this is a bad idea because of security concerns,
you can disable the «Update Root Certificates» component
to stop root certificates getting into your computer automatically.
1. Click «Start» button, then click «Control Panel» in the menu.
2. Double-click «Add or Remove Programs» on Control Panel.
3. Click «Add/Remove Windows Components» in the menu on the left side.
The Windows Component Wizard shows up.
4. Scroll down the list of components to find «Update Root Certificates»,
and uncheck the check box next to «Update Root Certificates»:
5. Click «Next», then click «Finish».
Table of Contents
About This Book
Introduction of PKI (Public Key Infrastructure)
Introduction of HTTPS (Hypertext Transfer Protocol Secure)
Using HTTPS with Google Chrome
Using HTTPS with Mozilla Firefox
HTTPS with Microsoft Edge
Using HTTPS with Apple Safari
HTTPS with IE (Internet Explorer)
Android and Server Certificate
iPhone and Server Certificate
Windows Certificate Stores and Console
RDP (Remote Desktop Protocol) and Server Certificate
macOS Certificate Stores and Keychain Access
Perl Scripts Communicating with HTTPS Servers
PHP Scripts Communicating with HTTPS Servers
Java Programs Communicating with HTTPS Servers
.NET Programs Communicating with HTTPS Servers
CAcert.org — Root CA Offering Free Certificates
Comodo Free Personal Certificate
Digital Signature — Microsoft Word
Digital Signature — OpenOffice.org 3
S/MIME and Email Security
PKI (Public Key Infrastructure) Terminology
Outdated: Viewing Server Certificate in Chrome 40
Outdated: Viewing Server Certificate in Firefox 35
Outdated: Viewing Pre-Installed Certificates in Firefox 35
Outdated: Firefox 35 Displaying Certificate Error Page
Outdated: Adding Security Exception in Firefox 35
Outdated: Windows XP Component «Update Root Certificates»
Outdated: Creating Certificates Console on Windows XP
Outdated: Applying Digital Signatures with Word 2007
OutDated: Creating a Digital ID and Sign Word Documents
OUtdated: Viewing Digital ID Created by MS Word
Outdated: Obtaining a Trial Digital ID from ARX CoSign
Outdated: Viewing Digital ID Obtained from ARX CoSign
Outdated: Windows XP Component — Removing «Update Root Certificates»
Outdated: IE 8 Displaying Certificate Error Page
Outdated: IE 8 Displaying Certificate Error Icon
Outdated: Viewing Certificate Path Validation Error in IE 8
Outdated: Importing Root Certificate from a File to IE 8
Full Version in PDF/EPUB
Outdated: Windows XP Component — Removing «Update Root Certificates» — Updated in 2020, by Dr. Herong Yang
PKI Tutorials — Herong’s Tutorial Examples
Outdated: Windows XP Component «Update Root Certificates»
This section describes the process used by Windows XP component, Update Root Certificates, to communicate to Windows Update Website to fetch a trusted root certificate and install in on the local computer automatically.
To understand better why IE 8 is automatically reinstall a trusted root certificate on my computer,
I did a quick research and found this article
«Certificate Support and the Update Root Certificates Component» on Microsoft Website:
How Update Root Certificates Communicates with Sites on the Internet
This subsection focuses on how the Update Root Certificates component communicates with sites on the Internet. The previous subsection, «Overview: Using Certificate Components in a Managed Environment» provides references for the configuration choices that control the way other certificate components communicate with sites on the Internet.
Specific information sent or received: Update Root Certificates sends
a request to the Windows Update Website, asking for the current
list of root certification authorities in the Microsoft Root
Certificate Program. If the untrusted certificate is named in the list,
Update Root Certificates obtains that certificate from Windows
Update and places it in the trusted certificate store on the user’s computer. No user authentication or unique user identification is used in this exchange.
…
Default setting and ability to disable: Update Root Certificates is installed by default in Windows XP with SP1. You can remove or exclude
this component from installation on users’ computers.
Trigger and user notification: Update Root Certificates is triggered when the user is presented with a certificate issued by a root certification authority that is not directly trusted. There is no user notification.
…
Now I understand better what happened when visiting a secured Website using IE 8 and
the root certificate for that Website is not installed on my Windows XP system:
- IE 8 reached out https://login.yahoo.com for server certificate.
- IE 8 received «login.yahoo.com» certificate.
- IE 8 could not find the root certificate to validate «login.yahoo.com» certificate.
- IE 8 turned to Windows XP «Update Root Certificates» component for help.
- «Update Root Certificates» contacted «http://windowsupdate.microsoft.com/».
- «Update Root Certificates» fetched the root certificate.
- «Update Root Certificates» installed the root certificate on the local computer.
- «Update Root Certificates» returned the control back to IE 8.
- IE 8 validated «login.yahoo.com» certificate with the newly installed root certificate.
Table of Contents
About This Book
Introduction of PKI (Public Key Infrastructure)
Introduction of HTTPS (Hypertext Transfer Protocol Secure)
Using HTTPS with Google Chrome
Using HTTPS with Mozilla Firefox
HTTPS with Microsoft Edge
Using HTTPS with Apple Safari
HTTPS with IE (Internet Explorer)
Android and Server Certificate
iPhone and Server Certificate
Windows Certificate Stores and Console
RDP (Remote Desktop Protocol) and Server Certificate
macOS Certificate Stores and Keychain Access
Perl Scripts Communicating with HTTPS Servers
PHP Scripts Communicating with HTTPS Servers
Java Programs Communicating with HTTPS Servers
.NET Programs Communicating with HTTPS Servers
CAcert.org — Root CA Offering Free Certificates
Comodo Free Personal Certificate
Digital Signature — Microsoft Word
Digital Signature — OpenOffice.org 3
S/MIME and Email Security
PKI (Public Key Infrastructure) Terminology
Outdated: Viewing Server Certificate in Chrome 40
Outdated: Viewing Server Certificate in Firefox 35
Outdated: Viewing Pre-Installed Certificates in Firefox 35
Outdated: Firefox 35 Displaying Certificate Error Page
Outdated: Adding Security Exception in Firefox 35
Outdated: Windows XP Component «Update Root Certificates»
Outdated: Creating Certificates Console on Windows XP
Outdated: Applying Digital Signatures with Word 2007
OutDated: Creating a Digital ID and Sign Word Documents
OUtdated: Viewing Digital ID Created by MS Word
Outdated: Obtaining a Trial Digital ID from ARX CoSign
Outdated: Viewing Digital ID Obtained from ARX CoSign
Outdated: Windows XP Component — Removing «Update Root Certificates»
Outdated: IE 8 Displaying Certificate Error Page
Outdated: IE 8 Displaying Certificate Error Icon
Outdated: Viewing Certificate Path Validation Error in IE 8
Outdated: Importing Root Certificate from a File to IE 8
Full Version in PDF/EPUB
PKI Tutorials — Herong’s Tutorial Examples
Archived: Windows XP Component «Update Root Certificates»
This section describes the process used by Windows XP component, Update Root Certificates, to communicate to Windows Update Website to fetch a trusted root certificate and install in on the local computer automatically.
To understand better why IE 8 is automatically reinstall a trusted root certificate on my computer,
I did a quick research and found this article
«Certificate Support and the Update Root Certificates Component» on Microsoft Website:
How Update Root Certificates Communicates with Sites on the Internet
This subsection focuses on how the Update Root Certificates component communicates with sites on the Internet. The previous subsection, «Overview: Using Certificate Components in a Managed Environment» provides references for the configuration choices that control the way other certificate components communicate with sites on the Internet.
Specific information sent or received: Update Root Certificates sends
a request to the Windows Update Website, asking for the current
list of root certification authorities in the Microsoft Root
Certificate Program. If the untrusted certificate is named in the list,
Update Root Certificates obtains that certificate from Windows
Update and places it in the trusted certificate store on the user’s computer. No user authentication or unique user identification is used in this exchange.
…
Default setting and ability to disable: Update Root Certificates is installed by default in Windows XP with SP1. You can remove or exclude
this component from installation on users’ computers.
Trigger and user notification: Update Root Certificates is triggered when the user is presented with a certificate issued by a root certification authority that is not directly trusted. There is no user notification.
…
Now I understand better what happened when visiting a secured Website using IE 8 and
the root certificate for that Website is not installed on my Windows XP system:
- IE 8 reached out https://login.yahoo.com for server certificate.
- IE 8 received «login.yahoo.com» certificate.
- IE 8 could not find the root certificate to validate «login.yahoo.com» certificate.
- IE 8 turned to Windows XP «Update Root Certificates» component for help.
- «Update Root Certificates» contacted «http://windowsupdate.microsoft.com/».
- «Update Root Certificates» fetched the root certificate.
- «Update Root Certificates» installed the root certificate on the local computer.
- «Update Root Certificates» returned the control back to IE 8.
- IE 8 validated «login.yahoo.com» certificate with the newly installed root certificate.
Table of Contents
About This Book
Introduction of PKI (Public Key Infrastructure)
Introduction of HTTPS (Hypertext Transfer Protocol Secure)
Using HTTPS with Google Chrome
Using HTTPS with Mozilla Firefox
HTTPS with Microsoft Edge
Using HTTPS with Apple Safari
HTTPS with IE (Internet Explorer)
Android and Server Certificate
iPhone and Server Certificate
Windows Certificate Stores and Console
RDP (Remote Desktop Protocol) and Server Certificate
macOS Certificate Stores and Keychain Access
Perl Scripts Communicating with HTTPS Servers
PHP Scripts Communicating with HTTPS Servers
Java Programs Communicating with HTTPS Servers
.NET Programs Communicating with HTTPS Servers
CAcert.org — Root CA Offering Free Certificates
Comodo Free Personal Certificate
Digital Signature — Microsoft Word
Digital Signature — OpenOffice.org 3
S/MIME and Email Security
PKI (Public Key Infrastructure) Terminology
Archived: Viewing Server Certificate in Chrome 40
Archived: Viewing Server Certificate in Firefox 35
Archived: Viewing Pre-Installed Certificates in Firefox 35
Archived: Firefox 35 Displaying Certificate Error Page
Archived: Adding Security Exception in Firefox 35
Archived: Windows XP Component «Update Root Certificates»
Archived: Creating Certificates Console on Windows XP
Archived: Applying Digital Signatures with Word 2007
Archived: Creating a Digital ID and Sign Word Documents
Archived: Viewing Digital ID Created by MS Word
Archived: Obtaining a Trial Digital ID from ARX CoSign
Archived: Viewing Digital ID Obtained from ARX CoSign
Archived: Windows XP Component — Removing «Update Root Certificates»
Archived: IE 8 Displaying Certificate Error Page
Archived: IE 8 Displaying Certificate Error Icon
Archived: Viewing Certificate Path Validation Error in IE 8
Archived: Importing Root Certificate from a File to IE 8
Full Version in PDF/EPUB
Получения списка корневых сертификатов с узла Windows Update с помощью Сertutil
Для генерации SST файла, на компьютере Windows 10 с прямым доступом в Интернет, выполните с правами администратора команду:
certutil.exe -generateSSTFromWU roots.sst
Совет . Для генерации индивидуальных файлов сертификатов можно использовать команду certutil -syncWithWU. Полученные таким образом сертификаты можно распространить на клиентов с помощью GPO .
Для установки всех сертификатов, содержащихся в файле, воспользуемся утилитой updroots.exe (она содержится в архиве rootsupd.exe, который мы распаковали в предыдущем разделе).
Установка сертификатов из STT фалйла выполняется командой:
Утилита rootsupd. exe
В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe , список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates). Посмотрим, можно ли использовать ли ее сейчас.
- Скачайте утилиту rootsupd.exe , перейдя по ссылке http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe (по состоянию на 15.09.2017 ссылка не работает, возможно в Microsoft решили убрать ее из общего доступа).
Для установки сертификатов, достаточно запустить файл. Но мы попробуем более внимательно рассмотреть его содержимое, распаковав его с помощью команды: rootsupd.exe /c /t: C:\PS\rootsupd
- Сертификаты содержатся в SST файлах: authroots.sst, delroot.sst и т.п. Для удаления/установки сертификатов можно воспользоваться командами:
updroots.exe authroots.sst
updroots.exe -d delroots.sst
Но , как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до окончания официальной поддержки Windows XP ). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов.
Ручное обновление корневых сертификатов на Windows
Актуальные системы семейства Windows, подключенные к Интернету, могут автоматически обновлять корневые сертификаты. В противном случае, обновление необходимо выполнять вручную. Если это не делать, мы можем столкнуться с рядом проблем:
- Не открываются или выдают предупреждение безопасности некоторые (или все) сайты, работающие по https.
- Некорректная работа отдельных приложений (например, антивирусных систем).
- Ошибки при подключении по удаленному рабочему столу.
Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживание компанией Microsoft (Windows XP, 7, а также Server 2003, 2008).
Как вручную обновить корневые сертификаты в Windows
В операционных системах семейства Windows, начиная с Windows 7, присутствует система автоматического обновления корневых сертификатов с сайта Microsoft. MSFT в рамках программы Microsoft Trusted Root Certificate Program , ведет и публикует в своем онлайн хранилище список сертификатов для клиентов и устройств Windows. В том, случае если проверяемый сертификат в своей цепочке сертфикации относится к корневому CA, который участвует в этой программе, система автоматически скачает с узла Windows Update и добавит такой корневой сертификат в доверенные.
В том случае, если у Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневой сертификат, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия), либо с установкой / запуском подписанных приложений или скриптов .
В этой статье попробуем разобраться, как можно вручную обновить список корневых сертификатов в TrustedRootCA в изолированных системах, или системах без прямого подключения к интернету.
Примечание . В том случае, если пользователи получают доступ в интернет через прокси сервер, для того, что работало автоматическое обновление корневых сертификатов на компьютера пользователей, Microsoft рекомендует открыть прямой доступ (bypass) к узлам Microsoft. Но это не всегда возможно/применимо.
Установка/обновление корневых сертификатов
Полученный на предыдущем этапе файл переносим на компьютер, где необходимо обновить доверенные корневые сертификаты, например, также в папку C:\CA. Скачиваем утилиту rootsupd и распаковываем ее в этот же каталог.
Открываем командную строку от администратора и вводим команду:
C:\CA\rootsupd.exe /c /t:C:\CA
* где C:\CA — папка, в которую мы перенесли корневые сертификаты.
В появившемся окне Roots Update:
. выбираем No, чтобы не переписывать наш файл roots.sst.
В папке C:\CA должны появится новые файлы, в том числе, утилита updroots. Вводим теперь команду:
Как обновить корневые сертификаты windows xp
На данный момент работа через защищённое соединение c устройств Apple не поддерживается.
На данный момент работа через защищённое соединение c Android-устройств не поддерживается.
Получение актуальных сертификатов
Для начала, выгрузим сертификаты на компьютере с актуальной версией Windows (10) и подключением к сети Интернет.
Создадим каталог, в который будет выгружен файл с корневыми сертификатами, например, C:\CA (папка CA на диске C).
Открываем командную строку от администратора и вводим команду:
certutil.exe -generateSSTFromWU C:\CA\roots.sst
* где C:\CA — каталог, который мы создали; roots.sst — файл, в который будут выгружены сертификаты.
В папке C:\CA мы должны увидеть файл roots.sst.
Как вручную обновить корневые сертификаты в Windows
В операционных системах семейства Windows, начиная с Windows 7, присутствует система автоматического обновления корневых сертификатов с сайта Microsoft. MSFT в рамках программы Microsoft Trusted Root Certificate Program , ведет и публикует в своем онлайн хранилище список сертификатов для клиентов и устройств Windows. В том, случае если проверяемый сертификат в своей цепочке сертфикации относится к корневому CA, который участвует в этой программе, система автоматически скачает с узла Windows Update и добавит такой корневой сертификат в доверенные.
В том случае, если у Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневой сертификат, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия), либо с установкой / запуском подписанных приложений или скриптов .
В этой статье попробуем разобраться, как можно вручную обновить список корневых сертификатов в TrustedRootCA в изолированных системах, или системах без прямого подключения к интернету.
Примечание . В том случае, если пользователи получают доступ в интернет через прокси сервер, для того, что работало автоматическое обновление корневых сертификатов на компьютера пользователей, Microsoft рекомендует открыть прямой доступ (bypass) к узлам Microsoft. Но это не всегда возможно/применимо.
Получение актуальных сертификатов
Для начала, выгрузим сертификаты на компьютере с актуальной версией Windows (10) и подключением к сети Интернет.
Создадим каталог, в который будет выгружен файл с корневыми сертификатами, например, C:\CA (папка CA на диске C).
Открываем командную строку от администратора и вводим команду:
certutil.exe -generateSSTFromWU C:\CA\roots.sst
* где C:\CA — каталог, который мы создали; roots.sst — файл, в который будут выгружены сертификаты.
В папке C:\CA мы должны увидеть файл roots.sst.
Обновление сертификатов
Обновление доверенных корневых сертификатов выполняется во время обновления операционной системы. Если последнее включено, то нашего участия не требуется, иначе, можно установить обновление вручную. Пример такого пакета — KB931125.
Однако, если операционная система устарела, разработчик прекращает выпуск обновлений, и мы не можем воспользоваться средствами обновления системы. В таком случае, необходимо сделать выгрузку корневых сертификатов на актуальной системе и перенести их на устаревший.
Ручное обновление корневых сертификатов на Windows
Актуальные системы семейства Windows, подключенные к Интернету, могут автоматически обновлять корневые сертификаты. В противном случае, обновление необходимо выполнять вручную. Если это не делать, мы можем столкнуться с рядом проблем:
- Не открываются или выдают предупреждение безопасности некоторые (или все) сайты, работающие по https.
- Некорректная работа отдельных приложений (например, антивирусных систем).
- Ошибки при подключении по удаленному рабочему столу.
Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживание компанией Microsoft (Windows XP, 7, а также Server 2003, 2008).
Обновление сертификатов
Обновление доверенных корневых сертификатов выполняется во время обновления операционной системы. Если последнее включено, то нашего участия не требуется, иначе, можно установить обновление вручную. Пример такого пакета — KB931125.
Однако, если операционная система устарела, разработчик прекращает выпуск обновлений, и мы не можем воспользоваться средствами обновления системы. В таком случае, необходимо сделать выгрузку корневых сертификатов на актуальной системе и перенести их на устаревший.
CertUtil. exe на Windows XP & ЦС на Windows Server 2012 R2 — 0x80094011 — Имеющиеся разрешения для центра сертификации не позволяют текущему пользователю получать сертификаты
0x80094011 (-2146877423) Имеющиеся разрешения для центра сертификации не позволяют текущему пользователю получать сертификаты
Для решения проблемы в указанном документе предлагается два варианта :
1. Заменить на клиентских компьютерах с Windows XP ОС на более новую.
2. Понизить уровень безопасности ЦС для поддержки клиентов на базе Windows XP.
Первый вариант приемлем далеко не во всех случаях (по разного рода причинам).
Для реализации второго варианта на сервере ЦС нужно выполнить команду:
После этого следует перезапустить службу сертификации Active Directory Certificate Services service
В дальнейшем, когда станет возможной реализация варианта #1, вернуть обратно настройки ЦС можно следующим образом:
Установка/обновление корневых сертификатов
Полученный на предыдущем этапе файл переносим на компьютер, где необходимо обновить доверенные корневые сертификаты, например, также в папку C:\CA. Скачиваем утилиту rootsupd и распаковываем ее в этот же каталог.
Открываем командную строку от администратора и вводим команду:
C:\CA\rootsupd.exe /c /t:C:\CA
* где C:\CA — папка, в которую мы перенесли корневые сертификаты.
В появившемся окне Roots Update:
. выбираем No, чтобы не переписывать наш файл roots.sst.
В папке C:\CA должны появится новые файлы, в том числе, утилита updroots. Вводим теперь команду:
Обновление сертификатов (для всех версий Windows)
Шаг 1. Удаление старых сертификатов из контейнера cacer.p7b
Откроется окно консоли управления Microsoft.
В основном меню консоли, выберите «Файл» — «Добавить или удалить оснастку». Будет открыто окно «Добавление и удаление оснасток».
В левом списке выберите пункт «Сертификаты» и нажмите на кнопку «Добавить». Будет открыто окно «Оснастка диспетчера сертификатов».
Нажмите на кнопку «Готово». Окно «Оснастка диспетчера сертификатов» будет закрыто, Вы вернетесь в окно консоли управления Microsoft.
В левом списке раскройте дерево «Сертификаты — текущий пользователь». Раскройте пункт «Доверенные корневые центры сертификации». Выберите пункт «Сертификаты». В центральной части будут отображены сертификаты выбранного раздела.
В списке сертификатов (центральная часть) найдите сертификаты, выданные УЦ КРИПТО-ПРО (6 сертификатов). Выделите найденные сертификаты и нажмите правую кнопку мыши. В контекстном меню выберите пункт «Удалить».
Будет открыто окно предупреждения. Сертификаты КРИПТО-ПРО не являются ключевыми и могут быть удалены без последствий. Нажмите «Да».
Перед удалением каждого из сертификатов контейнера будет выводиться окно подтверждения на удаление. Во всех окнах следует нажать кнопку «Да»
Шаг 2. Удаление старого сертификата безопасности для веб-узла сroInform.ru
В левом списке раскройте дерево «Сертификаты — текущий пользователь». Раскройте пункт «Другие пользователи». Выберите пункт «Сертификаты».
Нажмите правой кнопкой мыши на сертификате ssl.croinform.cer. В контекстном меню выберите пункт «Удалить».
Появится окно предупреждения. Нажмите «Да». Сертификат ssl.croinform.cer будет удален.
Обратите внимание:
После удаления необходимо установить новые версии сертификатов. Для установки сертификатов, воспользуйтесь инструкцией для Вашей операционной системы:
Получения списка корневых сертификатов с узла Windows Update с помощью Сertutil
Для генерации SST файла, на компьютере Windows 10 с прямым доступом в Интернет, выполните с правами администратора команду:
certutil.exe -generateSSTFromWU roots.sst
Совет . Для генерации индивидуальных файлов сертификатов можно использовать команду certutil -syncWithWU. Полученные таким образом сертификаты можно распространить на клиентов с помощью GPO .
Для установки всех сертификатов, содержащихся в файле, воспользуемся утилитой updroots.exe (она содержится в архиве rootsupd.exe, который мы распаковали в предыдущем разделе).
Установка сертификатов из STT фалйла выполняется командой:
Утилита rootsupd. exe
В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe , список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates). Посмотрим, можно ли использовать ли ее сейчас.
- Скачайте утилиту rootsupd.exe , перейдя по ссылке http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe (по состоянию на 15.09.2017 ссылка не работает, возможно в Microsoft решили убрать ее из общего доступа).
Для установки сертификатов, достаточно запустить файл. Но мы попробуем более внимательно рассмотреть его содержимое, распаковав его с помощью команды: rootsupd.exe /c /t: C:\PS\rootsupd
- Сертификаты содержатся в SST файлах: authroots.sst, delroot.sst и т.п. Для удаления/установки сертификатов можно воспользоваться командами:
updroots.exe authroots.sst
updroots.exe -d delroots.sst
Но , как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до окончания официальной поддержки Windows XP ). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов.
Список корневых сертификатов в формате STL
Файл authroot.stl представляет собой контейнер со списком доверенных сертификатов в формате Certification Trust List.
Данный файл можно установить в системе с помощью контекстного меню файла STL ( Install CTL ).
Или с помощью утилиты certutil:
certutil -addstore -f root authroot.stl
После выполнения команды, в консоли управления сертификатами (certmgr.msc) в контейнере Trusted Root Certification Authorities появится новый раздел с именем Certificate Trust List .
certutil -addstore -f disallowed disallowedcert.stl
В это статье мы рассмотрели несколько простейших способов обновления списка корневых сертификатов на изолированной от Интернета системе Windows. В том случае, если возникла задача регулярного обновления корневых сертификатов в отделенном от внешней сети домене, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. Об этом подробнее в одной из ближайших статей.
Список корневых сертификатов в формате STL
Файл authroot.stl представляет собой контейнер со списком доверенных сертификатов в формате Certification Trust List.
Данный файл можно установить в системе с помощью контекстного меню файла STL ( Install CTL ).
Или с помощью утилиты certutil:
certutil -addstore -f root authroot.stl
После выполнения команды, в консоли управления сертификатами (certmgr.msc) в контейнере Trusted Root Certification Authorities появится новый раздел с именем Certificate Trust List .
certutil -addstore -f disallowed disallowedcert.stl
В это статье мы рассмотрели несколько простейших способов обновления списка корневых сертификатов на изолированной от Интернета системе Windows. В том случае, если возникла задача регулярного обновления корневых сертификатов в отделенном от внешней сети домене, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. Об этом подробнее в одной из ближайших статей.