Windows root certificate update windows xp

Root certificates help keep your personal information safe and secure

locked laptop image by CraterValley Photo from <a data-hren=’http://www.fotolia.com’>Fotolia.com</a>

Information transferred within networks such as the Internet, inter-office intranets, and home networks can be susceptible to many security issues and attacks. Certificates allow these types of information sharing to be private and secure without the use of individual file password protections. Root certificates embedded in your Windows operating system check these transactions against a list of trusted sites. You will receive a warning if you try to pass data to a site not on this trusted list. Updating your root certificates should help keep your personal information safe and secure.

Содержание
  1. Step 1
  2. Step 2
  3. Step 3
  4. Step 4
  5. Как обновить корневые сертификаты Windows XP
  6. Получения списка корневых сертификатов с узла Windows Update с помощью Сertutil
  7. Утилита rootsupd. exe
  8. Ручное обновление корневых сертификатов на Windows
  9. Как вручную обновить корневые сертификаты в Windows
  10. Установка/обновление корневых сертификатов
  11. Как обновить корневые сертификаты windows xp
  12. Получение актуальных сертификатов
  13. Как вручную обновить корневые сертификаты в Windows
  14. Получение актуальных сертификатов
  15. Обновление сертификатов
  16. Ручное обновление корневых сертификатов на Windows
  17. Обновление сертификатов
  18. CertUtil. exe на Windows XP & ЦС на Windows Server 2012 R2 — 0x80094011 — Имеющиеся разрешения для центра сертификации не позволяют текущему пользователю получать сертификаты
  19. Установка/обновление корневых сертификатов
  20. Обновление сертификатов (для всех версий Windows)
  21. Шаг 1. Удаление старых сертификатов из контейнера cacer.p7b
  22. Шаг 2. Удаление старого сертификата безопасности для веб-узла сroInform.ru
  23. Обратите внимание:
  24. Получения списка корневых сертификатов с узла Windows Update с помощью Сertutil
  25. Утилита rootsupd. exe
  26. Список корневых сертификатов в формате STL
  27. Список корневых сертификатов в формате STL

Step 1

Step 2

Open your computer’s Control Panel. Click on the «Start» Menu and then «Control Panel». Double-click «Add/Remove Programs.»

Step 3

Click the «Add/Remove Windows Components button. Check the box next to «Update Root Certificates.»

Step 4

Jon Kaufman, a senior financial planner, has been writing financial and computer technology articles since 1999. His articles have appeared on Web sites like eHow. Kaufman received a Distinguished Honor Graduate award in 1999 and holds a Bachelor of Science in finance from Northern State University.

По работе приходится иногда иметь дело с этой операционкой, и если дело доходит до переустановки системы, то случается такая беда:

  • ошибки при подключении к любым https веб ресурсам
  • ошибки при работе приложений использующих https как транспорт

По хорошему, такие беды должны лечиться обновлениями системы, но обновления тоже получаются по https, таким образом — замкнутый круг.

Решение такое: перенести базу сертификатов из другой ОС (Windows 7 или 10). Но есть ньюанс — ОС должны быть лицензионной и с подключенным сервисом Windows Update, иначе фокус не получится.

Первым делом, на обновленной системе (Windows 7 или 10) нужно ввести в консоли вот такое заклинание:

certutil.exe -generateSSTFromWU roots.sst

В текущей директории получите файл с сертификатами roots.sst. Его нужно поместить в папку C:\PS\rootsupd\ на Windows XP.

Данную тулзу следует запустить с такими параметрами:

rootsupd.exe /c /t:C:\PS\rootsupd

Обратите внимание, что между /t и путем к каталогу нет пробела! Если команда отработала без ошибок, в каталоге C:\PS\rootsupd появится файл updroots.exe. Для установки полученных сертификатов его следует запустить с параметрами:

updroots.exe roots.sst

Все. После этого сертификаты установлены. Правда старые не удалены, но они не мешают, и как их чистить я не разбирался.


Информация о материале:
Опубликовано:
Обновлено:
Автор:

archive view
archive save

windows-xp, jpg Не секрет, что Windows XP отправлена на свалку и более не поддерживается разработчиком, а при использовании различных веб-браузеров могут возникать ошибки SSL сертификата: недостаточно информации для проверки этого сертификата.

Ошибка сертификата в Windows XP может проявляться в разных браузерах включая Opera, Chrome и конечно Internet Explorer — все они используют одно хранилище сертификатов, которое разумеется давно устарело и не обновляется по причине отсутствия поддержки Windows XP. Именно по причине устаревших сертификатов мы и наблюдаем в браузерах ошибки типа: «недостаточно информации для проверки этого сертификата».

Как обновить корневые сертификаты Windows XP

Ручками обновить будет довольно проблематично. Официальных пакетов обновляющих корневые сертификаты Windows XP не существует.

На просторах Интернетов был найден один рецепт, состоящий из «заточки» пакета обновления сертификатов от «висты» под «хр», процесс выглядит следующим образом:

TempMode
Silent=1
Overwrite=1
Setup=Rundll32.exe advpack.dll,LaunchINFSection rvkroots.inf,DefaultInstall

Теперь мы имеем файл отзывающий все небезопасные (устаревшие) сертификаты!

TempMode
Silent=1
Overwrite=1
Setup=Rundll32.exe advpack.dll,LaunchINFSection rootsupd.inf,DefaultInstall

Теперь у нас есть файл обновлящий корневые сертификаты!

Windows root certificate update windows xp Только после полного отключения блокировщика скриптов и рекламы на этом месте появится полезная подсказка/ссылка/код/пример конфигурации/etc!

Браузер Firefox использует собственное хранилище корневых сертификатов и может работать без обновления корневых сертификатов на Windows XP.

Проблема корневых сертификатов стала актуальна для Windows XP, 2003 Server, 7, 2008 Server после окончания их поддержки. И если с отсутствием свежих обновлений можно смириться, то из-за не обновлённого хранилища сертификатов перестают нормально отображаться сайты и перестают работать онлайн инсталляторы.

Update and Revoked Roots. Инструмент для обновления корневых сертификатов. UpdRoots загружает сертификаты с сервера Microsoft и выводит реальную дату изменения загруженных файлов, тем самым можно определить, насколько свежий тот или иной сертификат.
Для обновления офлайн, разместите рядом с UpdRoots все пять групп сертификатов/файлов SST, при наличии доступа в интернет, офлайн обновление не работает.
Для тихого обновления предусмотрен ключ командной строки /S.

Скачивание и обновление корневых сертификатов:

CertUpdater.exe -aie -gm2 -fm0 — скачивание корневых сертификатов из Windows Update в папку MyRoots, создаётся автоматически рядом с CertUpdater.exe.
CertUpdater.exe -aii -gm2 -fm0 — импорт корневых сертификатов из папки MyRoots в систему.
CertUpdater.exe -aim -gm2 -fm0 — вызов системного менеджера сертификатов.
CertUpdater.exe -air -gm2 -fm0 — импорт корневых сертификатов из пакета корневых сертификатов CertUpdater в систему.
CertUpdater.exe -aiu -gm2 -fm0 — обновление пакета корневых сертификатов CertUpdater.
CertUpdater.exe -h — вызов справки.

Вариант 3: Обновление корневых сертификатов выполняет UpdatePack7R2 для обновления Windows 7 SP1 и Server 2008 R2 SP1 от simplix-а: http://forum.oszone.net/thread-257198.html

Вариант 4: Обновление корневых сертификатов выполняет набор обновлений «DrWindows» для Windows 7

Описание и обсуждение на русском языке: http://forum.oszone.net/thread-351049.html

Текст автора набора обновлений: https://www.drwindows.de/xf/threads/windows-7-update-pack-by-drwindows-september-2022.15232/

Вариант 5: Обновление корневых сертификатов при помощи RootCertUpdater 

Данный обновлятор представляет собой 7z SFX архив со следующим конфигом:

и содержит актуальные на дату публикации файлы authroots.sst, delroots.sst, roots.sst, updroots.sst и disallowedcert.sst

Вы можете самостоятельно обновлять обновлятор) открыв его в архиваторе 7-Zip и перетянув в него более свежие sst-файлы:

Вариант 6: RootsUpdSetup для Windows XP

Сделано сразу в виде SVCPACK-аддона для Windows XP, упаковано в WinRAR SFX. Никаких ключей установки не требуется, всё максимально просто: есть интернет: *.sst-файлы обновляются и устанавливаются; нет интернета — ставится то, что есть в архиве.

Вариант 7: Обновление корневых сертификатов при помощи UpdRootsCert
Принцип работы: если есть интернет — то скачиваются и устанавливаются последние сертификаты,
если нет — то установятся сертификаты из набора. 

PKI Tutorials — Herong’s Tutorial Examples

Outdated: Windows XP Component — Removing «Update Root Certificates»

This section provides a tutorial example on how to remove the ‘Update Root Certificates’ component from Windows XP system to stop root certificates getting into your computer automatically.

From the previous tutorial, we now know that IE 8 works with Windows XP «Update Root Certificates» component
to automatically install root certificates on my computer.

If you think this is a bad idea because of security concerns,
you can disable the «Update Root Certificates» component
to stop root certificates getting into your computer automatically.

1. Click «Start» button, then click «Control Panel» in the menu.

2. Double-click «Add or Remove Programs» on Control Panel.

3. Click «Add/Remove Windows Components» in the menu on the left side.
The Windows Component Wizard shows up.

4. Scroll down the list of components to find «Update Root Certificates»,
and uncheck the check box next to «Update Root Certificates»:

Update Root Certificates on Windows XP
Removing «Update Root Certificates» on Windows XP

5. Click «Next», then click «Finish».

Table of Contents

 About This Book

 Introduction of PKI (Public Key Infrastructure)

 Introduction of HTTPS (Hypertext Transfer Protocol Secure)

 Using HTTPS with Google Chrome

Дополнительно:  iMac при включении пищит 3-8 раз (звуковые сигналы) и не включается - причины и ремонт в Санкт-Петербурге (СПб)

 Using HTTPS with Mozilla Firefox

 HTTPS with Microsoft Edge

 Using HTTPS with Apple Safari

 HTTPS with IE (Internet Explorer)

 Android and Server Certificate

 iPhone and Server Certificate

 Windows Certificate Stores and Console

 RDP (Remote Desktop Protocol) and Server Certificate

 macOS Certificate Stores and Keychain Access

 Perl Scripts Communicating with HTTPS Servers

 PHP Scripts Communicating with HTTPS Servers

 Java Programs Communicating with HTTPS Servers

 .NET Programs Communicating with HTTPS Servers

 CAcert.org — Root CA Offering Free Certificates

 Comodo Free Personal Certificate

 Digital Signature — Microsoft Word

 Digital Signature — OpenOffice.org 3

 S/MIME and Email Security

 PKI (Public Key Infrastructure) Terminology

 Outdated: Viewing Server Certificate in Chrome 40

 Outdated: Viewing Server Certificate in Firefox 35

 Outdated: Viewing Pre-Installed Certificates in Firefox 35

 Outdated: Firefox 35 Displaying Certificate Error Page

 Outdated: Adding Security Exception in Firefox 35

 Outdated: Windows XP Component «Update Root Certificates»

 Outdated: Creating Certificates Console on Windows XP

 Outdated: Applying Digital Signatures with Word 2007

 OutDated: Creating a Digital ID and Sign Word Documents

 OUtdated: Viewing Digital ID Created by MS Word

 Outdated: Obtaining a Trial Digital ID from ARX CoSign

 Outdated: Viewing Digital ID Obtained from ARX CoSign

Outdated: Windows XP Component — Removing «Update Root Certificates»

 Outdated: IE 8 Displaying Certificate Error Page

 Outdated: IE 8 Displaying Certificate Error Icon

 Outdated: Viewing Certificate Path Validation Error in IE 8

 Outdated: Importing Root Certificate from a File to IE 8

 Full Version in PDF/EPUB

Outdated: Windows XP Component — Removing «Update Root Certificates»Updated in 2020, by Dr. Herong Yang

PKI Tutorials — Herong’s Tutorial Examples

Outdated: Windows XP Component «Update Root Certificates»

This section describes the process used by Windows XP component, Update Root Certificates, to communicate to Windows Update Website to fetch a trusted root certificate and install in on the local computer automatically.

To understand better why IE 8 is automatically reinstall a trusted root certificate on my computer,
I did a quick research and found this article

«Certificate Support and the Update Root Certificates Component»
on Microsoft Website:


How Update Root Certificates Communicates with Sites on the Internet


This subsection focuses on how the Update Root Certificates component communicates with sites on the Internet. The previous subsection, «Overview: Using Certificate Components in a Managed Environment» provides references for the configuration choices that control the way other certificate components communicate with sites on the Internet.


  • Specific information sent or received: Update Root Certificates sends
    a request to the Windows Update Website, asking for the current
    list of root certification authorities in the Microsoft Root
    Certificate Program. If the untrusted certificate is named in the list,
    Update Root Certificates obtains that certificate from Windows
    Update and places it in the trusted certificate store on the user’s computer. No user authentication or unique user identification is used in this exchange.


  • Default setting and ability to disable: Update Root Certificates is installed by default in Windows XP with SP1. You can remove or exclude
    this component from installation on users’ computers.

  • Trigger and user notification: Update Root Certificates is triggered when the user is presented with a certificate issued by a root certification authority that is not directly trusted. There is no user notification.


Now I understand better what happened when visiting a secured Website using IE 8 and
the root certificate for that Website is not installed on my Windows XP system:

  • IE 8 reached out https://login.yahoo.com for server certificate.
  • IE 8 received «login.yahoo.com» certificate.
  • IE 8 could not find the root certificate to validate «login.yahoo.com» certificate.
  • IE 8 turned to Windows XP «Update Root Certificates» component for help.
  • «Update Root Certificates» contacted «http://windowsupdate.microsoft.com/».
  • «Update Root Certificates» fetched the root certificate.
  • «Update Root Certificates» installed the root certificate on the local computer.
  • «Update Root Certificates» returned the control back to IE 8.
  • IE 8 validated «login.yahoo.com» certificate with the newly installed root certificate.

Table of Contents

 About This Book

 Introduction of PKI (Public Key Infrastructure)

 Introduction of HTTPS (Hypertext Transfer Protocol Secure)

 Using HTTPS with Google Chrome

 Using HTTPS with Mozilla Firefox

 HTTPS with Microsoft Edge

 Using HTTPS with Apple Safari

 HTTPS with IE (Internet Explorer)

 Android and Server Certificate

 iPhone and Server Certificate

 Windows Certificate Stores and Console

 RDP (Remote Desktop Protocol) and Server Certificate

 macOS Certificate Stores and Keychain Access

 Perl Scripts Communicating with HTTPS Servers

 PHP Scripts Communicating with HTTPS Servers

 Java Programs Communicating with HTTPS Servers

 .NET Programs Communicating with HTTPS Servers

 CAcert.org — Root CA Offering Free Certificates

 Comodo Free Personal Certificate

 Digital Signature — Microsoft Word

 Digital Signature — OpenOffice.org 3

 S/MIME and Email Security

 PKI (Public Key Infrastructure) Terminology

 Outdated: Viewing Server Certificate in Chrome 40

 Outdated: Viewing Server Certificate in Firefox 35

 Outdated: Viewing Pre-Installed Certificates in Firefox 35

 Outdated: Firefox 35 Displaying Certificate Error Page

 Outdated: Adding Security Exception in Firefox 35

Outdated: Windows XP Component «Update Root Certificates»

 Outdated: Creating Certificates Console on Windows XP

 Outdated: Applying Digital Signatures with Word 2007

 OutDated: Creating a Digital ID and Sign Word Documents

 OUtdated: Viewing Digital ID Created by MS Word

 Outdated: Obtaining a Trial Digital ID from ARX CoSign

 Outdated: Viewing Digital ID Obtained from ARX CoSign

 Outdated: Windows XP Component — Removing «Update Root Certificates»

 Outdated: IE 8 Displaying Certificate Error Page

 Outdated: IE 8 Displaying Certificate Error Icon

 Outdated: Viewing Certificate Path Validation Error in IE 8

 Outdated: Importing Root Certificate from a File to IE 8

 Full Version in PDF/EPUB

PKI Tutorials — Herong’s Tutorial Examples

Archived: Windows XP Component «Update Root Certificates»

This section describes the process used by Windows XP component, Update Root Certificates, to communicate to Windows Update Website to fetch a trusted root certificate and install in on the local computer automatically.

To understand better why IE 8 is automatically reinstall a trusted root certificate on my computer,
I did a quick research and found this article

«Certificate Support and the Update Root Certificates Component»
on Microsoft Website:


How Update Root Certificates Communicates with Sites on the Internet


This subsection focuses on how the Update Root Certificates component communicates with sites on the Internet. The previous subsection, «Overview: Using Certificate Components in a Managed Environment» provides references for the configuration choices that control the way other certificate components communicate with sites on the Internet.


  • Specific information sent or received: Update Root Certificates sends
    a request to the Windows Update Website, asking for the current
    list of root certification authorities in the Microsoft Root
    Certificate Program. If the untrusted certificate is named in the list,
    Update Root Certificates obtains that certificate from Windows
    Update and places it in the trusted certificate store on the user’s computer. No user authentication or unique user identification is used in this exchange.


  • Default setting and ability to disable: Update Root Certificates is installed by default in Windows XP with SP1. You can remove or exclude
    this component from installation on users’ computers.

  • Trigger and user notification: Update Root Certificates is triggered when the user is presented with a certificate issued by a root certification authority that is not directly trusted. There is no user notification.


Now I understand better what happened when visiting a secured Website using IE 8 and
the root certificate for that Website is not installed on my Windows XP system:

Дополнительно:  Local root пользователь

  • IE 8 reached out https://login.yahoo.com for server certificate.
  • IE 8 received «login.yahoo.com» certificate.
  • IE 8 could not find the root certificate to validate «login.yahoo.com» certificate.
  • IE 8 turned to Windows XP «Update Root Certificates» component for help.
  • «Update Root Certificates» contacted «http://windowsupdate.microsoft.com/».
  • «Update Root Certificates» fetched the root certificate.
  • «Update Root Certificates» installed the root certificate on the local computer.
  • «Update Root Certificates» returned the control back to IE 8.
  • IE 8 validated «login.yahoo.com» certificate with the newly installed root certificate.

Table of Contents

 About This Book

 Introduction of PKI (Public Key Infrastructure)

 Introduction of HTTPS (Hypertext Transfer Protocol Secure)

 Using HTTPS with Google Chrome

 Using HTTPS with Mozilla Firefox

 HTTPS with Microsoft Edge

 Using HTTPS with Apple Safari

 HTTPS with IE (Internet Explorer)

 Android and Server Certificate

 iPhone and Server Certificate

 Windows Certificate Stores and Console

 RDP (Remote Desktop Protocol) and Server Certificate

 macOS Certificate Stores and Keychain Access

 Perl Scripts Communicating with HTTPS Servers

 PHP Scripts Communicating with HTTPS Servers

 Java Programs Communicating with HTTPS Servers

 .NET Programs Communicating with HTTPS Servers

 CAcert.org — Root CA Offering Free Certificates

 Comodo Free Personal Certificate

 Digital Signature — Microsoft Word

 Digital Signature — OpenOffice.org 3

 S/MIME and Email Security

 PKI (Public Key Infrastructure) Terminology

 Archived: Viewing Server Certificate in Chrome 40

 Archived: Viewing Server Certificate in Firefox 35

 Archived: Viewing Pre-Installed Certificates in Firefox 35

 Archived: Firefox 35 Displaying Certificate Error Page

 Archived: Adding Security Exception in Firefox 35

Archived: Windows XP Component «Update Root Certificates»

 Archived: Creating Certificates Console on Windows XP

 Archived: Applying Digital Signatures with Word 2007

 Archived: Creating a Digital ID and Sign Word Documents

 Archived: Viewing Digital ID Created by MS Word

 Archived: Obtaining a Trial Digital ID from ARX CoSign

 Archived: Viewing Digital ID Obtained from ARX CoSign

 Archived: Windows XP Component — Removing «Update Root Certificates»

 Archived: IE 8 Displaying Certificate Error Page

 Archived: IE 8 Displaying Certificate Error Icon

 Archived: Viewing Certificate Path Validation Error in IE 8

 Archived: Importing Root Certificate from a File to IE 8

 Full Version in PDF/EPUB

Получения списка корневых сертификатов с узла Windows Update с помощью Сertutil

Для генерации SST файла, на компьютере Windows 10 с прямым доступом в Интернет, выполните с правами администратора команду:

certutil.exe -generateSSTFromWU roots.sst

Совет . Для генерации индивидуальных файлов сертификатов можно использовать команду certutil -syncWithWU. Полученные таким образом сертификаты можно распространить на клиентов с помощью GPO .

Для установки всех сертификатов, содержащихся в файле, воспользуемся утилитой updroots.exe (она содержится в архиве rootsupd.exe, который мы распаковали в предыдущем разделе).

Установка сертификатов из STT фалйла выполняется командой:

Утилита rootsupd. exe

В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe , список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates). Посмотрим, можно ли использовать ли ее сейчас.

  • Скачайте утилиту rootsupd.exe , перейдя по ссылке http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe (по состоянию на 15.09.2017 ссылка не работает, возможно в Microsoft решили убрать ее из общего доступа).

Для установки сертификатов, достаточно запустить файл. Но мы попробуем более внимательно рассмотреть его содержимое, распаковав его с помощью команды: rootsupd.exe /c /t: C:\PS\rootsupd

  • Сертификаты содержатся в SST файлах: authroots.sst, delroot.sst и т.п. Для удаления/установки сертификатов можно воспользоваться командами:
    updroots.exe authroots.sst
    updroots.exe -d delroots.sst

Но , как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до окончания официальной поддержки Windows XP ). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов.

Ручное обновление корневых сертификатов на Windows

Актуальные системы семейства Windows, подключенные к Интернету, могут автоматически обновлять корневые сертификаты. В противном случае, обновление необходимо выполнять вручную. Если это не делать, мы можем столкнуться с рядом проблем:

  • Не открываются или выдают предупреждение безопасности некоторые (или все) сайты, работающие по https.
  • Некорректная работа отдельных приложений (например, антивирусных систем).
  • Ошибки при подключении по удаленному рабочему столу.

Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживание компанией Microsoft (Windows XP, 7, а также Server 2003, 2008).

Как вручную обновить корневые сертификаты в Windows

В операционных системах семейства Windows, начиная с Windows 7, присутствует система автоматического обновления корневых сертификатов с сайта Microsoft. MSFT в рамках программы Microsoft Trusted Root Certificate Program , ведет и публикует в своем онлайн хранилище список сертификатов для клиентов и устройств Windows. В том, случае если проверяемый сертификат в своей цепочке сертфикации относится к корневому CA, который участвует в этой программе, система автоматически скачает с узла Windows Update и добавит такой корневой сертификат в доверенные.

В том случае, если у Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневой сертификат, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия), либо с установкой / запуском подписанных приложений или скриптов .

В этой статье попробуем разобраться, как можно вручную обновить список корневых сертификатов в TrustedRootCA в изолированных системах, или системах без прямого подключения к интернету.

Примечание . В том случае, если пользователи получают доступ в интернет через прокси сервер, для того, что работало автоматическое обновление корневых сертификатов на компьютера пользователей, Microsoft рекомендует открыть прямой доступ (bypass) к узлам Microsoft. Но это не всегда возможно/применимо.

Установка/обновление корневых сертификатов

Полученный на предыдущем этапе файл переносим на компьютер, где необходимо обновить доверенные корневые сертификаты, например, также в папку C:\CA. Скачиваем утилиту rootsupd и распаковываем ее в этот же каталог.

Открываем командную строку от администратора и вводим команду:

C:\CA\rootsupd.exe /c /t:C:\CA

* где C:\CA — папка, в которую мы перенесли корневые сертификаты.

В появившемся окне Roots Update:

Windows root certificate update windows xp

. выбираем No, чтобы не переписывать наш файл roots.sst.

В папке C:\CA должны появится новые файлы, в том числе, утилита updroots. Вводим теперь команду:

Как обновить корневые сертификаты windows xp

На данный момент работа через защищённое соединение c устройств Apple не поддерживается.

На данный момент работа через защищённое соединение c Android-устройств не поддерживается.

Получение актуальных сертификатов

Для начала, выгрузим сертификаты на компьютере с актуальной версией Windows (10) и подключением к сети Интернет.

Создадим каталог, в который будет выгружен файл с корневыми сертификатами, например, C:\CA (папка CA на диске C).

Открываем командную строку от администратора и вводим команду:

certutil.exe -generateSSTFromWU C:\CA\roots.sst

* где C:\CA — каталог, который мы создали; roots.sst — файл, в который будут выгружены сертификаты.

В папке C:\CA мы должны увидеть файл roots.sst.

Как вручную обновить корневые сертификаты в Windows

В операционных системах семейства Windows, начиная с Windows 7, присутствует система автоматического обновления корневых сертификатов с сайта Microsoft. MSFT в рамках программы Microsoft Trusted Root Certificate Program , ведет и публикует в своем онлайн хранилище список сертификатов для клиентов и устройств Windows. В том, случае если проверяемый сертификат в своей цепочке сертфикации относится к корневому CA, который участвует в этой программе, система автоматически скачает с узла Windows Update и добавит такой корневой сертификат в доверенные.

В том случае, если у Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневой сертификат, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия), либо с установкой / запуском подписанных приложений или скриптов .

В этой статье попробуем разобраться, как можно вручную обновить список корневых сертификатов в TrustedRootCA в изолированных системах, или системах без прямого подключения к интернету.

Примечание . В том случае, если пользователи получают доступ в интернет через прокси сервер, для того, что работало автоматическое обновление корневых сертификатов на компьютера пользователей, Microsoft рекомендует открыть прямой доступ (bypass) к узлам Microsoft. Но это не всегда возможно/применимо.

Дополнительно:  Root пароли к ssh

Получение актуальных сертификатов

Для начала, выгрузим сертификаты на компьютере с актуальной версией Windows (10) и подключением к сети Интернет.

Создадим каталог, в который будет выгружен файл с корневыми сертификатами, например, C:\CA (папка CA на диске C).

Открываем командную строку от администратора и вводим команду:

certutil.exe -generateSSTFromWU C:\CA\roots.sst

* где C:\CA — каталог, который мы создали; roots.sst — файл, в который будут выгружены сертификаты.

В папке C:\CA мы должны увидеть файл roots.sst.

Обновление сертификатов

Обновление доверенных корневых сертификатов выполняется во время обновления операционной системы. Если последнее включено, то нашего участия не требуется, иначе, можно установить обновление вручную. Пример такого пакета — KB931125.

Однако, если операционная система устарела, разработчик прекращает выпуск обновлений, и мы не можем воспользоваться средствами обновления системы. В таком случае, необходимо сделать выгрузку корневых сертификатов на актуальной системе и перенести их на устаревший.

Ручное обновление корневых сертификатов на Windows

Актуальные системы семейства Windows, подключенные к Интернету, могут автоматически обновлять корневые сертификаты. В противном случае, обновление необходимо выполнять вручную. Если это не делать, мы можем столкнуться с рядом проблем:

  • Не открываются или выдают предупреждение безопасности некоторые (или все) сайты, работающие по https.
  • Некорректная работа отдельных приложений (например, антивирусных систем).
  • Ошибки при подключении по удаленному рабочему столу.

Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживание компанией Microsoft (Windows XP, 7, а также Server 2003, 2008).

Обновление сертификатов

Обновление доверенных корневых сертификатов выполняется во время обновления операционной системы. Если последнее включено, то нашего участия не требуется, иначе, можно установить обновление вручную. Пример такого пакета — KB931125.

Однако, если операционная система устарела, разработчик прекращает выпуск обновлений, и мы не можем воспользоваться средствами обновления системы. В таком случае, необходимо сделать выгрузку корневых сертификатов на актуальной системе и перенести их на устаревший.

CertUtil. exe на Windows XP & ЦС на Windows Server 2012 R2 — 0x80094011 — Имеющиеся разрешения для центра сертификации не позволяют текущему пользователю получать сертификаты

0x80094011 (-2146877423) Имеющиеся разрешения для центра сертификации не позволяют текущему пользователю получать сертификаты

Windows root certificate update windows xp

Для решения проблемы в указанном документе предлагается два варианта :
1. Заменить на клиентских компьютерах с Windows XP ОС на более новую.
2. Понизить уровень безопасности ЦС для поддержки клиентов на базе Windows XP.

Первый вариант приемлем далеко не во всех случаях (по разного рода причинам).
Для реализации второго варианта на сервере ЦС нужно выполнить команду:

Windows root certificate update windows xp

После этого следует перезапустить службу сертификации Active Directory Certificate Services service

Windows root certificate update windows xp

В дальнейшем, когда станет возможной реализация варианта #1, вернуть обратно настройки ЦС можно следующим образом:

Установка/обновление корневых сертификатов

Полученный на предыдущем этапе файл переносим на компьютер, где необходимо обновить доверенные корневые сертификаты, например, также в папку C:\CA. Скачиваем утилиту rootsupd и распаковываем ее в этот же каталог.

Открываем командную строку от администратора и вводим команду:

C:\CA\rootsupd.exe /c /t:C:\CA

* где C:\CA — папка, в которую мы перенесли корневые сертификаты.

В появившемся окне Roots Update:

Windows root certificate update windows xp

. выбираем No, чтобы не переписывать наш файл roots.sst.

В папке C:\CA должны появится новые файлы, в том числе, утилита updroots. Вводим теперь команду:

Обновление сертификатов (для всех версий Windows)

Шаг 1. Удаление старых сертификатов из контейнера cacer.p7b

Windows root certificate update windows xp

Откроется окно консоли управления Microsoft.

Windows root certificate update windows xp

В основном меню консоли, выберите «Файл» — «Добавить или удалить оснастку». Будет открыто окно «Добавление и удаление оснасток».

Windows root certificate update windows xp

В левом списке выберите пункт «Сертификаты» и нажмите на кнопку «Добавить». Будет открыто окно «Оснастка диспетчера сертификатов».

Windows root certificate update windows xp

Нажмите на кнопку «Готово». Окно «Оснастка диспетчера сертификатов» будет закрыто, Вы вернетесь в окно консоли управления Microsoft.

В левом списке раскройте дерево «Сертификаты — текущий пользователь». Раскройте пункт «Доверенные корневые центры сертификации». Выберите пункт «Сертификаты». В центральной части будут отображены сертификаты выбранного раздела.

Windows root certificate update windows xp

В списке сертификатов (центральная часть) найдите сертификаты, выданные УЦ КРИПТО-ПРО (6 сертификатов). Выделите найденные сертификаты и нажмите правую кнопку мыши. В контекстном меню выберите пункт «Удалить».

Windows root certificate update windows xp

Будет открыто окно предупреждения. Сертификаты КРИПТО-ПРО не являются ключевыми и могут быть удалены без последствий. Нажмите «Да».

Windows root certificate update windows xp

Перед удалением каждого из сертификатов контейнера будет выводиться окно подтверждения на удаление. Во всех окнах следует нажать кнопку «Да»

Windows root certificate update windows xp

Шаг 2. Удаление старого сертификата безопасности для веб-узла сroInform.ru

В левом списке раскройте дерево «Сертификаты — текущий пользователь». Раскройте пункт «Другие пользователи». Выберите пункт «Сертификаты».

Windows root certificate update windows xp

Нажмите правой кнопкой мыши на сертификате ssl.croinform.cer. В контекстном меню выберите пункт «Удалить».

Windows root certificate update windows xp

Появится окно предупреждения. Нажмите «Да». Сертификат ssl.croinform.cer будет удален.

Windows root certificate update windows xp

Обратите внимание:

После удаления необходимо установить новые версии сертификатов. Для установки сертификатов, воспользуйтесь инструкцией для Вашей операционной системы:

Получения списка корневых сертификатов с узла Windows Update с помощью Сertutil

Для генерации SST файла, на компьютере Windows 10 с прямым доступом в Интернет, выполните с правами администратора команду:

certutil.exe -generateSSTFromWU roots.sst

Совет . Для генерации индивидуальных файлов сертификатов можно использовать команду certutil -syncWithWU. Полученные таким образом сертификаты можно распространить на клиентов с помощью GPO .

Для установки всех сертификатов, содержащихся в файле, воспользуемся утилитой updroots.exe (она содержится в архиве rootsupd.exe, который мы распаковали в предыдущем разделе).

Установка сертификатов из STT фалйла выполняется командой:

Утилита rootsupd. exe

В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe , список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates). Посмотрим, можно ли использовать ли ее сейчас.

  • Скачайте утилиту rootsupd.exe , перейдя по ссылке http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe (по состоянию на 15.09.2017 ссылка не работает, возможно в Microsoft решили убрать ее из общего доступа).

Для установки сертификатов, достаточно запустить файл. Но мы попробуем более внимательно рассмотреть его содержимое, распаковав его с помощью команды: rootsupd.exe /c /t: C:\PS\rootsupd

  • Сертификаты содержатся в SST файлах: authroots.sst, delroot.sst и т.п. Для удаления/установки сертификатов можно воспользоваться командами:
    updroots.exe authroots.sst
    updroots.exe -d delroots.sst

Но , как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до окончания официальной поддержки Windows XP ). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов.

Список корневых сертификатов в формате STL

Файл authroot.stl представляет собой контейнер со списком доверенных сертификатов в формате Certification Trust List.

Данный файл можно установить в системе с помощью контекстного меню файла STL ( Install CTL ).

Или с помощью утилиты certutil:

certutil -addstore -f root authroot.stl

После выполнения команды, в консоли управления сертификатами (certmgr.msc) в контейнере Trusted Root Certification Authorities появится новый раздел с именем Certificate Trust List .

certutil -addstore -f disallowed disallowedcert.stl

В это статье мы рассмотрели несколько простейших способов обновления списка корневых сертификатов на изолированной от Интернета системе Windows. В том случае, если возникла задача регулярного обновления корневых сертификатов в отделенном от внешней сети домене, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. Об этом подробнее в одной из ближайших статей.

Список корневых сертификатов в формате STL

Файл authroot.stl представляет собой контейнер со списком доверенных сертификатов в формате Certification Trust List.

Данный файл можно установить в системе с помощью контекстного меню файла STL ( Install CTL ).

Или с помощью утилиты certutil:

certutil -addstore -f root authroot.stl

После выполнения команды, в консоли управления сертификатами (certmgr.msc) в контейнере Trusted Root Certification Authorities появится новый раздел с именем Certificate Trust List .

certutil -addstore -f disallowed disallowedcert.stl

В это статье мы рассмотрели несколько простейших способов обновления списка корневых сертификатов на изолированной от Интернета системе Windows. В том случае, если возникла задача регулярного обновления корневых сертификатов в отделенном от внешней сети домене, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. Об этом подробнее в одной из ближайших статей.

Оцените статью
Master Hi-technology
Добавить комментарий