Tất cả các phiên bản Windows đều có tính năng tích hợp để tự động cập nhật chứng chỉ gốc từ các trang web của Microsoft. MSFT, như một phần của Chương trình chứng chỉ gốc đáng tin cậy của Microsoft , duy trì và xuất bản danh sách các chứng chỉ đáng tin cậy cho máy khách và thiết bị Windows trong kho lưu trữ trực tuyến của nó. Nếu chứng chỉ đã được xác minh trong chuỗi chứng chỉ của nó đề cập đến CA gốc tham gia vào chương trình này, hệ thống sẽ tự động tải xuống chứng chỉ gốc này từ máy chủ Windows Update và thêm nó vào những máy chủ đáng tin cậy.
Windows cập nhật danh sách chứng chỉ gốc đáng tin cậy (CTL) mỗi tuần một lần. Nếu Windows không có quyền truy cập trực tiếp vào Windows Update, hệ thống sẽ không thể cập nhật chứng chỉ gốc. Vì vậy, người dùng có thể gặp một số rắc rối khi duyệt các trang web (chứng chỉ SSL nào được ký bởi một CA không đáng tin cậy - xem bài viết về “Lỗi SSL của Chrome:Trang web này không thể cung cấp kết nối an toàn”) hoặc khi cài đặt / chạy các tập lệnh đã ký và các ứng dụng.
Trong bài viết này, chúng tôi sẽ cố gắng tìm hiểu cách cập nhật danh sách chứng chỉ gốc trong TrustedRootCA theo cách thủ công trong các mạng hoặc máy tính / máy chủ bị ngắt kết nối (bị cô lập) không có quyền truy cập Internet trực tiếp.
Nội dung:
- Quản lý Chứng chỉ gốc đáng tin cậy trong Windows 10 và 11
- Làm cách nào để tắt / bật cập nhật chứng chỉ gốc tự động trong Windows?
- Certutil:Tải xuống Chứng chỉ gốc đáng tin cậy từ Windows Update
- Danh sách Tin cậy Chứng chỉ (STL) trong Windows
- Cập nhật Chứng chỉ gốc đáng tin cậy qua GPO trong môi trường biệt lập
- Cách cập nhật Chứng chỉ gốc đáng tin cậy trong Windows 7?
- Cập nhật Chứng chỉ gốc trên Windows XP bằng Công cụ Rootsupd.exe
Quản lý Chứng chỉ gốc đáng tin cậy trong Windows 10 và 11
Làm cách nào để xem danh sách chứng chỉ gốc đáng tin cậy trên máy tính Windows?
- Để mở kho lưu trữ chứng chỉ gốc của máy tính chạy Windows 11/10 / 8.1 / 7 hoặc Windows Server 2022/2019/2016, hãy chạy mmc.exe bảng điều khiển;
- Chọn Tệp -> Thêm / Xóa Snap-in , chọn Chứng chỉ (certmgr) trong danh sách snap-in -> Thêm ;
- Chọn mà bạn muốn quản lý các chứng chỉ của Tài khoản máy tính cục bộ;
- Tiếp theo -> OK -> OK;
- Mở rộng Chứng chỉ nút -> Đáng tin cậy Gốc Chứng nhận Cơ quan chức năng Cửa hàng. Phần này chứa danh sách các chứng chỉ gốc đáng tin cậy trên máy tính của bạn.
Trong bảng điều khiển mmc, bạn có thể xem thông tin về bất kỳ chứng chỉ nào hoặc xóa nó khỏi những chứng chỉ đáng tin cậy.
Bạn cũng có thể nhận danh sách các chứng chỉ gốc đáng tin cậy với ngày hết hạn của chúng bằng PowerShell:
Get-Childitem cert:\LocalMachine\root |format-list
Bạn có thể liệt kê các chứng chỉ đã hết hạn hoặc sẽ hết hạn trong 60 ngày tới:
Get-ChildItem cert:\LocalMachine\root|Where {$_.NotAfter -lt (Get-Date).AddDays(60)}|select NotAfter, Subject
Vì lý do bảo mật, bạn nên kiểm tra định kỳ kho lưu trữ tin cậy chứng chỉ trên máy tính của mình để tìm các chứng chỉ đáng ngờ và bị thu hồi bằng cách sử dụng Sigcheck dụng cụ. Công cụ này cho phép bạn so sánh danh sách chứng chỉ được cài đặt trên máy tính với danh sách chứng chỉ gốc trên trang web của Microsoft (bạn có thể tải xuống tệp ngoại tuyến có chứng chỉ cập nhật authrootstl.cab).
Bạn có thể chuyển tệp chứng chỉ gốc giữa các máy tính Windows theo cách thủ công bằng cách sử dụng tùy chọn Xuất / Nhập.
- Bạn có thể xuất bất kỳ chứng chỉ nào sang tệp .CER bằng cách nhấp vào chứng chỉ đó và chọn Tất cả nhiệm vụ -> Xuất;
- Bạn có thể nhập chứng chỉ này trên một máy tính khác bằng cách sử dụng tùy chọn Tất cả Công việc -> Nhập.
Làm cách nào để tắt / bật cập nhật chứng chỉ gốc tự động trong Windows?
Như chúng tôi đã đề cập, Windows tự động cập nhật chứng chỉ gốc. Bạn có thể bật hoặc tắt gia hạn chứng chỉ trong Windows thông qua GPO hoặc sổ đăng ký.
Mở Local Group Policy Editor (gpedit.msc) và đi tới Cấu hình Máy tính -> Mẫu Quản trị -> Hệ thống -> Quản lý Truyền thông Internet -> Truyền thông Internet.
Tắt cập nhật chứng chỉ gốc tự động trong phần này cho phép bạn tắt tính năng tự động cập nhật chứng chỉ gốc thông qua các trang web Windows Update. Theo mặc định, chính sách này không được định cấu hình và Windows luôn cố gắng tự động gia hạn chứng chỉ gốc.
Nếu tùy chọn GPO này không được định cấu hình và chứng chỉ gốc không được tự động gia hạn, hãy kiểm tra xem cài đặt này có được bật theo cách thủ công trong sổ đăng ký hay không. Kiểm tra giá trị của tham số đăng ký bằng PowerShell:
Get-ItemProperty -Path 'HKLM:\Software\Policies\Microsoft\SystemCertificates\AuthRoot' -Name DisableRootAutoUpdate
Nếu lệnh trả về giá trị của DisableRootAutoUpdate tham số đăng ký là 1 , thì việc cập nhật chứng chỉ gốc sẽ bị tắt trên máy tính của bạn. Để bật nó, hãy thay đổi giá trị tham số thành 0.
Certutil:Tải xuống Chứng chỉ gốc đáng tin cậy từ Windows Update
Certutil.exe Công cụ CLI có thể được sử dụng để quản lý chứng chỉ (được giới thiệu trong Windows 10, đối với Windows 7 có sẵn dưới dạng bản cập nhật riêng biệt). Nó có thể được sử dụng để tải xuống danh sách cập nhật các chứng chỉ gốc từ Windows Update và lưu nó vào tệp SST.
Để tạo tệp SST trên máy tính chạy Windows 10 hoặc 11 và có quyền truy cập trực tiếp vào Internet, hãy mở dấu nhắc lệnh nâng cao và chạy lệnh:
certutil.exe -generateSSTFromWU C:\PS\roots.sst
Updated SST file. CertUtil: -generateSSTFromWU command completed successfully.
Do đó, một tệp SST chứa danh sách cập nhật các chứng chỉ gốc sẽ xuất hiện trong thư mục đích. Bấm đúp để mở nó. Tệp này là vùng chứa chứa các chứng chỉ gốc đáng tin cậy.
Như bạn có thể thấy, phần đính vào Quản lý chứng chỉ quen thuộc sẽ mở ra, từ đó bạn có thể xuất bất kỳ chứng chỉ nào bạn có. Trong trường hợp của tôi, đã có 358 mục trong danh sách chứng chỉ. Rõ ràng là không hợp lý khi xuất chứng chỉ và cài đặt từng chứng chỉ một.
Mẹo .certutil -syncWithWU
lệnh có thể được sử dụng để tạo các tệp chứng chỉ riêng lẻ. Các chứng chỉ thu được theo cách này có thể được triển khai cho các thiết bị Windows sử dụng GPO. Bạn có thể sử dụng tập lệnh PowerShell để cài đặt tất cả chứng chỉ từ tệp SST và thêm chúng vào danh sách chứng chỉ gốc đáng tin cậy trên máy tính:
$sstStore = ( Get-ChildItem -Path C:\ps\rootsupd\roots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root
Chạy certmgr.msc snap-in và đảm bảo rằng tất cả các chứng chỉ đã được thêm vào Tổ chức phát hành chứng chỉ gốc đáng tin cậy . Trong ví dụ của tôi trên Windows 11, số lượng chứng chỉ gốc đã tăng từ 34 lên 438.
Một bản sao sạch của Windows sau khi cài đặt chỉ chứa một số lượng nhỏ chứng chỉ trong kho lưu trữ gốc. Nếu máy tính được kết nối với Internet, phần còn lại của chứng chỉ gốc sẽ được cài đặt tự động (theo yêu cầu) nếu thiết bị của bạn truy cập trang web HTTPS hoặc chứng chỉ SSL có dấu vân tay từ Microsoft CTL trong chuỗi tin cậy của nó. Do đó, theo quy định, không cần phải thêm ngay tất cả các chứng chỉ mà Microsoft tin cậy vào kho chứng chỉ cục bộ.
Danh sách tin cậy chứng chỉ (STL) trong Windows
A Danh sách tin cậy chứng chỉ ( CTL ) chỉ đơn giản là danh sách dữ liệu (chẳng hạn như băm chứng chỉ) được ký bởi một bên đáng tin cậy (trong trường hợp này là Microsoft). Máy khách Windows tải xuống định kỳ từ Windows Update CTL này, CTL này lưu trữ các băm của tất cả các CA gốc đáng tin cậy. Cần hiểu rằng CTL này không chứa các chứng chỉ mà chỉ có các hàm băm và thuộc tính của chúng (ví dụ:Tên thân thiện). Các thiết bị Windows có thể tải xuống chứng chỉ đáng tin cậy từ Danh sách tin cậy chứng chỉ theo yêu cầu.
Bạn có thể tải xuống và cài đặt tệp CTL theo cách thủ công. Để thực hiện, hãy tải xuống tệp https://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (được cập nhật hai lần một tháng). Sử dụng bất kỳ trình lưu trữ nào (hoặc thậm chí Windows Explorer), giải nén nội dung của authrootstl.cab lưu trữ. Nó chứa một authroot.stl tệp.
Tệp Authroot.stl là một vùng chứa có danh sách các bản vẽ nhỏ chứng chỉ đáng tin cậy ở định dạng Danh sách Tin cậy Chứng chỉ.
Bạn có thể cài đặt tệp CTL này cho Tổ chức phát hành chứng chỉ gốc đáng tin cậy bằng cách sử dụng lệnh certutil:
certutil -enterprise -f -v -AddStore "Root" "C:\PS\authroot.stl"
Đã thêm
root "Trusted Root Certification Authorities" CTL 0 added to store. CertUtil: -addstore command completed successfully.
Bạn cũng có thể nhập chứng chỉ bằng bảng điều khiển quản lý chứng chỉ ( Trust Root Tổ chức phát hành chứng chỉ -> Chứng chỉ -> Tất cả nhiệm vụ -> Nhập ). Chỉ định đường dẫn đến tệp STL của bạn với các dấu vân tay chứng chỉ.
Sau khi bạn chạy lệnh, một phần mới Danh sách chứng chỉ tin cậy sẽ xuất hiện trong Tổ chức phát hành chứng chỉ gốc đáng tin cậy vùng chứa của bảng điều khiển Trình quản lý chứng chỉ (certmgr.msc
).
Theo cách tương tự, bạn có thể tải xuống và cài đặt danh sách các chứng chỉ bị thu hồi (không được phép) đã bị xóa khỏi Chương trình chứng chỉ gốc. Để thực hiện, hãy tải xuống disallowedcertstl.cab (https://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), giải nén và thêm nó vào kho lưu trữ Chứng chỉ Không tin cậy bằng lệnh:
certutil -enterprise -f -v -AddStore disallowed "C:\PS\disallowedcert.stl"
Cập nhật chứng chỉ gốc đáng tin cậy qua GPO trong môi trường cô lập
Nếu bạn có nhiệm vụ cập nhật thường xuyên chứng chỉ gốc trong miền Active Directory cách ly với Internet, có một sơ đồ phức tạp hơn một chút để cập nhật kho chứng chỉ cục bộ trên máy tính tham gia miền bằng Chính sách nhóm. Bạn có thể định cấu hình cập nhật chứng chỉ gốc trên máy tính người dùng trong mạng Windows đã ngắt kết nối theo một số cách.
Cách đầu tiên giả sử rằng bạn thường xuyên tải xuống và sao chép thủ công một tệp có chứng chỉ gốc vào mạng bị cô lập của mình. Bạn có thể tải xuống tệp với các chứng chỉ gốc của Microsoft hiện tại như sau:
certutil.exe –generateSSTFromWU roots.sst
Sau đó, các chứng chỉ gốc từ tệp này có thể được triển khai thông qua SCCM hoặc tập lệnh Khởi động PowerShell trong GPO:
$sstStore = (Get-ChildItem -Path \\fr-dc01\SYSVOL\woshub.com\rootcert\roots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root
Cách thứ hai là tải xuống chứng chỉ gốc của Microsoft thực bằng lệnh:
Certutil -syncWithWU -f \\fr-dc01\SYSVOL\woshub.com\rootcert\
Một số tệp chứng chỉ gốc (định dạng tệp CRT) sẽ xuất hiện trong thư mục mạng chia sẻ được chỉ định (bao gồm các tệp authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt).
Sau đó, sử dụng Tùy chọn chính sách nhóm để thay đổi giá trị của tham số đăng ký RootDirURL trong HKLM \ Software \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate . Tham số này sẽ trỏ đến thư mục mạng chia sẻ mà từ đó máy tính Windows của bạn sẽ nhận được chứng chỉ gốc mới. Chạy bảng điều khiển miền GPMC.msc, tạo GPO mới, chuyển sang chế độ chỉnh sửa chính sách và mở rộng phần Cấu hình máy tính -> Tùy chọn -> Cài đặt Windows -> Đăng ký . Tạo thuộc tính đăng ký mới với các cài đặt sau:
- Hành động :Cập nhật
- Hive :HKLM
- Đường dẫn chính :Software \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate
- Tên giá trị :RootDirURL
- Loại :REG_SZ
- Dữ liệu giá trị :file:// \\ fr-dc01 \ SYSVOL \ woshub.com \ rootcert \
Vẫn liên kết chính sách này trên đơn vị tổ chức của máy tính và sau khi cập nhật cài đặt GPO trên máy khách, hãy kiểm tra các chứng chỉ gốc mới trong certstore.
Tham số GPO Tắt cập nhật chứng chỉ gốc tự động trong Cấu hình Máy tính -> Mẫu Quản trị -> Hệ thống -> Quản lý Giao tiếp Internet -> Cài đặt Giao tiếp Internet nên bị tắt hoặc không được định cấu hình.Cách cập nhật Chứng chỉ gốc đáng tin cậy trong Windows 7?
Mặc dù Windows 7 hiện đang ở giai đoạn Kết thúc Hỗ trợ, nhiều người dùng và công ty vẫn sử dụng nó.
Sau khi cài đặt ảnh Windows 7 sạch, bạn có thể thấy rằng nhiều chương trình và công cụ hiện đại không hoạt động trên nó khi chúng được ký bằng chứng chỉ mới. Cụ thể, đã có những phàn nàn rằng không thể cài đặt .Net Framework 4.8 hoặc Microsoft Visual Studio (vs_Community.exe) trên Windows 7 SP1 x64 mà không cập nhật chứng chỉ gốc.
The installer manifest failed signature validation.
Hoặc
NET Framework has not been installed because a certificate chain could not be built to a trusted root authority.
Để cập nhật chứng chỉ gốc trong Windows 7, trước tiên bạn phải tải xuống và cài đặt bản cập nhật MSU KB2813430 (https://support.microsoft.com/en-us/topic/an-update-is-available-that-enables-administrators-to-update-trusted-and-disallowed-ctls-in-disconnected-enosystem-in -windows-0c51c702-fdcc-f6be-7089-4585fad729d6)
Sau đó, bạn có thể sử dụng certutil để tạo tệp SST với chứng chỉ gốc (trên máy tính hiện tại hoặc máy tính khác):
certutil.exe -generateSSTFromWU c:\ps\roots.sst
Giờ đây, bạn có thể nhập chứng chỉ vào những chứng chỉ đáng tin cậy:
Chạy MMC -> thêm snap-in -> chứng chỉ -> tài khoản máy tính> máy tính cục bộ. Nhấp chuột phải vào Cơ quan cấp chứng chỉ gốc đáng tin cậy, Tất cả nhiệm vụ -> Nhập, tìm tệp SST của bạn (trong loại tệp, hãy chọn Microsoft Serialized Certificate Store - * .sst ) -> Mở -> Đặt tất cả chứng chỉ vào cửa hàng sau -> Tổ chức phát hành chứng chỉ gốc đáng tin cậy.
Cập nhật Chứng chỉ gốc trên Windows XP bằng Công cụ Rootsupd.exe
Trong Windows XP, rootupd.exe tiện ích được sử dụng để cập nhật chứng chỉ gốc của máy tính. Danh sách các chứng chỉ gốc và bị thu hồi trong đó được cập nhật thường xuyên. Công cụ được phân phối dưới dạng bản cập nhật riêng biệt KB931125 (Cập nhật cho Chứng chỉ gốc). Hãy xem liệu chúng ta có thể sử dụng nó ngay bây giờ không.
- Tải xuống rootupd.exe tiện ích sử dụng liên kết sau
https://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/ Juniorupd.exe. Hiện tại (tháng 1 năm 2021) liên kết không hoạt động, Microsoft đã quyết định xóa nó khỏi công chúng. Hôm nay, bạn có thể tải xuống rootupd.exe từ trang web của Kaspersky - https://media.kaspersky.com/utilities/CorporateUtilities/THERupd.zip; - Để cài đặt chứng chỉ gốc của Windows, chỉ cần chạy rootupd.exe tập tin. Nhưng chúng tôi sẽ cố gắng kiểm tra nội dung của nó cẩn thận hơn. Giải nén chứng chỉ từ tệp thực thi bằng lệnh:
rootsupd.exe /c /t: C:\PS\rootsupd
- Chứng chỉ được lưu trữ trong các tệp SST, như authoners.sst, delroot.sst, v.v. Để xóa hoặc cài đặt chứng chỉ, bạn có thể sử dụng các lệnh sau:
updroots.exe authroots.sst
updroots.exe -d delroots.sst
Tuy nhiên , như bạn có thể thấy, các tệp chứng chỉ này được tạo vào ngày 4 tháng 4 năm 2013 (gần một năm trước khi kết thúc hỗ trợ chính thức cho Windows XP). Do đó, kể từ đó công cụ này đã không được cập nhật và không thể được sử dụng để cài đặt các chứng chỉ cập nhật.
Tuy nhiên, bạn có thể sử dụng công cụ cerutil trong Windows 10/11 để tải xuống root.sst, sao chép tệp đó trong Windows XP và cài đặt chứng chỉ bằng updTHER.exe:
updroots.exe c:\temp\roots.sst
Trong bài viết này, chúng tôi đã xem xét một số cách để cập nhật chứng chỉ gốc đáng tin cậy trên các máy tính mạng Windows được cách ly với Internet (môi trường bị ngắt kết nối).