Todas las versiones de Windows tienen una función incorporada para actualizar automáticamente los certificados raíz de los sitios web de Microsoft. Como parte de la Programa de certificado raíz de confianza de Microsoft, MSFT mantiene y publica una lista de certificados para clientes y dispositivos Windows en su repositorio en línea. Si el certificado verificado en su cadena de certificación se refiere a la CA raíz que participa en este programa, el sistema descargará automáticamente este certificado raíz de los servidores de Windows Update y lo agregará a los de confianza.
Windows solicita una renovación de listas de certificados raíz de confianza (CTL) una vez a la semana. Si Windows no tiene acceso directo al directorio de Windows Update, el sistema no podrá actualizar los certificados raíz, por lo que un usuario puede tener algunos problemas al navegar por sitios web (qué certificados SSL están firmados por una CA no confiable – consulte el artículo sobre el «Error SSL de Chrome: este sitio no puede proporcionar una conexión segura»), o sobre la instalación / ejecución de aplicaciones y scripts firmados.
En este artículo, intentaremos averiguar cómo actualizar manualmente la lista de certificados raíz en TrustedRootCA en redes aisladas o computadoras / servidores sin una conexión directa a Internet.
Nota. Si sus computadoras acceden a Internet a través de un servidor proxy, para actualizar automáticamente los certificados raíz en las computadoras de los usuarios, Microsoft le recomienda abrir el acceso directo (omitir) a los sitios web de Microsoft. Sin embargo, no siempre es posible o aplicable debido a restricciones corporativas.
Gestión de certificados raíz de confianza en Windows 10
¿Cómo ver la lista de certificados raíz de una computadora con Windows?
- Para abrir el almacén de certificados raíz de una computadora con Windows 10 / 8.1 / 7 / Windows Server, inicie mmc.exe consola;
- Seleccione Archivo -> Agregar o quitar complemento, Seleccione Certificados (certmgr) en la lista de complementos -> Agregar;
- Seleccione que desea administrar certificados de locales Cuenta de computadora;
- Siguiente -> Aceptar -> Aceptar;
- Ampliar la Certificados nodo -> De confianza Raíz Certificación Autoridades Tienda. Esta sección contiene la lista de certificados raíz de confianza en su computadora.
También puede obtener una lista de certificados raíz de confianza con fechas de vencimiento mediante PowerShell:
Get-Childitem cert:LocalMachineroot |format-list
Puede enumerar los certificados caducados o los que caducan en los próximos 30 días:
Get-ChildItem cert:LocalMachineroot | Where {$_.NotAfter -lt (Get-Date).AddDays(40)}
En la consola de mmc, puede ver información sobre cualquier certificado o eliminarlo de los de confianza.
Puede transferir manualmente el archivo de certificado raíz entre computadoras con Windows usando la función Exportar / Importar.
- Puede exportar cualquier certificado a un archivo .CER haciendo clic en él y seleccionando Todas las tareas -> Exportar;
- Puede importar este certificado en otra computadora usando la opción Todas las tareas -> Importar.
Utilidad Rootsupd.exe
En Windows XP, el rootsupd.exe La utilidad se utilizó para actualizar los certificados raíz de la computadora. La lista de certificados raíz y revocados se actualizaba periódicamente. La utilidad se distribuyó como una actualización independiente KB931125 (Actualización para certificados raíz). Veamos si podemos usarlo ahora.
- Descargar el rootsupd.exe utilidad usando el siguiente enlace
http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe. En este momento el enlace no funciona, tal vez Microsoft decidió eliminarlo del público. Hoy puede descargar el archivo rootsupd.exe del sitio web kaspersky.com – http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip; - Para instalar los certificados raíz de Windows, simplemente ejecute el rootsupd.exe expediente. Pero intentaremos examinar su contenido con más detenimiento. Extraiga los certificados del archivo ejecutable con el comando:
rootsupd.exe /c /t: C:PSrootsupd
- Los certificados se almacenan en archivos SST, como authroots.sst, delroot.sst, etc. Para eliminar / instalar un certificado, puede utilizar los siguientes comandos:
updroots.exe authroots.sst
updroots.exe -d delroots.sst
sin emabargo, como puede ver, estos archivos de certificado se crearon el 4 de abril de 2013 (casi un año antes del final del soporte oficial de Windows XP). Por lo tanto, desde entonces, la utilidad no se ha actualizado y no se puede utilizar para instalar certificados actualizados. Un poco más tarde necesitaremos el archivo updroots.exe.
Certutil: Obtener los últimos certificados raíz de Windows Update
La última versión del Certutil.exe herramienta para administrar certificados (disponible en Windows 10), le permite descargar desde Windows Update y guardar la lista de certificados raíz real en el archivo SST.
Para generar un archivo SST, ejecute este comando con privilegios de administrador en una computadora que ejecute Windows 10 y tenga acceso directo a Internet:
certutil.exe -generateSSTFromWU roots.sst
Como resultado, un archivo SST que contiene una lista actualizada de certificados raíz aparecerá en el directorio de destino. Haz doble clic para abrirlo. Este archivo es un contenedor que contiene certificados raíz de confianza.
Como puede ver, se abre un complemento familiar de Administración de certificados, desde el cual puede exportar cualquiera de los certificados que tenga. En mi caso, ha habido 358 elementos en la lista de certificados. Evidentemente, no es racional exportar los certificados e instalarlos uno por uno.
Para instalar todos los certificados del archivo SST y agregarlos a la lista de certificados raíz de confianza en una computadora, puede usar los comandos de PowerShell:
$sstStore = ( Get-ChildItem -Path C:psrootsupdroots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:LocalMachineRoot
Para instalar todos los certificados enumerados en el archivo, use el updroots.exe (se encuentra en el archivo rootsupd.exe, que se extrajo en la sección anterior).
updroots.exe roots.sst
Ejecutar el certmgr.msc complemento y asegúrese de que todos los certificados se hayan agregado al Autoridad de certificación raíz de confianza.
La lista de certificados raíz en formato STL
Hay otra forma de obtener la lista de certificados raíz del sitio web de Microsoft. Para hacerlo, descarga el archivo. http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (actualizado dos veces al mes). Utilizando cualquier archivador (o incluso el Explorador de Windows) desempaquetar authrootstl.cab. Contiene un archivo authroot.stl.
El archivo Authroot.stl es un contenedor con una lista de certificados de confianza en formato de Lista de certificados de confianza.
Puede instalar este archivo en el sistema utilizando el menú contextual del archivo STL (Instalar CTL).
O usando la herramienta certutil.exe:
certutil -addstore -f root authroot.stl
root "Trusted Root Certification Authorities" CTL 0 added to store. CertUtil: -addstore command completed successfully.
También puede importar certificados usando la consola de administración de certificados (Trust Root Certification Authorities -> Certificados -> Todas las tareas -> Importar). Especifique la ruta a su archivo STL con certificados.
Después de ejecutar el comando, aparece una nueva sección Lista de certificados de confianza en Autoridades de certificación raíz de confianza contenedor de la consola de Certificate Manager (certmgr.msc).
De la misma manera, puede descargar e instalar la lista de certificados revocados (no permitidos) que se han eliminado del Programa de certificados raíz. Para hacerlo, descarga disallowedcertstl.cab (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), descomprímalo y agréguelo a la sección Certificados no confiables usando este comando:
certutil -addstore -f disallowed disallowedcert.stl
Actualización de certificados raíz en Windows con GPO en un entorno aislado
Si tiene la tarea de actualizar regularmente los certificados raíz en un dominio de Active Directory aislado de Internet, existe un esquema un poco más complicado para actualizar los almacenes de certificados locales en equipos unidos a un dominio mediante políticas de grupo. Puede configurar las actualizaciones del certificado raíz en los equipos de los usuarios en las redes aisladas de Windows de varias formas.
El primero manera asume que regularmente descarga y copia manualmente a su red aislada un archivo con certificados raíz obtenidos de la siguiente manera:
certutil.exe –generateSSTFromWU roots.sst
Luego, los certificados de este archivo se pueden distribuir a través de SCCM o un script de inicio de sesión de PowerShell en GPO:
$sstStore = (Get-ChildItem -Path \fr-dc01SYSVOLwoshub.comrootcertroots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:LocalMachineRoot
La segunda forma es obtener los certificados raíz reales usando el comando:
Certutil -syncWithWU -f \fr-dc01SYSVOLwoshub.comrootcert
Aparecerán varios archivos de certificado raíz (formato de archivo CRT) en la carpeta compartida de red especificada, incluidos los archivos (authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt).
Luego, usando Preferencia de directiva de grupo, debe cambiar el valor de la RootDirURL parámetro en la clave de registro HKLM Software Microsoft SystemCertificates AuthRoot AutoUpdate. Este parámetro debe apuntar a la carpeta de red compartida desde la cual sus computadoras con Windows deben recibir nuevos certificados raíz. Ejecute la consola de GPMC del dominio, cree un nuevo GPO, cambie al modo de edición de políticas y expanda la sección Configuración de la computadora -> Preferencias -> Configuración de Windows -> Registro. Cree una nueva propiedad de registro con la siguiente configuración:
- Acción: Actualizar
- Colmena: HKLM
- Ruta clave: Software Microsoft SystemCertificates AuthRoot AutoUpdate
- Nombre de valor: RootDirURL
- Tipo: REG_SZ
- Datos de valor: archivo: // \ fr-dc01 SYSVOL woshub.com rootcert
Queda por vincular esta política en la unidad organizativa de una computadora y, después de actualizar las políticas, buscar nuevos certificados raíz en el almacén de certificados.
La política Desactivar la actualización automática de certificados raíz en Configuración de la computadora -> Plantillas administrativas -> Sistema -> Administración de comunicación de Internet -> La configuración de comunicación de Internet debe estar deshabilitada o no configurada.
En este artículo, analizamos varias formas de renovar certificados raíz de confianza en una red de Windows que está aislada de Internet.
Artículos Interesantes
Relacionados:
Contenido