В Windows корневые сертификаты автоматически обновляются через Windows Update в рамках программы Microsoft Trusted Root Certificate Program. Это обеспечивает доверие к SSL-сертификатам сайтов и подписанным приложениям. Однако в изолированных сетях или при отсутствии интернета автоматическое обновление невозможно, что может привести к ошибкам, например, Этот сайт не может обеспечить безопасное соединение в браузере или проблемам с запуском подписанных программ. В этой статье мы разберём, как вручную обновить корневые сертификаты в Windows 10/11, Windows 7 и Windows XP, а также как настроить их обновление через GPO в доменных сетях.
Зачем обновлять корневые сертификаты
Корневые сертификаты используются для проверки цепочки доверия SSL-сертификатов сайтов, приложений и скриптов. Без актуальных сертификатов могут возникнуть проблемы:
— Ошибки при доступе к HTTPS-сайтам.
— Невозможность установки программ, подписанных новыми сертификатами (например, .NET Framework 4.8).
— Ошибки выполнения подписанных PowerShell-скриптов.
Windows запрашивает обновления списка доверия (CTL) еженедельно, но без доступа к Windows Update это не работает.
Управление корневыми сертификатами в Windows
Просмотр хранилища сертификатов
1. Открытие консоли MMC
— Запустите mmc.exe с правами администратора.
— Выберите Файл -> Добавить или удалить оснастку.
— Добавьте оснастку Сертификаты, выберите Учётная запись компьютера -> Локальный компьютер.
— Разверните Сертификаты -> Доверенные корневые центры сертификации -> Сертификаты.
2. Просмотр сертификатов через PowerShell
Выведите список корневых сертификатов:
Get-ChildItem -Path Cert:\LocalMachine\Root | Format-List
Найдите сертификаты, истекающие в ближайшие 30 дней:
Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.NotAfter -lt (Get-Date).AddDays(30)} | Select-Object NotAfter, Subject
3. Проверка подлинности сертификатов
Используйте утилиту Sigcheck от Sysinternals для сравнения локальных сертификатов с актуальным списком Microsoft (файл authrootstl.cab).
Экспорт и импорт сертификатов
1. Экспорт сертификата
— В оснастке Сертификаты щёлкните правой кнопкой по сертификату -> Все задачи -> Экспорт.
— Сохраните файл в формате .CER.
2. Импорт сертификата
— На целевом компьютере выберите Все задачи -> Импорт.
— Укажите путь к файлу .CER и выберите хранилище Доверенные корневые центры сертификации.
Включение/отключение автоматического обновления
Автоматическое обновление корневых сертификатов включено по умолчанию. Его можно настроить через GPO или реестр.
1. Настройка через GPO
— Откройте gpedit.msc или редактор групповых политик.
— Перейдите в Конфигурация компьютера -> Административные шаблоны -> Система -> Управление связью через Интернет -> Параметры связи через Интернет.
— Найдите параметр Отключить автоматическое обновление корневых сертификатов.
— Установите Не настроено или Отключено для включения обновлений.
2. Настройка через реестр
Проверьте параметр:
Get-ItemProperty -Path 'HKLM:\Software\Policies\Microsoft\SystemCertificates\AuthRoot' -Name DisableRootAutoUpdate
Если DisableRootAutoUpdate = 1, обновление отключено.
Включите его:
Set-ItemProperty -Path 'HKLM:\Software\Policies\Microsoft\SystemCertificates\AuthRoot' -Name DisableRootAutoUpdate -Value 0
Ручное обновление корневых сертификатов
Для изолированных систем используйте утилиту certutil или файл authrootstl.cab.
Метод 1: Использование certutil
1. Генерация SST-файла
На компьютере с интернетом выполните:
certutil.exe -generateSSTFromWU C:\PS\roots.sst
Файл roots.sst содержит актуальный список сертификатов.
2. Импорт сертификатов
Перенесите roots.sst на целевой компьютер и импортируйте:
$sstStore = Get-ChildItem -Path C:\PS\roots.sst
$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root
3. Проверка результата
Откройте certmgr.msc и убедитесь, что сертификаты добавлены в Доверенные корневые центры сертификации.
Метод 2: Использование authrootstl.cab
1. Загрузка файла
Скачайте файл authrootstl.cab с сайта Microsoft.
2. Извлечение STL-файла
Распакуйте authrootstl.cab с помощью архиватора или Проводника. Получите файл authroot.stl.
3. Установка STL
Импортируйте файл:
certutil -enterprise -f -v -AddStore "Root" "C:\PS\authroot.stl"
Или через certmgr.msc:
— Выберите Доверенные корневые центры сертификации -> Сертификаты -> Все задачи -> Импорт.
— Укажите authroot.stl и хранилище Доверенные корневые центры сертификации.
4. Проверка
В certmgr.msc появится раздел Список доверия сертификатов.
Метод 3: Обновление отозванных сертификатов
1. Загрузка disallowedcertstl.cab
Скачайте файл disallowedcertstl.cab
2. Установка
Распакуйте и импортируйте:
certutil -enterprise -f -v -AddStore disallowed "C:\PS\disallowedcert.stl"
Сертификаты появятся в Недоверенные сертификаты.
Обновление сертификатов через GPO в изолированных сетях
Для доменов Active Directory без интернета настройте обновление через GPO.
1. Метод 1: Распространение SST-файла
— Сгенерируйте roots.sst на компьютере с интернетом:
certutil.exe -generateSSTFromWU \\dc01\SYSVOL\softcomputers.org\rootcert\roots.sst
— Настройте скрипт входа через GPO для импорта:
$sstStore = Get-ChildItem -Path \\dc01\SYSVOL\softcomputers.org\rootcert\roots.sst
$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root
2. Метод 2: Использование syncWithWU
— Скачайте сертификаты:
certutil -syncWithWU -f \\dc01\SYSVOL\softcomputers.org\rootcert\
— Настройте параметр реестра RootDirURL через GPP:
— Откройте Конфигурация компьютера -> Параметры -> Параметры Windows -> Реестр.
— Создайте параметр:
— Действие: Обновить
— Раздел: HKLM
— Путь: Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
— Имя: RootDirURL
— Тип: REG_SZ
— Значение: file://\\dc01\SYSVOL\softcomputers.org\rootcert\
3. Проверка GPO
— Убедитесь, что политика Отключить автоматическое обновление корневых сертификатов не включена.
— После применения GPO проверьте хранилище в certmgr.msc.
Обновление сертификатов в Windows 7
В Windows 7 без обновлённых сертификатов могут не работать современные программы, например, .NET Framework 4.8 или Visual Studio, с ошибкой installer manifest failed signature validation.
1. Установка обновления
Скачайте и установите обновление KB2813430 для Windows 7.
2. Генерация и импорт SST
— Сгенерируйте roots.sst на другом компьютере:
certutil.exe -generateSSTFromWU C:\PS\roots.sst
— Импортируйте через certmgr.msc:
— Доверенные корневые центры сертификации -> Все задачи -> Импорт.
— Выберите roots.sst (тип файла: Microsoft Serialized Certificate Store (*.sst)).
Обновление сертификатов в Windows XP
Для Windows XP использовалась утилита rootsupd.exe (обновление KB931125). Однако её поддержка прекращена в 2013 году, и она не содержит актуальных сертификатов.
1. Загрузка утилиты
Скачайте rootsupd.exe с сайта Kaspersky
2. Извлечение содержимого
Распакуйте:
rootsupd.exe /c /t:C:\PS\rootsupd
Получите файлы authroots.sst, delroots.sst и другие.
3. Установка сертификатов
Используйте updroots.exe:
updroots.exe authroots.sst
Удалите отозванные сертификаты:
updroots.exe -d delroots.sst
Рекомендации
— Регулярно проверяйте хранилище сертификатов на наличие поддельных записей с помощью Sigcheck.
— В изолированных сетях используйте GPO для централизованного обновления.
— Не импортируйте все сертификаты, если они не требуются, чтобы минимизировать риски.
— Для Windows XP используйте rootsupd.exe только как временное решение из-за устаревших данных.
— Создавайте резервные копии хранилища сертификатов перед изменениями.
Эти методы позволяют обновить корневые сертификаты в Windows, обеспечивая безопасность SSL-соединений и работу подписанных приложений даже в изолированных средах.
