корневой сертификат microsoft windows 7
Ручное обновление корневых сертификатов на Windows
Актуальные системы семейства Windows, подключенные к Интернету, могут автоматически обновлять корневые сертификаты. В противном случае, обновление необходимо выполнять вручную. Если это не делать, мы можем столкнуться с рядом проблем:
Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживания компанией Microsoft (Windows XP, 7, а также Server 2003, 2008).
Обновление сертификатов
Обновление доверенных корневых сертификатов выполняется во время обновления операционной системы. Если последнее включено, то нашего участия не требуется, иначе, можно установить обновление вручную. Пример такого пакета — KB931125.
Однако, если операционная система устарела, разработчик прекращает выпуск обновлений, и мы не можем воспользоваться средствами обновления системы. В таком случае, необходимо сделать выгрузку корневых сертификатов на актуальной системе и перенести их на устаревший.
Получение актуальных сертификатов
Для начала, выгрузим сертификаты на компьютере с актуальной версией Windows (10) и подключением к сети Интернет.
Создадим каталог, в который будет выгружен файл с корневыми сертификатами, например, C:\CA (папка CA на диске C).
Открываем командную строку от администратора и вводим команду:
* где C:\CA — каталог, который мы создали; roots.sst — файл, в который будут выгружены сертификаты.
* если мы получили ошибку Не удается найти указанный файл. 0x80070002, то необходимо убедиться, что каталог CA создан (в нашем примере в корне диска С).
В папке C:\CA мы должны увидеть файл roots.sst.
Установка/обновление корневых сертификатов
Полученный на предыдущем этапе файл переносим на компьютер, где необходимо обновить доверенные корневые сертификаты, например, также в папку C:\CA. Скачиваем утилиту rootsupd и распаковываем ее в этот же каталог.
Открываем командную строку от администратора и вводим команду:
C:\CA\rootsupd.exe /c /t:C:\CA
* где C:\CA — папка, в которую мы перенесли корневые сертификаты.
В появившемся окне Roots Update:
. выбираем No, чтобы не переписывать наш файл roots.sst.
В папке C:\CA должны появится новые файлы, в том числе, утилита updroots. Вводим теперь команду:
Корневой сертификат Microsoft истекает в этом месяце, но компания просит его не удалять
По информации Bleeping Computer, в конце этого месяца закончится срок действия корневого сертификата некоторых версий Windows, включая XP/2000/Server 2003/Windows 7/Vista/Server 2008/Server 2008 R2. Microsoft просит системных администраторов не удалять корневые сертификаты Windows с истекшими сроками действия. Они необходимы для корректной работы ОС, а их отсутствие может вызвать сбой системы.
Эта просьба компании также относится к корневому сертификату Microsoft Root Authority, который закончится 31 декабря 2020 года.
Проверить срок действия корневых сертификатов в Windows можно в хранилище сертификатов (панель управления, вкладка «Содержимое», кнопка «Сертификаты). В Windows 7/10 это можно также сделать с помощью утилиты Certmgr.exe (средство диспетчера сертификатов) или Certmgr.msc.
У всех корневых сертификатов есть срок действия, по истечению которого они и все полученные на их основе сертификаты становятся недействительными. Но обычно это не проблема, так как производители ПО и устройств своевременно выпускают обновление, заменяющее истекший корневой сертификат на новый с другим сроком действия. Если это не произойдет, то пользовательские устройства, например, больше не смогут устанавливать безопасные интернет-соединения, поскольку защита, обеспечиваемая корневым сертификатом, была нарушена.
Microsoft не пояснила, когда будет выпущен новый корневой сертификат взамен текущего. Компания предупредила, что в любом случае сертификаты с истекшим сроком действия все еще используются Windows для обратной совместимости и никогда не должны удаляться из системы. Даже если в системе есть доверенный корневой сертификат с истекшим сроком действия, то все, что было подписано с использованием этого сертификата до даты истечения срока действия, требует, чтобы этот доверенный корневой сертификат был подтвержден в системе.
Microsoft уточнила, что если сертификаты с истекшим сроком действия не отозваны, то их можно использовать для проверки всего, что было подписано ими до истечения срока их действия.
14 января 2020 года закончился период расширенной поддержки операционной системы Windows 7. Компьютеры под ее управлением продолжат работать, но производитель ОС не гарантирует их безопасность и советует перейти на Windows 10. Microsoft будет до 10 января 2023 года платно поддерживать Windows 7 для участников программы расширенных обновлений безопасности (Extended Security Updates program — ESU).
Обновление корневых сертификатов в Windows
В операционных системах семейства Windows, начиная с Windows 7, присутствует система автоматического обновления корневых сертификатов с сайта Microsoft. MSFT в рамках программы Microsoft Trusted Root Certificate Program, ведет и публикует в своем онлайн хранилище список сертификатов для клиентов и устройств Windows. В том, случае если проверяемый сертификат в своей цепочке сертфикации относится к корневому CA, который участвует в этой программе, система автоматически скачает с узла Windows Update и добавит такой корневой сертификат в доверенные.
В том случае, если у Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневой сертификат, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия), либо с установкой / запуском подписанных приложений или скриптов.
В этой статье попробуем разобраться, как можно вручную обновить список корневых сертификатов в TrustedRootCA в изолированных системах, или системах без прямого подключения к интернету.
Утилита rootsupd.exe
В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe, список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates). Посмотрим, можно ли использовать ли ее сейчас.
Но, как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до окончания официальной поддержки Windows XP). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов.
Получения списка корневых сертификатов с узла Windows Update с помощью Certutil
Последняя версия утилиты для управления и работы с сертификатам Certutil (представленная в Windows 10), позволяет скачать и сохранить в SST файл актуальный список корневых сертификатов.
Для генерации SST файла, на компьютере Windows 10 с прямым доступом в Интернет, выполните с правами администратора команду:
В результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий сертификаты.
Как вы видите, откроется знакомая оснастка управления сертификатами, из которой вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 358 элементов. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.
Для установки всех сертификатов, содержащихся в файле, воспользуемся утилитой updroots.exe (она содержится в архиве rootsupd.exe, который мы распаковали в предыдущем разделе).
Установка сертификатов из STT фалйла выполняется командой:
Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority.
Список корневых сертификатов в формате STL
Есть еще один способ получения списка сертификатов с сайта Microsoft. Для этого нужно скачать файл http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (обновляется дважды в месяц).С помощью любого архиватора (или проводника Windows) распакуйте содержимое архива authrootstl.cab. Он содержит один файл authroot.stl.
Файл authroot.stl представляет собой контейнер со списком доверенных сертификатов в формате Certification Trust List.
Данный файл можно установить в системе с помощью контекстного меню файла STL (Install CTL).
Или с помощью утилиты certutil:
После выполнения команды, в консоли управления сертификатами (certmgr.msc) в контейнере Trusted Root Certification Authorities появится новый раздел с именем Certificate Trust List.
Аналогичным образом можно скачать и установить список с отозванными сертификатами, которые были исключены из программы Root Certificate Program. для этого, скачайте файл disallowedcertstl.cab (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), распакуйте его и добавьте в раздел Untrusted Certificates командой:
В это статье мы рассмотрели несколько простейших способов обновления списка корневых сертификатов на изолированной от Интернета системе Windows. В том случае, если возникла задача регулярного обновления корневых сертификатов в отделенном от внешней сети домене, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. Об этом подробнее в одной из ближайших статей.
Необходимые надежные корневые сертификаты
В этой статье перечислены надежные корневые сертификаты, необходимые для Windows операционных систем. Эти надежные корневые сертификаты необходимы для правильной работы операционной системы.
Применяется к: Windows 7 Пакет обновления 1, Windows Server 2012 R2
Исходный номер КБ: 293781
Сводка
В рамках процедуры управления доверием к общедоступным ключам (PKI) некоторые администраторы могут принять решение удалить надежные корневые сертификаты из домена, сервера или клиента Windows на основе Windows. Однако корневые сертификаты, перечисленные в разделе Необходимые и надежные корневые сертификаты в этой статье, необходимы для правильной работы операционной системы. Удаление следующих сертификатов может ограничить функциональность операционной системы или привести к сбой компьютера. Не удаляйте их.
Необходимые и надежные корневые сертификаты
Необходимы и надежны следующие сертификаты:
Последующие сертификаты необходимы и доверяются Windows XP и Windows Server 2003:
| Кому выдан | Выдан | Серийный номер | Срок действия | Назначения | Понятное имя | Статус |
|---|---|---|---|---|---|---|
| Copyright (c) 1997 Microsoft Corp. | Copyright (c) 1997 Microsoft Corp. | 01 | 12/30/1999 | Штамповка времени | Microsoft Timestamp Root | R |
| Корневой орган Microsoft Authenticode ™ | Корневой орган Microsoft Authenticode ™ | 01 | 12/31/1999 | Безопасность электронной почты, подписание кода | Корень Microsoft Authenticode ™ | R |
| Корневой орган Майкрософт | Корневой орган Майкрософт | 00c1008b3c3c8811d13ef663ecdf40 | 12/31/2020 | Все | Корневой орган Майкрософт | R |
| НЕТ ОТВЕТСТВЕННОСТИ ПРИНЯТО, (c)97 VeriSign, Inc. | НЕТ ОТВЕТСТВЕННОСТИ ПРИНЯТО, (c)97 VeriSign, Inc. | 4a19d2388c82591ca55d735f155ddca3 | 1/7/2004 | Штамповка времени | VeriSign Time Stamping CA | R |
| VeriSign Коммерческие издатели программного обеспечения CA | VeriSign Коммерческие издатели программного обеспечения CA | 03c78f37db9228df3cbb1aad82fa6710 | 1/7/2004 | Безопасность электронной почты, подписание кода | VeriSign Коммерческие издатели программного обеспечения CA | R |
| Thawte Timestamping CA | Thawte Timestamping CA | 00 | 12/31/2020 | Штамповка времени | Thawte Timestamping CA | R |
| Microsoft Root Certificate Authority | Microsoft Root Certificate Authority | 79ad16a14aa0a5ad4c7358f407132e65 | 5/9/2021 | Все | Microsoft Root Certificate Authority | R |
Последующие сертификаты необходимы и доверяются в Microsoft Windows 2000:
| Кому выдан | Выдан | Серийный номер | Срок действия | Назначения | Понятное имя | Статус |
|---|---|---|---|---|---|---|
| Copyright (c) 1997 Microsoft Corp. | Copyright (c) 1997 Microsoft Corp. | 01 | 12/30/1999 | Штамповка времени | Microsoft Timestamp Root | R |
| Корневой орган Microsoft Authenticode ™ | Корневой орган Microsoft Authenticode ™ | 01 | 12/31/1999 | Безопасность электронной почты, подписание кода | Корень Microsoft Authenticode ™ | R |
| Корневой орган Майкрософт | Корневой орган Майкрософт | 00c1008b3c3c8811d13ef663ecdf40 | 12/31/2020 | Все | Корневой орган Майкрософт | R |
| НЕТ ОТВЕТСТВЕННОСТИ ПРИНЯТО, (c)97 VeriSign, Inc. | НЕТ ОТВЕТСТВЕННОСТИ ПРИНЯТО, (c)97 VeriSign, Inc. | 4a19d2388c82591ca55d735f155ddca3 | 1/7/2004 | Штамповка времени | VeriSign Time Stamping CA | R |
| VeriSign Коммерческие издатели программного обеспечения CA | VeriSign Коммерческие издатели программного обеспечения CA | 03c78f37db9228df3cbb1aad82fa6710 | 1/7/2004 | Безопасность электронной почты, подписание кода | VeriSign Коммерческие издатели программного обеспечения CA | R |
| Thawte Timestamping CA | Thawte Timestamping CA | 00 | 12/31/2020 | Штамповка времени | Thawte Timestamping CA | R |
Истек срок действия некоторых сертификатов, перечисленных в предыдущих таблицах. Однако эти сертификаты необходимы для обратной совместимости. Даже если имеется просроченный надежный корневой сертификат, все, что было подписано с помощью этого сертификата до истечения срока действия, требует проверки доверенного корневого сертификата. До тех пор, пока сертификаты с истекшим сроком действия не отозваны, их можно использовать для проверки всего, что было подписано до истечения срока действия.
Корневой сертификат microsoft windows 7
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Ответы
Пакет должен устанавливаться через Каталог Центра обновления Windows, выбором соответствующего обновления.
Пробуйте отключить на время установки обновления Корневых сертификатов, установленную на Вашем устройстве антивирусную программу.
Так же проверьте, что установленный на Вашем устройстве брандмауэр, не блокирует правильную работу установщика Windows.
Да, я Жук, три пары лапок и фасеточные глаза :))
Все ответы
Вы конечно меня простите, но поддержка Ваша техническая паршивая довольно таки. Столько времени прошло и ни одного ответа, а жаль.
Roman Levchenko, MCITP, MCTS http://www.rlevchenko.com
1) Всё есть, но сертификаты недействительны, несмотря на то, что дата истечения срока ещё не наступила.
2) В том то и проблема, что не знаю как его установить. Всё что делал с этим обновлением описал выше.
1) Всё есть, но сертификаты недействительны, несмотря на то, что дата истечения срока ещё не наступила.
2) В том то и проблема, что не знаю как его установить. Всё что делал с этим обновлением описал выше.