Как включить доверие к сертификату
Перейти к содержимому

Как включить доверие к сертификату

  • автор:

Включение доверия для профилей сертификатов в iOS и iPadOS, установленных вручную

При ручной установке профиля, содержащего полезную нагрузку сертификата, в iOS и iPadOS этот сертификат не становится доверенным для SSL автоматически. Узнайте, как вручную включить доверие к установленному профилю сертификата.

No alt supplied for Image

Эта статья предназначена для системных администраторов учебных учреждений, предприятий и других организаций.

При установке профиля, полученного по электронной почте или загруженного с веб-сайта, доверие для SSL/TLS необходимо включать вручную.

Если требуется включить доверие SSL/TLS для такого сертификата, перейдите в раздел «Настройки» > «Основные» > «Об этом устройстве» > «Настройки доверия сертификатов». В разделе «Включить полное доверие для корневых сертификатов» включите доверие для сертификата.

Настройки доверия сертификатов на iPhone

Apple рекомендует развертывать сертификаты с помощью средств Apple Configurator или Mobile Device Management (MDM). Доверие полезных нагрузок сертификатов автоматически включается для SSL при их установке с помощью средств Configurator, MDM или в качестве части профиля регистрации MDM.

Устранение неполадок AD FS — сертификаты

для правильной работы службы федерации Active Directory (AD FS) (AD FS) требуются определенные сертификаты. Проблемы могут возникнуть, если какие-либо из этих сертификатов не настроены или настроены должным образом.

Обязательные сертификаты

Каждый из необходимых сертификатов AD FS имеет собственные требования:

  • Доверие федерации: для доверия федерации требуется одно из следующих действий:
    • Сертификат, подключенный к доверенному корневому центру сертификации Интернета ( ЦС), присутствует в доверенном корневом хранилище поставщиков утверждений (CP) и серверов федерации проверяющей стороны (RP).
    • Была реализована кросс-сертификация, и каждая сторона обменялась корневым ЦС с партнером.
    • Самозаверяющий сертификат импортировался по каждой стороне.

    Если какие-либо из предыдущих требований не настроены правильно, AD FS не будет работать.

    Общие сведения для проверка с сертификатами

    Следующий список проверка поможет устранить проблему с сертификатом:

    • Убедитесь, что сертификат является доверенным.
    • Убедитесь, что SSL-сертификаты являются доверенными клиентами.
      • Сертификаты подписывания токенов должны быть доверенными проверяющими сторонами.
      • Убедитесь, что поле точки распространения CRL (CDP) заполнено.
      • Перейдите к CDP вручную.

      Распространенные ошибки сертификатов

      В следующей таблице перечислены распространенные ошибки сертификата и возможные причины.

      Событие Причина Решение
      Событие 249. Не удалось найти сертификат в хранилище сертификатов. В сценариях отката сертификатов это может привести к сбою, если служба федерации подписывает или расшифровывает этот сертификат. Этот сертификат отсутствует в локальном хранилище сертификатов, или у учетной записи службы нет разрешения на закрытый ключ сертификата. Убедитесь, что сертификат установлен в LocalMachine\My store на сервере AD FS. Убедитесь, что у учетной записи службы AD FS есть доступ на чтение к закрытому ключу сертификата.
      Событие 315. Во время попытки создать цепочку сертификатов для сертификата подписи доверия поставщика утверждений произошла ошибка. Сертификат был отменен. Цепочка сертификатов не может быть проверена. Срок действия сертификата истек или еще не действителен. Убедитесь, что сертификат действителен и не был отменен. Убедитесь, что список отзыва сертификатов доступен.
      Событие 316. Во время попытки создать цепочку сертификатов для сертификата подписи доверия проверяющей стороны произошла ошибка. Сертификат был отменен. Цепочка сертификатов не может быть проверена. Срок действия сертификата истек или еще не действителен. Убедитесь, что сертификат действителен и не был отменен. Убедитесь, что список отзыва сертификатов доступен.
      Событие 317. Во время попытки создать цепочку сертификатов для сертификата доверия проверяющей стороны произошла ошибка. Сертификат был отменен. Цепочка сертификатов не может быть проверена. Срок действия сертификата истек или еще не действителен. Убедитесь, что сертификат действителен и не был отменен. Убедитесь, что список отзыва сертификатов доступен.
      Событие 319: произошла ошибка во время создания цепочки сертификатов для сертификата клиента. Сертификат был отменен. Цепочка сертификатов не может быть проверена. Срок действия сертификата истек или еще не действителен. Убедитесь, что сертификат действителен и не был отменен. Убедитесь, что список отзыва сертификатов доступен.
      Событие 360: запрос был выполнен в конечную точку транспорта сертификата, но запрос не включал сертификат клиента. Корневой ЦС, выдаваемый сертификатом клиента, не является доверенным. Срок действия сертификата клиента истек. Сертификат клиента самозаверяется и не является доверенным. Убедитесь, что корневой ЦС, выданный сертификатом клиента, присутствует в доверенном корневом хранилище. Убедитесь, что срок действия сертификата клиента не истек. Если сертификат клиента самозаверяется, убедитесь, что он был добавлен в список доверенных сертификатов или замените самозаверяющий сертификат доверенным сертификатом.
      Событие 374. При создании цепочки сертификатов для сертификата доверия поставщика утверждений произошла ошибка. Сертификат был отменен. Цепочка сертификатов не может быть проверена. Срок действия сертификата истек или еще не действителен. Убедитесь, что сертификат действителен и не был отменен. Убедитесь, что список отзыва сертификатов доступен.
      Событие 381. Во время попытки создать цепочку сертификатов для сертификата конфигурации произошла ошибка. Один из сертификатов, настроенных для использования на сервере AD FS, истек или был отменен. Убедитесь, что все настроенные сертификаты не были отменены и не истекли.
      Событие 385. AD FS обнаружило, что необходимо вручную обновить один или несколько сертификатов в базе данных конфигурации AD FS. Один из сертификатов, настроенных для использования на сервере AD FS, истек или приближается к дате окончания срока действия. Обновите истекший или скоро истекший срок действия сертификата с заменой. (Если вы используете самозаверяющие сертификаты и включена автоматическая смена сертификатов, вы можете игнорировать эту ошибку, так как она будет самостоятельно разрешаться.)
      Событие 387. AD FS обнаружило, что один или несколько сертификатов, указанных в службе федерации, недоступны для учетной записи службы, используемой службой AD FS Windows. У учетной записи службы AD FS нет разрешений на чтение закрытого ключа одного или нескольких настроенных сертификатов. Убедитесь, что учетная запись службы AD FS имеет разрешение на чтение закрытого ключа всех настроенных сертификатов.
      Событие 389. AD FS обнаружило, что один или несколько доверенных сертификатов требуют обновления сертификатов вручную, так как срок действия истек или истекает в ближайшее время. Срок действия одного из настроенных сертификатов партнера истек или истекает. Это событие может применяться либо к доверию поставщика утверждений, либо к доверию проверяющей стороны. Если вы вручную создали это доверие, обновите конфигурацию сертификата вручную. Если вы использовали метаданные федерации для создания доверия, сертификат будет обновляться автоматически, как только партнер обновляет сертификат.

      Дополнительные ссылки

      Допустимые сертификаты корневого ЦС, распространяемые с помощью объекта групповой политики, могут периодически отображаться как ненадежные

      В этой статье описывается временное решение проблемы, из-за которой допустимые сертификаты корневого ЦС, распространяемые с помощью объекта групповой политики, отображаются как ненадежные.

      Область действия: Windows 10 — все выпуски, Windows Server 2012 R2
      Исходный номер базы знаний: 4560600

      Симптомы

      Ненадежные проблемы с сертификатами корневого центра сертификации (ЦС) могут быть вызваны множеством проблем конфигурации PKI. В этой статье показана только одна из возможных причин ненадежного сертификата корневого ЦС.

      В различных приложениях, использующих сертификаты и инфраструктуру открытых ключей (PKI), могут возникать периодические проблемы, такие как ошибки подключения, один или два раза в день/неделю. Эти проблемы возникают из-за неудачной проверки сертификата конечной сущности. Затронутые приложения могут возвращать различные ошибки подключения, но все они будут иметь распространенные ошибки корневого сертификата. Ниже приведен пример такой ошибки:

      Hex Десятичное число Символические Версия текста
      0x800b0109 -2146762487 (CERT_E_UNTRUSTEDROOT) Цепочка сертификатов обработана, но завершена в корневом сертификате

      На любое приложение с поддержкой PKI, использующее системную архитектуру CryptoAPI , может повлиять временная потеря подключения или сбой в функциональных возможностях, зависимых от PKI/сертификата. По состоянию на апрель 2020 г. список приложений, которые, как известно, затронуты этой проблемой, включает в себя, но, скорее всего, не ограничивается следующими:

      • Citrix
      • Служба удаленных рабочих столов (RDS)
      • Skype
      • Веб-браузеры

      Администраторы могут выявлять и устранять ненадежные проблемы с сертификатами корневого ЦС, проверяя журнал CAPI2.

      Сосредоточьте свои усилия по устранению неполадок с ошибками цепочки сборки или проверки политики цепочки в журнале CAPI2, содержащего следующие подписи. Например:

      Ошибка CAPI2 11 Build Chain
      Ошибка CAPI2 30 Проверка политики цепочки

      Результирующая цепочка сертификатов обработана, но завершается корневым сертификатом, который не является доверенным поставщиком доверия.
      [значение] 800b0109

      Причина

      Если сертификат корневого ЦС распространяется с помощью следующего групповая политика (GP), могут возникнуть проблемы с сертификатом корневого ЦС.

      Конфигурация компьютера>Параметры> Windows Параметры безопасности>Политики открытых ключей>Доверенные корневые центры сертификации

      Сведения о первопричине

      При распространении сертификата корневого ЦС с помощью объекта групповой HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates политики содержимое будет удалено и записано снова. Это удаление выполняется по принципу, так как GP применяет изменения реестра.

      Изменения в области реестра Windows, зарезервированного для сертификатов корневого ЦС, будут уведомлять компонент API шифрования клиентского приложения. Приложение начнет синхронизироваться с изменениями реестра. Синхронизация позволяет поддерживать приложения в актуальном состоянии и учитывать актуальный список действительных сертификатов корневого ЦС.

      В некоторых сценариях групповая политика обработка займет больше времени. Например, многие сертификаты корневого ЦС распространяются через объект групповой политики (аналогично брандмауэру или Applocker политикам). В этих сценариях приложение может не получить полный список доверенных корневых сертификатов ЦС.

      По этой причине сертификаты конечных сущностей, которые связаны с отсутствующим сертификатом корневого ЦС, будут отображаться как ненадежные. Также будут возникать различные проблемы, связанные с сертификатами. Эта проблема временная и может быть временно устранена путем повторной обработки или перезагрузки объекта групповой политики.

      Если сертификат корневого ЦС публикуется с помощью альтернативных методов, проблемы могут не возникнуть из-за описанной выше ситуации.

      Обходной путь

      Корпорация Майкрософт знает об этой проблеме и работает над улучшением интерфейса API шифрования и сертификатов в будущей версии Windows.

      Чтобы устранить эту проблему, избегайте распространения сертификата корневого ЦС с помощью объекта групповой политики. Он может включать в себя выбор расположения реестра ( HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates например) для доставки корневого сертификата ЦС клиенту.

      При хранении сертификата корневого ЦС в другом физическом хранилище сертификатов корневого ЦС необходимо устранить проблему.

      Примеры альтернативных методов публикации сертификатов корневого ЦС

      Метод 1. Используйте средство командной строки и certutil корневой сертификат ЦС, хранимый в файле rootca.cer:

      certutil -addstore root c:\tmp\rootca.cer 

      Эту команду могут выполнять только локальные администраторы, и она будет влиять только на один компьютер.

      Метод 2. Запустите файл certlm.msc (консоль управления сертификатами для локального компьютера) и импортируйте сертификат корневого ЦС в физическое хранилище реестра .

      Снимок экрана консоли управления сертификатами, в которой выбран параметр

      Консоль certlm.msc может быть запущена только локальными администраторами. Кроме того, импорт повлияет только на один компьютер.

      Метод 3. Публикация сертификата корневого ЦС с помощью параметров объекта групповой политики, как описано в групповая политика настройках

      Чтобы опубликовать сертификат корневого ЦС, выполните следующие действия.

      Снимок экрана: групповая политика редактора управления с выбранным корневым сертификатом.

      1. Вручную импортируйте корневой сертификат на компьютер с помощью команды certutil -addstore root c:\tmp\rootca.cer (см. метод 1).
      2. Откройте файл GPMC.msc на компьютере, на котором импортирован корневой сертификат.
      3. Измените объект групповой политики, который вы хотите использовать для развертывания параметров реестра следующим образом:
        1. Измените путь к > групповая политика параметров > конфигурации >> компьютера в корневом сертификате.
        2. Добавьте корневой сертификат в объект групповой политики, как показано на следующем снимке экрана.
      4. Разверните новый объект групповой политики на компьютерах, где должен быть опубликован корневой сертификат.

      Любой другой метод, средство или решение для управления HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates клиентами, которое распределяет сертификаты корневого ЦС путем их записи в расположение, будет работать.

      Ссылки

      • Средство Certutil
      • Хранилища сертификатов
      • Расположения системного хранилища
      • Настройки групповой политики
      • API шифрования CertControlStore

      Настройка доверенных корней и запрещенных сертификатов в Windows

      Область применения: Windows Server (все поддерживаемые версии), клиенты Windows, Azure Stack HCI.

      Перенаправьте URL-адрес автоматического обновления Майкрософт на файл или веб-сервер, в котором размещены списки доверия сертификатов (CTLs), недоверенные списки ctls или подмножество доверенных файлов CTL в отключенной среде.

      Дополнительные сведения о том, как работает программа корневых сертификатов Майкрософт для автоматического распространения доверенных корневых сертификатов в операционных системах Windows, см. в статье «Сертификаты и доверие».

      Вам не нужно перенаправлять URL-адрес автоматического обновления Майкрософт для сред, где компьютеры могут напрямую подключаться к сайту Обновл. Windows. Компьютеры, которые могут подключаться к сайту Обновл. Windows, могут получать обновленные списки CTL ежедневно.

      Необходимые компоненты

      Прежде чем настроить отключенную среду для использования файлов CTL, размещенных на файле или веб-сервере, необходимо выполнить следующие предварительные требования.

      Предварительные требования к клиенту

      • По крайней мере один компьютер, который может подключиться к Интернету, чтобы скачать списки ctls из Майкрософт. Для доступа к компьютеру (TCP-порт 80) требуется ctldl.windowsupdate.com доступ и разрешение имен (TCP и порт UDP 53). Этот компьютер может быть членом домена или членом рабочей группы. В настоящее время все загруженные файлы требуют дискового пространства приблизительно в 1,5 МБ.
      • Клиентские компьютеры должны быть подключены к домену службы домен Active Directory.
      • Вы должны быть членом локальной группы Администратор istrators.

      Предварительные требования сервера

      • Файловый сервер или веб-сервер для размещения файлов CTL-файлов.
      • Групповая политика AD или решение MDM для развертывания параметров конфигурации в клиенте.
      • Учетная запись, являющаяся членом группы доменных Администратор или делегированная необходимыми разрешениями

      Методы конфигурации

      Администратор может настроить файл или веб-сервер для скачивания следующих файлов с помощью механизма автоматического обновления:

      • authrootstl.cab содержит не microsoft CTL.
      • disallowedcertstl.cab содержит CTL с ненадежными сертификатами.
      • disallowedcert.sst содержит сериализованное хранилище сертификатов, включая ненадежные сертификаты.
      • CRT содержит корневые сертификаты, отличные от Майкрософт.

      Действия для выполнения этой конфигурации описаны в разделе Configure a file or web server to download the CTL files этого документа.

      Существует несколько способов настройки среды для использования локальных файлов CTL или подмножества доверенных списков ctls. Доступны следующие методы.

      • Настроить члены домена доменных служб Active Directory на использование механизма автоматического обновления для доверенных и недоверенных списков доверия сертификатов без необходимости получения доступа к сайту Центра обновления Windows. Эта конфигурация описана в разделе «Перенаправление URL-адреса автоматического обновления Майкрософт» этого документа.
      • Настроить член домена AD DS, чтобы независимо подписаться на автоматические обновления недоверенных и доверенных списков доверия сертификатов. Независимая конфигурация согласия описана в разделе «Перенаправление URL-адреса автоматического обновления Майкрософт» только для недоверенных списков ctls этого документа.
      • Проверить набор корневых сертификатов в программе корневых сертификатов Windows. Проверка набора корневых сертификатов позволяет администраторам выбрать подмножество сертификатов для распространения с помощью объекта групповой политики (GPO). Эта конфигурация описана в разделе «Использование подмножества доверенных списков ctls » этого документа.
      • Описанные в этом документе параметры реализуются с помощью объектов групповой политики. Эти параметры не удаляются автоматически, если объект групповой политики отсоединяется или удаляется из домена AD DS. После реализации эти параметры можно изменить только с помощью объекта групповой политики или путем изменения реестра соответствующих компьютеров.
      • Концепции, описанные в этом документе, не зависят от служб Windows Server Update Services.

      Настройка файлового или веб-сервера для загрузки файлов списка доверия сертификатов

      Чтобы упростить распространение доверенных и недоверенных сертификатов в отключенной среде, сначала необходимо настроить файловый или веб-сервер на загрузку файлов списка доверия сертификатов с помощью механизма автоматического обновления.

      Получение файлов CTL из Обновл. Windows

      1. Создайте общую папку на файловом или веб-сервере, которая может синхронизироваться с помощью механизма автоматического обновления и которую вы хотите использовать для хранения файлов списка доверия сертификатов.

      Совет Прежде чем начать, вам может потребоваться настроить разрешения общей папки и разрешения папки NTFS, чтобы разрешить доступ к соответствующей учетной записи, особенно если вы используете запланированную задачу с учетной записью службы. Дополнительные сведения о настройке разрешений см. в разделе «Управление разрешениями для общих папок».

      Certutil -syncWithWU \\\

      Замените фактическое имя сервера именем и именем общей папки, например для сервера с именем Server1 общей папки CTL, выполните команду:

      Certutil -syncWithWU \\Server1\CTL 
      • Если сервер, который синхронизирует списки доверия сертификатов, недоступен с компьютеров в отключенной среде, необходимо найти другой метод передачи информации. Например, можно разрешить одному из членов домена подключаться к серверу, а затем запланировать другую задачу на компьютере-члене домена, чтобы извлечь сведения в общую папку на внутреннем веб-сервере. Если связь по сети отсутствует полностью, возможно, вам придется использовать ручной процесс для передачи файлов, например съемные носители.
      • Если вы планируете использовать веб-сервер, необходимо создать виртуальный каталог для файлов списка доверия сертификатов. Шаги для создания виртуального каталога с помощью служб IIS практически одинаковы для всех поддерживаемых операционных систем, упомянутых в этом документе. Дополнительные сведения см. в разделе Создание виртуального каталога (IIS7).
      • К некоторым папкам системы и приложений в Windows применяется специальная защита. Например, для папки inetpub требуются специальные разрешения доступа, что затрудняет создание общей папки для использования с запланированной задачей для передачи файлов. Администратор может создать расположение папки в корне системы логического диска, используемой для передачи файлов.

      Перенаправление URL-адреса автоматического обновления Майкрософт

      Компьютеры в вашей сети могут быть настроены в отключенной среде и поэтому не могут использовать механизм автоматического обновления или скачать списки ctls. Вы можете реализовать объект групповой политики в AD DS, чтобы настроить эти компьютеры для получения обновлений CTL из альтернативного расположения.

      Конфигурация в этом разделе требует, чтобы вы уже выполнили действия, описанные в разделе «Настройка файла или веб-сервера для скачивания файлов CTL».

      Настройка пользовательского административного шаблона для объекта групповой политики

      1. Создайте новый административный шаблон на контроллере домена. Откройте текстовый файл в Блокнот, а затем измените расширение .adm имени файла на . Содержимое файла должно выглядеть следующим образом.
      CLASS MACHINE CATEGORY !!SystemCertificates KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" POLICY !!RootDirURL EXPLAIN !!RootDirURL_help PART !!RootDirURL EDITTEXT VALUENAME "RootDirURL" END PART END POLICY END CATEGORY [strings] RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com" RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files." SystemCertificates="Windows AutoUpdate Settings" 
      • Убедитесь, что расширение имени файла не .txt является .adm .
      • Если вы еще не включили просмотр расширений имен файлов, см. статью «Практическое руководство. Просмотр расширений имен файлов».
      • При сохранении файла в %windir%\inf папку проще найти в следующих шагах.

      Предупреждение Вы можете привязать новый объект групповой политики к домену или любому подразделению. Модификации объекта групповой политики, реализованные в этом документе, меняют параметры реестра соответствующих компьютеров. Эти параметры нельзя отменить, удалив или отменив привязку объекта групповой политики. Это можно сделать только путем изменения параметров объекта групповой политики или изменения реестра с помощью других методов.

      Политика действует немедленно, но клиентские компьютеры должны быть перезапущены для получения новых параметров, или можно ввести gpupdate /force из командной строки с повышенными привилегиями или из Windows PowerShell.

      Доверенные и недоверенные списки доверия сертификатов могут обновляться ежедневно, поэтому убедитесь, что обеспечили синхронизацию файлов с помощью запланированной задачи или другого метода (например, сценария, обрабатывающего состояния ошибок) для обновления общей папки или виртуального веб-каталога. Дополнительные сведения о создании запланированной задачи с помощью PowerShell см. в статье New-ScheduledTask. Если вы планируете написать скрипт для ежедневных обновлений, ознакомьтесь со ссылкой на команду certutil Windows.

      Перенаправление URL-адреса автоматического обновления Майкрософт только для недоверенных списков доверия сертификатов

      Для некоторых организаций может потребоваться автоматически обновлять только ненадежные списки ctls (а не доверенные списки ctls). Чтобы автоматически обновить только недоверенные списки ctls, создайте два .adm шаблона для добавления в групповую политику.

      В отключенной среде в сочетании с предыдущей процедурой (перенаправление URL-адреса автоматического обновления Майкрософт для доверенных и недоверенных списков доверия сертификатов) можно использовать следующую процедуру. В этой процедуре показано, как выборочно отключить автоматическое обновление доверенных списков доверия сертификатов.

      Эту процедуру также можно использовать в подключенной среде в изоляции, чтобы выборочно отключить автоматическое обновление доверенных списков ctls.

      Выборочное перенаправление только недоверенных списков доверия сертификатов

      1. На контроллере домена создайте первый административный шаблон, начиная с текстового файла, а затем изменяя расширение .adm имени файла на . Содержимое файла должно выглядеть следующим образом.
      CLASS MACHINE CATEGORY !!SystemCertificates KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot" POLICY !!DisableRootAutoUpdate EXPLAIN !!Certificates_config VALUENAME "DisableRootAutoUpdate" VALUEON NUMERIC 0 VALUEOFF NUMERIC 1 END POLICY END CATEGORY [strings] DisableRootAutoUpdate="Auto Root Update" Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled." SystemCertificates="Windows AutoUpdate Settings" 
      CLASS MACHINE CATEGORY !!SystemCertificates KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot" POLICY !!EnableDisallowedCertAutoUpdate EXPLAIN !!Certificates_config VALUENAME "EnableDisallowedCertAutoUpdate" VALUEON NUMERIC 1 VALUEOFF NUMERIC 0 END POLICY END CATEGORY [strings] EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update" Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled." SystemCertificates="Windows AutoUpdate Settings" 
      • Убедитесь, что расширения имен файлов этих файлов не .txt являются .adm .
      • При сохранении файла в %windir%\inf папку проще найти в следующих шагах.

      Политика действует немедленно, но клиентские компьютеры должны быть перезапущены для получения новых параметров, или можно ввести gpupdate /force из командной строки с повышенными привилегиями или из Windows PowerShell.

      Доверенные и недоверенные списки доверия сертификатов могут обновляться ежедневно, поэтому убедитесь, что обеспечили синхронизацию файлов с помощью запланированной задачи или другого метода для обновления общей папки или виртуального каталога.

      Использование подмножества доверенных списков доверия сертификатов

      В этом разделе описано, как создавать, просматривать и фильтровать доверенные списки доверия сертификатов, которые необходимо использовать на компьютерах в вашей организации. Для использования этого разрешения необходимо реализовать объекты групповой политики, описанные в предыдущих разделах. Это разрешение доступно для отключенных и подключенных сред.

      Существует две процедуры для настройки списка доверенных списков ctls.

      1. создать подмножество доверенных сертификатов;
      2. распространить доверенные сертификаты с помощью групповой политики.

      Создание подмножества доверенных сертификатов

      Ниже показано, как создать SST-файлы с помощью механизма автоматического обновления Windows из Windows. Дополнительные сведения о создании SST-файлов см. в справочнике по командам Certutil Windows.

        На компьютере, подключенном к Интернету, откройте Windows PowerShell в качестве Администратор istrator или откройте командную строку с повышенными привилегиями и введите следующую команду:

      Certutil -generateSSTFromWU WURoots.sst 
      start explorer.exe wuroots.sst 

      Совет Вы также можете использовать Интернет Обозреватель для перехода к файлу и дважды щелкните его, чтобы открыть его. В зависимости от расположения, в котором вы сохранили файл, его, вероятно, можно открыть, введя wuroots.sst .

      • Для экспорта .sst типа файла необходимо выбрать не менее двух сертификатов. Если выбрать только один сертификат, .sst тип файла недоступен, а .cer вместо него выбран тип файла.
      Распространение списка доверенных сертификатов с помощью групповой политики
      1. На контроллере домена с настроенным .sst файлом откройте редактор управления групповыми политиками.
      2. Разверните лес, домены и конкретный объект домена, который требуется изменить. Щелкните правой кнопкой мыши объект групповой политики домена по умолчанию, а затем выберите «Изменить«.
      3. В области навигации в разделе «Конфигурация компьютера» разверните политики, разверните узел Windows Параметры, разверните узел «Безопасность Параметры«, а затем развернитеполитики открытого ключа.
      4. Щелкните правой кнопкой мыши доверенные корневые центры сертификации, а затем выберите «Импорт«.
      5. В мастере импорта сертификатов нажмите кнопку «Далее«.
      6. Введите путь к файлу и имя файла, который вы скопировали на контроллер домена, или воспользуйтесь кнопкой Обзор , чтобы перейти к файлу. Выберите Далее.
      7. Убедитесь, что вы хотите разместить эти сертификаты в хранилище сертификатов доверенных корневых центров сертификации, нажав кнопку «Далее«. Нажмите кнопку «Готово«. Когда вы получите уведомление о успешном импорте сертификатов, нажмите кнопку «ОК«.
      8. Закройте редактор управления групповыми политиками.

      Политика действует немедленно, но клиентские компьютеры должны быть перезапущены для получения новых параметров, или можно ввести gpupdate /force из командной строки с повышенными привилегиями или из Windows PowerShell.

      Измененные параметры реестра

      Параметры, описанные в этом документе, настраивают следующие разделы реестра на клиентских компьютерах. Эти параметры не удаляются автоматически, если объект групповой политики не связан или удален из домена. Эти параметры необходимо перенастроить, если вы хотите изменить их.

      • Включите или отключите автоматическое обновление Windows доверенного CTL:
        • Ключ: HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate
        • Тип: REG_DWORD
        • Имя: DisableRootAutoUpdate
        • Данные: 0 для включения или 1 отключения.
        • Значение по умолчанию: по умолчанию отсутствует ключ. Без ключа включено значение по умолчанию.
        • Ключ: SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot
        • Тип: REG_DWORD
        • Имя: EnableDisallowedCertAutoUpdate
        • Данные: 0 для включения или 1 отключения.
        • Значение по умолчанию: по умолчанию отсутствует ключ. Без ключа включено значение по умолчанию.
        • Ключ: HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl
        • Тип: REG_SZ
        • Имя: RootDirUrl
        • Данные: введите допустимый URI HTTP или файла.
        • Значение по умолчанию: по умолчанию отсутствует ключ. Без ключа поведение по умолчанию используется Обновл. Windows.

        Проверка доверенных и недоверенных списков ctls

        Для проверки всех доверенных и недоверенных списков ctls на клиентском компьютере может потребоваться по различным причинам. Следующие параметры Certutil можно использовать для проверки всех доверенных и недоверенных списков ctls на клиентском компьютере.

        certutil -verifyCTL AuthRoot certutil -verifyCTL Disallowed 

        Проверка времени последней синхронизации

        Чтобы проверка последнее время синхронизации на локальном компьютере для доверенных или недоверенных списков ctls, выполните следующую команду Certutil:

        certutil -verifyctl AuthRoot | findstr /i "lastsynctime" certutil -verifyctl Disallowed | findstr /i "lastsynctime" 

        Дополнительные ссылки

        • Сертификаты и доверие
        • Список участников — доверенные корневые программы Майкрософт
        • Справочник по команде certutil Windows
        • Программа сертификата корневого сертификата Windows — список участников (все центры сертификации)
        • Управление функцией «Обновление корневых сертификатов сертификатов», чтобы предотвратить поток информации в Интернет и из Интернета

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *