Todas las versiones de Windows tienen una función incorporada para actualizar automáticamente los certificados raíz de los sitios web de Microsoft. Como parte de la Programa de certificado raíz de confianza de Microsoft, MSFT mantiene y publica una lista de certificados para clientes y dispositivos Windows en su repositorio en línea. Si el certificado verificado en su cadena de certificación se refiere a la CA raíz que participa en este programa, el sistema descargará automáticamente este certificado raíz de los servidores de Windows Update y lo agregará a los de confianza.

Windows solicita una renovación de listas de certificados raíz de confianza (CTL) una vez a la semana. Si Windows no tiene acceso directo al directorio de Windows Update, el sistema no podrá actualizar los certificados raíz, por lo que un usuario puede tener algunos problemas al navegar por sitios web (qué certificados SSL están firmados por una CA que no es de confianza; consulte el artículo sobre el "Error SSL de Chrome: este sitio no puede proporcionar una conexión segura"), o sobre la instalación / ejecución de aplicaciones y scripts firmados.

En este artículo, intentaremos averiguar cómo actualizar manualmente la lista de certificados raíz en TrustedRootCA en redes aisladas o computadoras / servidores sin una conexión directa a Internet.

Nota. Si sus computadoras acceden a Internet a través de un servidor proxy, para actualizar automáticamente los certificados raíz en las computadoras de los usuarios, Microsoft le recomienda abrir el acceso directo (omitir) a los sitios web de Microsoft. Sin embargo, no siempre es posible o aplicable debido a restricciones corporativas.

Gestión de certificados raíz de confianza en Windows 10

¿Cómo ver la lista de certificados raíz de una computadora con Windows?

  1. Para abrir el almacén de certificados raíz de una computadora con Windows 10 / 8.1 / 7 / Windows Server, inicie mmc.exe consola;
  2. Seleccione Archivo -> Agregar o quitar complemento, Seleccione Certificados (certmgr) en la lista de complementos -> Agregar;
  3. Seleccione que desea administrar certificados de locales Cuenta de computadora;
  4. Siguiente -> Aceptar -> Aceptar;
  5. Ampliar la Certificados nodo -> De confianza Raíz Certificación Autoridades Tienda. Esta sección contiene la lista de certificados raíz de confianza en su computadora.

También puede obtener una lista de certificados raíz de confianza con fechas de vencimiento mediante PowerShell:

Get-Childitem cert:LocalMachineroot |format-list

Puede enumerar los certificados caducados o los que caducan en los próximos 30 días:

Get-ChildItem cert:LocalMachineroot  |  Where {$_.NotAfter -lt  (Get-Date).AddDays(40)}

En la consola de mmc, puede ver información sobre cualquier certificado o eliminarlo de los de confianza.

Puede transferir manualmente el archivo de certificado raíz entre computadoras con Windows usando la función Exportar / Importar.

  1. Puede exportar cualquier certificado a un archivo .CER haciendo clic en él y seleccionando Todas las tareas -> Exportar;Windows 10: exportar certificado raíz a un archivo cer
  2. Puede importar este certificado en otra computadora usando la opción Todas las tareas -> Importar.importar certificado raíz desde un archivo CER en Windows 10

Utilidad Rootsupd.exe

En Windows XP, el rootsupd.exe La utilidad se utilizó para actualizar los certificados raíz de la computadora. La lista de certificados raíz y revocados se actualizaba periódicamente. La utilidad se distribuyó como una actualización independiente KB931125 (Actualización para certificados raíz). Veamos si podemos usarlo ahora.

  1. Descargar el rootsupd.exe utilidad usando el siguiente enlace http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe. En este momento (2 de agosto de 2019) el enlace no funciona, tal vez Microsoft decidió eliminarlo del público. Hoy puede descargar el archivo rootsupd.exe del sitio web kaspersky.com - http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip;
  2. Para instalar los certificados raíz de Windows, simplemente ejecute el rootsupd.exe expediente. Pero intentaremos examinar su contenido con más detenimiento. Extraiga los certificados del archivo ejecutable con el comando: rootsupd.exe /c /t: C:PSrootsupdrootsupd.exe
  3. Los certificados se almacenan en archivos SST, como authroots.sst, delroot.sst, etc. Para eliminar / instalar un certificado, puede utilizar los siguientes comandos:
    updroots.exe authroots.sst
    updroots.exe -d delroots.sst

Sin embargo, como puede ver, estos archivos de certificado se crearon el 4 de abril de 2013 (casi un año antes del final del soporte oficial de Windows XP). Por lo tanto, desde entonces, la utilidad no se ha actualizado y no se puede utilizar para instalar certificados actualizados. Un poco más tarde necesitaremos el archivo updroots.exe.

Certutil: Obtener los últimos certificados raíz de Windows Update

La última versión del Certutil.exe herramienta para administrar certificados (disponible en Windows 10), le permite descargar desde Windows Update y guardar la lista de certificados raíz real en el archivo SST.

Para generar un archivo SST, ejecute este comando con privilegios de administrador en una computadora que ejecute Windows 10 y tenga acceso directo a Internet:

certutil.exe -generateSSTFromWU roots.sst

certutil.exe -generateSSTFromWU roots.sst

Como resultado, un archivo SST que contiene una lista actualizada de certificados raíz aparecerá en el directorio de destino. Haz doble clic para abrirlo. Este archivo es un contenedor que contiene certificados raíz de confianza.

root.sst lista de certificados raíz MSFT de confianza

Como puede ver, se abre un complemento familiar de Administración de certificados, desde el cual puede exportar cualquiera de los certificados que tenga. En mi caso, ha habido 358 elementos en la lista de certificados. Evidentemente, no es racional exportar los certificados e instalarlos uno por uno.

Para instalar todos los certificados del archivo SST y agregarlos a la lista de certificados raíz de confianza en una computadora, puede usar los comandos de PowerShell:

$sstStore = ( Get-ChildItem -Path C:psrootsupdroots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:LocalMachineRoot

Para instalar todos los certificados enumerados en el archivo, use el updroots.exe (se encuentra en el archivo rootsupd.exe, que se extrajo en la sección anterior).

updroots.exe roots.sst

certificados raíz de confianza certmgr

Ejecutar el certmgr.msc complemento y asegúrese de que todos los certificados se hayan agregado al Autoridad de certificación raíz de confianza.

La lista de certificados raíz en formato STL

Hay otra forma de obtener la lista de certificados raíz del sitio web de Microsoft. Para hacerlo, descarga el archivo. http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (actualizado dos veces al mes). Usando cualquier archivador (o incluso el Explorador de Windows) desempaquetar authrootstl.cab. Contiene un archivo authroot.stl.

authroot.stl.

El archivo Authroot.stl es un contenedor con una lista de certificados de confianza en formato de Lista de certificados de confianza.

Lista de confianza de certificación

Puede instalar este archivo en el sistema usando el menú contextual del archivo STL (Instalar CTL).

Instalar CTL

O usando la herramienta certutil.exe:

certutil -addstore -f root authroot.stl

certutil addtore root authroot.stl

root "Trusted Root Certification Authorities"
CTL 0 added to store.
CertUtil: -addstore command completed successfully.

También puede importar certificados utilizando la consola de administración de certificados (Trust Root Certification Authorities -> Certificados -> Todas las tareas -> Importar). Especifique la ruta a su archivo STL con certificados.importar certificados raíz de confianza usando certmgr snapin

Después de ejecutar el comando, aparece una nueva sección Lista de certificados de confianza en Autoridades de certificación raíz de confianza contenedor de la consola de Certificate Manager (certmgr.msc).

certmgr Editor de listas de confianza de certificados de Microsoft

De la misma manera, puede descargar e instalar la lista de certificados revocados (no permitidos) que se han eliminado del Programa de certificados raíz. Para hacerlo, descarga disallowedcertstl.cab (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), descomprímalo y agréguelo a la sección Certificados no confiables usando este comando:

certutil -addstore -f  disallowed disallowedcert.stl

Actualización de certificados raíz en Windows con GPO en un entorno aislado

Si tiene la tarea de actualizar regularmente los certificados raíz en un dominio de Active Directory aislado de Internet, existe un esquema un poco más complicado para actualizar los almacenes de certificados locales en equipos unidos a un dominio mediante políticas de grupo. Puede configurar las actualizaciones del certificado raíz en los equipos de los usuarios en las redes aisladas de Windows de varias formas.

El primero camino asume que regularmente descarga y copia manualmente a su red aislada un archivo con certificados raíz obtenidos de la siguiente manera:

certutil.exe –generateSSTFromWU roots.sst

Luego, los certificados de este archivo se pueden distribuir a través de SCCM o script de inicio de sesión de PowerShell en GPO:

$sstStore = (Get-ChildItem -Path \fr-dc01SYSVOLwoshub.comrootcertroots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:LocalMachineRoot

La segunda forma es obtener los certificados raíz reales usando el comando:

Certutil -syncWithWU -f \fr-dc01SYSVOLwoshub.comrootcert

Aparecerán varios archivos de certificado raíz (formato de archivo CRT) en la carpeta compartida de red especificada, incluidos los archivos (authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt).

Certutil syncWithWU: obtener los últimos certificados raíz de la actualización de Windows

Luego, usando Preferencia de directiva de grupo, debe cambiar el valor de la RootDirURL parámetro en la clave de registro HKLM Software Microsoft SystemCertificates AuthRoot AutoUpdate. Este parámetro debe apuntar a la carpeta de red compartida desde la cual sus computadoras con Windows deben recibir nuevos certificados raíz. Ejecute la consola GPMC del dominio, cree un nuevo GPO, cambie al modo de edición de políticas y expanda la sección Configuración de la computadora -> Preferencias -> Configuración de Windows -> Registro. Cree una nueva propiedad de registro con la siguiente configuración:

  • Acción: Actualizar
  • Colmena: HKLM
  • Ruta clave: Software Microsoft SystemCertificates AuthRoot AutoUpdate
  • Nombre de valor: RootDirURL
  • Tipo: REG_SZ
  • Datos de valor: archivo: // \ fr-dc01 SYSVOL woshub.com rootcert

GPP: establezca el valor de registro RootDirURL para actualizar los certificados raíz de confianza en el entorno aislado

Queda por vincular esta política en la unidad organizativa de una computadora y, después de actualizar las políticas, buscar nuevos certificados raíz en el almacén de certificados.

La política Desactivar la actualización automática de certificados raíz en Configuración de la computadora -> Plantillas administrativas -> Sistema -> Administración de comunicación de Internet -> La configuración de comunicación de Internet debe estar deshabilitada o no configurada.

En este artículo, analizamos varias formas de renovar certificados raíz de confianza en una red de Windows que está aislada de Internet.

Recomendado para ti