Сертификаты и доверие в Windows

Программа корневого сертификата Майкрософт позволяет распространять доверенные и ненадежные корневые сертификаты в операционных системах Windows. В этой статье объясняется, как управляются сертификаты и списки доверия в Windows, а также преимущества автоматических обновлений для обеспечения безопасности. Дополнительные сведения о списке участников в программе корневого сертификата Windows см. в разделе "Список участников " Доверенные корневые программы Майкрософт".

Доверенные и ненадежные корневые сертификаты используются операционными системами и приложениями Windows в качестве ссылки при определении надежности иерархий инфраструктуры открытых ключей (PKI) и цифровых сертификатов. Недоверенные корневые сертификаты — это сертификаты, которые, как известно, являются мошенническими. Функции доверенных и ненадежных корневых сертификатов работают во всех средах, подключенных или отключенных.

Доверенные и ненадежные корневые сертификаты содержатся в списке доверия сертификатов (CTL). Если вы хотите распространить корневые сертификаты, используйте CTL. Windows Server предоставляет функции автоматического ежедневного обновления, включая скачивание последних списков ctls. Список доверенных и ненадежных корневых сертификатов называется доверенным CTL и Untrusted CTL соответственно. Дополнительные сведения см. в статье об объявлении автоматических средств обновления недоверенных сертификатов и ключей.

Серверы и клиенты получают доступ к сайту Обновл. Windows для обновления CTL с помощью механизма автоматического ежедневного обновления (CTL-обновления), описанного в этой статье. Вы можете воспользоваться преимуществами функции средства обновления CTL, установив соответствующие обновления программного обеспечения. Сведения об установке обновлений программного обеспечения в поддерживаемых операционных системах, рассмотренных в этой статье, см. в статье "Настройка доверенных корней и запрещенных сертификатов ".

Автоматическое обновление списка доверия сертификатов

По умолчанию Windows скачивает списки ctls из Интернета с помощью автоматического механизма, называемого CTL Updater. Общедоступные URL-адреса, используемые центром обновления CTL, можно сделать доступными для клиентов:

• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

Функция автоматического обновления также может быть отключена при необходимости, хотя не рекомендуется.

Кроме того, можно создать административные шаблоны групповой политики (политика ADMX) для перенаправления на внутренний сервер для обновлений.

Расположение реестра, в котором хранятся доверенные и ненадежные списки ctls, как показано ниже.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\EncodedCtl
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\DisallowedCertEncodedCtl

Преимущества CTL Updater

Функция автоматического обновления с помощью средства обновления CTL обеспечивает несколько преимуществ:

• Параметры реестра для хранения списков доверия сертификатов. Новые параметры позволяют изменять расположение для отправки доверенных или недоверенных списков доверия сертификатов с сайта Центра обновления Windows в общий ресурс организации. См. раздел "Параметры реестра изменены".

• Параметры синхронизации. Если URL-адрес для сайта Центра обновления Windows перемещен в локальную общую папку, эту папку необходимо синхронизировать с папкой Центра обновления Windows. Это обновление программного обеспечения добавляет набор параметров в инструмент Certutil, используемый для включения синхронизации. Дополнительные сведения см. в справочнике по команде Certutil -syncWithWU Windows.

• Средство выбора доверенных корневых сертификатов В этом обновлении программного обеспечения представлено средство для управления набором доверенных корневых сертификатов в корпоративной среде. Вы можете просматривать и выбирать набор доверенных корневых сертификатов, экспортировать их в сериализованное хранилище сертификатов и распространять их с помощью групповой политики. Дополнительные сведения см. в справочнике по команде Certutil -generateSSTFromWU SSTFile Windows.

• Независимая настройка механизма автоматического обновления для доверенных и ненадежных сертификатов настраивается независимо. Вы можете использовать механизм автоматического обновления для скачивания только недоверенных списков ctls и управления собственным списком доверенных списков ctls. Дополнительные сведения см. в разделе "Параметры реестра", измененные.

Инструкции по установке обновлений программного обеспечения в поддерживаемых операционных системах, рассмотренных в этой статье, см. в статье о настройке доверенных корней и запрещенных сертификатов .

Функция автоматического обновления может быть отключена при необходимости, однако не рекомендуется.

Следующие шаги

Теперь вы узнаете больше о доверенных корневых и запрещенных сертификатах в Windows, см. дополнительные статьи, которые помогут вам настроить системы.

• Настройка доверенных корней и запрещенных сертификатов

• Список участников — доверенные корневые программы Майкрософт

• Управление функцией "Обновление корневых сертификатов сертификатов", чтобы предотвратить поток информации в Интернет и из Интернета

• Идентификатор события 8. Настройка автоматического обновления корневых сертификатов

• Справочник по команде certutil Windows