Поделиться через

Настройка доверенных корней и запрещенных сертификатов в Windows

Перенаправьте URL-адрес автоматического обновления Майкрософт на файл или веб-сервер, в котором размещены списки доверия сертификатов (CTLs), недоверенные списки ctls или подмножество доверенных файлов CTL в отключенной среде.

Дополнительные сведения о том, как работает программа корневых сертификатов Майкрософт для автоматического распространения доверенных корневых сертификатов в операционных системах Windows, см. в статье "Сертификаты и доверие".

Совет

Вам не нужно перенаправлять URL-адрес автоматического обновления Майкрософт для сред, где компьютеры могут напрямую подключаться к сайту Обновл. Windows. Компьютеры, которые могут подключаться к сайту Обновл. Windows, могут получать обновленные списки CTL ежедневно.

Необходимые компоненты

Прежде чем настроить отключенную среду для использования файлов CTL, размещенных на файле или веб-сервере, необходимо выполнить следующие предварительные требования.

Предварительные требования клиента:

  • По крайней мере один компьютер, который может подключиться к Интернету, чтобы скачать списки ctls из Майкрософт. Для доступа к компьютеру (TCP-порт 80) требуется ctldl.windowsupdate.comдоступ и разрешение имен (TCP и порт UDP 53). Этот компьютер может быть членом домена или членом рабочей группы. В настоящее время все загруженные файлы требуют дискового пространства приблизительно в 1,5 МБ.
  • Клиентские компьютеры должны быть подключены к домену службы домен Active Directory.
  • Вы должны быть членом локальной группы администраторов .

Необходимые условия для сервера:

  • Файловый сервер или веб-сервер для размещения файлов CTL-файлов.
  • Групповая политика AD или решение MDM для развертывания параметров конфигурации в клиенте.
  • Учетная запись, являющаяся членом группы администраторов домена или эквивалентными разрешениями

Методы конфигурации

Администратор может настроить файл или веб-сервер для скачивания следующих файлов с помощью механизма автоматического обновления:

  • authrootstl.cab содержит не microsoft CTL.

  • disallowedcertstl.cab содержит CTL с ненадежными сертификатами.

  • disallowedcert.sst содержит сериализованное хранилище сертификатов, включая ненадежные сертификаты.

  • <thumbprint>CRT содержит корневые сертификаты, отличные от Майкрософт.

Действия для выполнения этой конфигурации описаны в разделе Configure a file or web server to download the CTL files этого документа.

Существует несколько способов настройки среды для использования локальных файлов CTL или подмножества доверенных списков ctls. Доступны следующие методы.

  • Настроить члены домена доменных служб Active Directory на использование механизма автоматического обновления для доверенных и недоверенных списков доверия сертификатов без необходимости получения доступа к сайту Центра обновления Windows. Эта конфигурация описана в разделе "Перенаправление URL-адреса автоматического обновления Майкрософт" этого документа.

  • Настройте компьютеры-члены домена AD DS, чтобы самостоятельно выбрать ненадежные и доверенные автоматические обновления CTL. Независимая конфигурация согласия описана в разделе "Перенаправление URL-адреса автоматического обновления Майкрософт" только для недоверенных списков ctls этого документа.

  • Проверить набор корневых сертификатов в программе корневых сертификатов Windows. Проверка набора корневых сертификатов позволяет администраторам выбрать подмножество сертификатов для распространения с помощью объекта групповой политики (GPO). Эта конфигурация описана в разделе "Использование подмножества доверенных списков ctls " этого документа.

Внимание

  • Описанные в этом документе параметры реализуются с помощью объектов групповой политики. Эти параметры не удаляются автоматически, если объект групповой политики не связан или удален из домена AD DS. После реализации эти параметры можно изменить только с помощью объекта групповой политики или путем изменения реестра соответствующих компьютеров.

  • Концепции, описанные в этом документе, не зависят от служб Windows Server Update Services.

Настройка файлового или веб-сервера для загрузки файлов списка доверия сертификатов

Чтобы упростить распространение доверенных и недоверенных сертификатов в отключенной среде, сначала необходимо настроить файловый или веб-сервер на загрузку файлов списка доверия сертификатов с помощью механизма автоматического обновления.

Получение файлов CTL из Обновл. Windows

Файлы CTL можно получить на сайте Центра обновления Windows с помощью certutil команды, выполнив следующие действия:

  1. Создайте общую папку на файловом или веб-сервере, которая может синхронизироваться с помощью механизма автоматического обновления и которую вы хотите использовать для хранения файлов списка доверия сертификатов.

    Совет

    Прежде чем начать, вам может потребоваться настроить разрешения общей папки и разрешения папки NTFS, чтобы разрешить доступ к соответствующей учетной записи, особенно если вы используете запланированную задачу с учетной записью службы. Дополнительные сведения о настройке разрешений см. в разделе "Управление разрешениями для общих папок".

  2. Выполните следующую команду в сеансе PowerShell с повышенными правами:

    Certutil -syncWithWU \\<server>\<share>

    Замените фактическое имя <server><share> сервера именем и именем общей папки, например для сервера с именем Server1 общей папки CTL, выполните команду:

    Certutil -syncWithWU \\Server1\CTL

  3. Скачайте файлы CTL на сервере, к которому компьютеры в отключенной среде могут получить доступ через сеть с помощью пути FILE (например, FILE://\\Server1\CTL) или HTTP-пути (например, http://Server1/CTL).

Примечание.

  • Если сервер, который синхронизирует списки ctls, недоступен с компьютеров в отключенной среде, необходимо предоставить другой метод для передачи информации. Например, можно разрешить одному из членов домена подключаться к серверу, а затем запланировать другую задачу на компьютере-члене домена, чтобы извлечь сведения в общую папку на внутреннем веб-сервере. Если совершенно нет сетевого подключения, возможно, придется вручную перенести файлы, например, с помощью съемного устройства хранения.

  • Если вы планируете использовать веб-сервер, необходимо создать виртуальный каталог для файлов списка доверия сертификатов. Шаги для создания виртуального каталога с помощью служб IIS практически одинаковы для всех поддерживаемых операционных систем, упомянутых в этом документе. Дополнительные сведения см. в разделе Создание виртуального каталога (IIS7).

  • К некоторым папкам системы и приложений в Windows применяется специальная защита. Например, для папки inetpub требуются специальные разрешения доступа, что затрудняет создание общей папки для использования с запланированной задачей для передачи файлов. Администратор может создать расположение папки в корне системы логического диска, используемой для передачи файлов.

Перенаправление URL-адреса автоматического обновления Майкрософт

Компьютеры в вашей сети могут быть настроены в отключенной среде и поэтому не могут использовать механизм автоматического обновления или скачать списки ctls. Вы можете реализовать объект групповой политики в AD DS, чтобы настроить эти компьютеры для получения обновлений CTL из альтернативного расположения.

Конфигурация в этом разделе требует, чтобы вы уже выполнили действия, описанные в разделе "Настройка файла или веб-сервера для скачивания файлов CTL".

Настройка пользовательского административного шаблона для объекта групповой политики

  1. Создайте новый административный шаблон на контроллере домена. Откройте текстовый файл в Блокноте, а затем измените расширение .admимени файла на . Содержимое файла должно выглядеть следующим образом.

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"
    POLICY !!RootDirURL
       EXPLAIN !!RootDirURL_help
       PART !!RootDirURL EDITTEXT
             VALUENAME "RootDirURL"
       END PART
    END POLICY
END CATEGORY
[strings]
RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"
RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."
SystemCertificates="Windows AutoUpdate Settings"

  2. Используйте описательное имя для сохранения файла, например RootDirURL.adm.

    • Убедитесь, что расширение имени файла не .admявляется.txt.

    • Если необходимо включить просмотр расширения имени файла, см. инструкции. Просмотр расширений имен файлов.

    • При сохранении файла в %windir%\inf папку проще найти в следующих шагах.

  3. Откройте редактор управления групповыми политиками. Нажмите кнопку "Запустить">, введите GPMC.msc, а затем нажмите клавишу ВВОД.

    Предупреждение

    Вы можете привязать новый объект групповой политики к домену или любому подразделению. Модификации объекта групповой политики, реализованные в этом документе, меняют параметры реестра соответствующих компьютеров. Эти параметры нельзя отменить, удалив или отменив привязку объекта групповой политики. Это можно сделать только путем изменения параметров объекта групповой политики или изменения реестра с помощью других методов.

  4. Разверните объект Forest, разверните объект Domain, а затем разверните конкретный домен, содержащий учетные записи компьютера, которые требуется изменить. Если вы хотите изменить конкретное подразделение, перейдите в это расположение.

  5. Щелкните правой кнопкой мыши и выберите команду "Создать объект групповой политики" в этом домене и свяжите ее здесь , чтобы создать новый объект групповой политики.

  6. В области навигации в узле Конфигурация компьютераразверните Политики.

  7. Щелкните правой кнопкой мыши административные шаблоны и выберите пункт "Добавить и удалить шаблоны".

  8. В разделе "Добавление и удаление шаблонов" нажмите кнопку "Добавить".

  9. В диалоговом окне "Шаблоны политик" выберите .adm шаблон, который вы ранее сохранили. Нажмите кнопку "Открыть", а затем нажмите кнопку "Закрыть".

  10. В области навигации разверните Административные шаблоныи Классические административные шаблоны (ADM).

  11. Выберите параметры автоматического обновления Windows и в области сведений дважды выберите URL-адрес, который будет использоваться вместо ctldl.windowsupdate.com по умолчанию.

  12. Щелкните Включено. В разделе Параметры введите URL-адрес файлового или веб-сервера, содержащего файлы списка доверия сертификатов. Например, http://server1/CTL или file://\\server1\CTL.

  13. Нажмите ОК.

  14. Закройте редактор управления групповыми политиками.

Политика действует немедленно, но клиентские компьютеры должны быть перезапущены для получения новых параметров, или можно ввести gpupdate /force из командной строки с повышенными привилегиями или из Windows PowerShell.

Внимание

Доверенные и недоверенные списки CTLs можно обновлять ежедневно. Чтобы сохранить файлы синхронизированными, используйте запланированную задачу или скрипт. Убедитесь, что скрипт может обрабатывать ошибки при обновлении общей папки или веб-каталога. Дополнительные сведения о создании запланированной задачи с помощью PowerShell см. в статье New-ScheduledTask. Если вы планируете написать скрипт для ежедневных обновлений, ознакомьтесь со ссылкой на команду certutil Windows.

Перенаправление URL-адреса автоматического обновления Майкрософт только для недоверенных списков доверия сертификатов

Для некоторых организаций может потребоваться автоматически обновлять только ненадежные списки ctls (а не доверенные списки ctls). Чтобы автоматически обновить только недоверенные списки ctls, создайте два .adm шаблона для добавления в групповую политику.

В отключенной среде в сочетании с предыдущей процедурой (перенаправление URL-адреса автоматического обновления Майкрософт для доверенных и недоверенных списков доверия сертификатов) можно использовать следующую процедуру. В этой процедуре показано, как выборочно отключить автоматическое обновление доверенных списков доверия сертификатов.

Эту процедуру также можно использовать в подключенной среде в изоляции, чтобы выборочно отключить автоматическое обновление доверенных списков ctls.

Выборочное перенаправление только недоверенных списков доверия сертификатов

  1. На контроллере домена создайте первый административный шаблон, начиная с текстового файла, а затем изменяя расширение .admимени файла на . Содержимое файла должно выглядеть следующим образом.

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
    POLICY !!DisableRootAutoUpdate
       EXPLAIN !!Certificates_config
       VALUENAME "DisableRootAutoUpdate"
       VALUEON NUMERIC 0
          VALUEOFF NUMERIC 1

    END POLICY
END CATEGORY
[strings]
DisableRootAutoUpdate="Auto Root Update"
Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"

  2. Используйте описательное имя для сохранения файла, например DisableAllowedCTLUpdate.adm.

  3. Создайте еще один новый административный шаблон. Содержимое файла должно выглядеть следующим образом.

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
    POLICY !!EnableDisallowedCertAutoUpdate
       EXPLAIN !!Certificates_config
       VALUENAME "EnableDisallowedCertAutoUpdate"
       VALUEON NUMERIC 1
          VALUEOFF NUMERIC 0

    END POLICY
END CATEGORY
[strings]
EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"
Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"

  4. Сохраните файл с описательным именем, например EnableUntrustedCTLUpdate.adm.

    • Убедитесь, что расширения имен файлов этих файлов не .admявляются.txt.

    • При сохранении файла в %windir%\inf папку проще найти в следующих шагах.

  5. Откройте редактор управления групповыми политиками.

  6. Разверните объект Forest, разверните объект Domain, а затем разверните конкретный домен, содержащий учетные записи компьютера, которые требуется изменить. Если вы хотите изменить конкретное подразделение, перейдите в это расположение.

  7. В области навигации в узле Конфигурация компьютераразверните Политики.

  8. Щелкните правой кнопкой мыши административные шаблоны и выберите пункт "Добавить и удалить шаблоны".

  9. В разделе "Добавление и удаление шаблонов" нажмите кнопку "Добавить".

  10. В диалоговом окне "Шаблоны политик" выберите .adm шаблон, который вы ранее сохранили. Нажмите кнопку "Открыть", а затем нажмите кнопку "Закрыть".

  11. В области навигации разверните административные шаблоны, а затем разверните классические административные шаблоны (ADM).

  12. Выберите параметры автоматического обновления Windows, а затем в области сведений дважды щелкните "Авто корневое обновление".

  13. Выберите Отключено и нажмите кнопку ОК.

  14. В области сведений дважды щелкните ненадежный автоматический обновление CTL, а затем нажмите кнопку "Включить" и "ОК".

Политика действует немедленно, но клиентские компьютеры должны быть перезапущены для получения новых параметров, или можно ввести gpupdate /force из командной строки с повышенными привилегиями или из Windows PowerShell.

Внимание

Доверенные и ненадежные списки CTLs могут обновляться ежедневно. Чтобы сохранить файлы синхронизированными в общей папке или виртуальном каталоге, можно использовать запланированную задачу.

Использование подмножества доверенных списков доверия сертификатов

В этом разделе описано, как создавать, просматривать и фильтровать доверенные списки доверия сертификатов, которые необходимо использовать на компьютерах в вашей организации. Для использования этого разрешения необходимо реализовать объекты групповой политики, описанные в предыдущих разделах. Это разрешение доступно для отключенных и подключенных сред.

Существует две процедуры для настройки списка доверенных списков ctls.

  1. создать подмножество доверенных сертификатов;

  2. распространить доверенные сертификаты с помощью групповой политики.

создать подмножество доверенных сертификатов;

Ниже показано, как создать SST-файлы с помощью механизма автоматического обновления Windows из Windows. Дополнительные сведения о создании SST-файлов см. в справочнике по командам Certutil Windows. Чтобы создать подмножество доверенных сертификатов, выполните следующие действия.

  1. На компьютере, подключенном к Интернету, откройте Windows PowerShell от имени администратора или откройте командную строку с повышенными привилегиями и введите следующую команду:

    Certutil -generateSSTFromWU WURoots.sst

  2. Выполните следующую команду в проводнике Windows, чтобы открыть WURoots.sst:

    start explorer.exe wuroots.sst

    Совет

    Вы также можете использовать Internet Explorer для перехода к файлу и дважды щелкните его, чтобы открыть его. В зависимости от того, где хранится файл, вы также можете открыть его, введя wuroots.sst.

  3. Откройте диспетчер сертификатов.

  4. Разверните путь к файлу в разделе "Сертификаты — текущий пользователь ", пока не увидите сертификаты, а затем выберите сертификаты.

  5. В области сведений вы увидите доверенные сертификаты. Удерживайте клавишу CTRL и выберите все сертификаты, которые требуется разрешить. После завершения выбора сертификатов, которые требуется разрешить, щелкните правой кнопкой мыши один из выбранных сертификатов, выберите "Все задачи", а затем выберите "Экспорт".

    • Для экспорта .sst типа файла необходимо выбрать не менее двух сертификатов. Если выбрать только один сертификат, .sst тип файла недоступен, а .cer вместо него выбран тип файла.

  6. В мастере экспорта сертификатов нажмите Далее.

  7. На странице "Формат файла экспорта" выберите Microsoft Serialized Certificate Store (). SST), а затем нажмите кнопку "Далее".

  8. На странице экспорта файла введите путь к файлу и соответствующее имя файла, например C:\AllowedCerts.sstнажмите кнопку "Далее".

  9. Выберите Готово. Когда вы получите уведомление об успешном выполнении экспорта, нажмите кнопку "ОК".

  10. .sst Скопируйте файл, созданный на контроллер домена.

Распространение списка доверенных сертификатов с помощью групповой политики

  1. На контроллере домена с настроенным .sst файлом откройте редактор управления групповыми политиками.

  2. Разверните лес, домены и конкретный объект домена, который требуется изменить. Щелкните правой кнопкой мыши объект групповой политики домена по умолчанию, а затем выберите "Изменить".

  3. В области навигации в разделе "Конфигурация компьютера" разверните политики, разверните раздел "Параметры Windows", разверните узел "Параметры безопасности", а затем разверните политики открытого ключа.

  4. Щелкните правой кнопкой мыши доверенные корневые центры сертификации, а затем выберите "Импорт".

  5. В мастере импорта сертификатов нажмите кнопку "Далее".

  6. Введите путь к файлу и имя файла, который вы скопировали на контроллер домена, или воспользуйтесь кнопкой Обзор , чтобы перейти к файлу. Выберите Далее.

  7. Убедитесь, что вы хотите разместить эти сертификаты в хранилище сертификатов доверенных корневых центров сертификации, нажав кнопку "Далее". Нажмите кнопку "Готово". Когда вы получите уведомление о успешном импорте сертификатов, нажмите кнопку "ОК".

  8. Закройте редактор управления групповыми политиками.

Политика действует немедленно, но клиентские компьютеры должны быть перезапущены для получения новых параметров, или можно ввести gpupdate /force из командной строки с повышенными привилегиями или из Windows PowerShell.

Измененные параметры реестра

Параметры, описанные в этом документе, настраивают следующие разделы реестра на клиентских компьютерах. Эти параметры не удаляются автоматически, если объект групповой политики не связан или удален из домена. Эти параметры необходимо перенастроить, если вы хотите изменить их.

  • Включите или отключите автоматическое обновление Windows доверенного CTL:

    • Ключ: HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate
    • Тип: REG_DWORD
    • Имя: DisableRootAutoUpdate
    • Данные: 0 для включения или 1 отключения.
    • По умолчанию: по умолчанию ключ отсутствует. Без ключа включено значение по умолчанию.

  • Включите или отключите автоматическое обновление Windows для недоверенного CTL:

    • Ключ: SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot
    • Тип: REG_DWORD
    • Имя: EnableDisallowedCertAutoUpdate
    • Данные: 1 для включения или 0 отключения.
    • По умолчанию: по умолчанию ключ отсутствует. Без ключа включено значение по умолчанию.

  • Задайте общее расположение файла CTL (HTTP или путь к ФАЙЛу):

    • Ключ: HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl
    • Тип: REG_SZ
    • Имя: RootDirUrl
    • Данные: введите допустимый URI HTTP или файла.
    • По умолчанию: по умолчанию ключ отсутствует. Без ключа поведение по умолчанию используется Обновл. Windows.

Проверка доверенных и недоверенных списков ctls

Для проверки всех доверенных и недоверенных списков ctls на клиентском компьютере может потребоваться по различным причинам. Следующие параметры Certutil можно использовать для проверки всех доверенных и недоверенных списков ctls на клиентском компьютере.

certutil -verifyCTL AuthRoot
certutil -verifyCTL Disallowed

Проверка времени последней синхронизации

Чтобы проверить последнее время синхронизации на локальном компьютере для доверенных или недоверенных списков ctls, выполните следующую команду Certutil:

certutil -verifyctl AuthRoot | findstr /i "lastsynctime"
certutil -verifyctl Disallowed | findstr /i "lastsynctime"

Связанный контент