Обновление корневых сертификатов на Windows 2003 Server

Все об администрировании Windows NT/2000/2003/2008/2012 Server (в т.ч. R2) серверов. Групповые политики, домены, безопасность и пр. То, чего не найдешь в бескрайних просторах Интернета. Решения тех проблем, которые не решаются типовыми ответами, которые можно получить в техподдержке Майкрософта - а именно: переустановить продукт или купить какой-ть другой лицензионный диск.


Модератор: UncleFather

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1503
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Обновление корневых сертификатов на Windows 2003 Server

Сообщение UncleFather »

Обновление корневых сертификатов на Windows 2003 Server

Как известно, Microsoft прекратила поддержку Windows 2003 Server 14 июля 2015 г. Соответственно, перестали обновляться и корневые сертификаты на этих серверах. Можно было бы, конечно обновить серверную ОС, но ее стоимость достаточно высока и не каждый, кто потратился на покупку нескольких серверных операционных систем Windows 2003 Server, захочет снова тратить кругленькую сумму.

Но, тем не менее, корневые сертификаты обновлять нужно и на Windows 2003 и в домене Active Directory, иначе начнут возникать проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия), с установкой и запуском подписанных приложений или скриптов, с появлением ошибок в журнале «Приложения», а так же с приемом обновлений на сервере WSUS.

Немного теории:

В Windows XP и Windows 2003 Server для обновления корневых сертификатов использовалась утилита rootsupd.exe, содержащая в себе постоянно обновляемые списки корневых и отозванных сертификатов и распространяемая в виде отдельного обновления KB931125 (Update for Root Certificates).
Зеркало для скачивания последней доступной версии rootsupd.exe:

rootsupd.rar
(380.26 КБ) 2787 скачиваний

Однако, сертификаты, содержащиеся в ней, были актуальны на 4-е апреля 2013-го года. Поскольку поддержка старых операционных систем прекращена, то и rootsupd.exe с 2013-го года больше не обновляется. Дату сертификатов, содержащихся в файлах sst можно проверить, распаковав утилиту командой:

Код: Выделить всё

rootsupd.exe /c /t: C:\PS\rootsupd

В современных операционных системах Windows, начиная с Windows 7, присутствует система автоматического обновления корневых сертификатов с сайта Microsoft. MSFT в рамках программы Microsoft Trusted Root Certificate Program, ведет и публикует в своем онлайн хранилище список сертификатов для клиентов и устройств Windows. В том, случае если проверяемый сертификат в своей цепочке сертификации относится к корневому CA, который участвует в этой программе, система автоматически скачает с узла Windows Update и добавит такой корневой сертификат в доверенные.

А значит, мы можем получить актуальный список корневых сертификатов с узла Windows Update с помощью средства из состава Windows 7 и выше - Сertutil. Для этого, на компьютере, на котором имеется доступ в Internet, нужно выполнить от имени Администратора команду:

Код: Выделить всё

certutil.exe -generateSSTFromWU roots.sst

Эта команда создает SST в Центре обновления Windows и выгружает их в текущий каталог файл roots.sst. Этот файл является контейнером, содержащим актуальные корневые сертификаты.

Теперь остается только загрузить эти сертификаты на Windows 2003 Server командой:

Код: Выделить всё

updroots.exe roots.sst

Примечание 1: Утилита updroots.exe входит в комплект архива rootsupd.exe (см. выше).

Примечание 2: Если нам нужно удалить сертификаты из списка доверенных корневых центров сертификации, то можно воспользоваться командой

Код: Выделить всё

updroots.exe -d delroots.sst

Здесь delroots.sst - файл-контейнер SST, содержащий сертификаты, которые нужно удалить.

Примечание 3: Актуальный список корневых сертификатов в формате STL можно так же получить в архиве cab с сайта Microsoft (обновляется дважды в месяц). Архив распаковывается любым архиватором, и получаем файл authroot.stl - контейнер со списком доверенных сертификатов в формате Certification Trust List.

Сертификаты из него импортируются либо при помощи контекстного меню, либо командой

Код: Выделить всё

certutil -addstore -f root authroot.stl

После выполнения команды, в консоли управления сертификатами (certmgr.msc) в контейнере Доверенные корневые центры сертификации появится новый раздел с именем Список доверенных CA.

Аналогичным образом скачивается и устанавливается список с отозванными сертификатами, которые были исключены из программы Root Certificate Program.
Для установки этих сертификатов в хранилище Недоверенные сертификаты, пользуемся командой:

Код: Выделить всё

certutil -addstore -f  disallowed disallowedcert.stl

По материалам статьи Обновление корневых сертификатов в Windows


Установка корневых сертификатов в домен Active Directory на Windows 2003 Server

Для распространения корневых сертификатов, полученных одним из описанных выше способов в каком-либо объекте домена, нужно просто зайти в групповые политики этого объекта «Конфигурация компьютера» -> «Политики» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Политики открытого ключа» -> «Доверенные корневые центры сертификации» -> и импортировать сюда файл - контейнер со списком доверенных корневых центров сертификации.

Примечание 1: Чтобы корневые сертификаты на конечных компьютерах не дублировались с уже импортированными, не нужно вручную импортировать контейнеры со списком сертификатов на те компьютеры, которые попадают под действие этой политики.


Вывод: На неподдерживаемых (необновляемых) операционных системах необходимо поддерживать актуальный список корневых сертификатов центров сертификации, поэтому вышеописанные шаги стоит выполнять хотя бы один раз в 2 - 3 месяца.

Дополнительно читаем статью базы знаний Microsoft: Как получить обновление корневых сертификатов для Windows


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение