Aktualisieren von Stammzertifikaten auf einem PC unter Windows

Januar

2023

Aktualisieren von Stammzertifikaten auf einem PC unter Windows

безопасность, windows

13 Januar 2023 16:43

Unter Windows 7 – Windows 10 müssen Sie die Stammzertifizierungsstellen von Zeit zu Zeit aktualisieren.

Hinweis

Stammzertifikate sind die tragenden Säulen für weitere Zwischenzertifikate von Zertifikatsausstellern, für Zertifizierungsstellen und letztlich für Websites. Ohne sie funktioniert die Vertrauenskette nicht und die https-Verschlüsselung funktioniert nicht. Aus Sicherheitsgründen können Stammzertifikate nur von vertrauenswürdigen Quellen bezogen werden (Sie können keine Dateien für Zertifikate von Yandex Drive, Websites von Drittanbietern usw. herunterladen).

1. Stammzertifikate von der Windows Update-Website beziehen

Es gibt ein Dienstprogramm zum Herunterladen von Stammzertifikaten certutil.exe, das mit der Taste gestartet werden muss -generateSSTFromWU und der Name der Ausgabedatei, zum Beispiel:c:\certs\roots.sst

certutil.exe -generateSSTFromWU c:\certs\roots.sst

Dabei ist certs das zu erstellende Verzeichnis.

Eine Beschreibung aller Befehlstasten finden Sie in der Datei spisok.txt:
spisok-win1251.txt
spisok-linux.txt

Beschreibung des Programmschlüssels certutil.exe:

-generateSSTFromWU-- SST in Windows Update erstellen

Hier ist SST die aktuell vertrauenswürdige Stammzertifizierungsstelle im SST-Dateityp.

Quelle:Aktualisieren vertrauenswürdiger Stammzertifikate in Windows 10

Einen Befehl ausführen certutil.exe -generateSSTFromWU c:\certs\roots.sst dauert 3-4 Minuten:
Zertifikat1

2. Stammzertifikate in die p7b-Datei exportieren

Die resultierende SST-Datei kann per Doppelklick geöffnet werden.
Zertifikat2
Hier können Sie Zertifikate nach Gültigkeitszeitraum sortieren, gültige Zertifikate auswählen und mit der rechten Maustaste auf „Exportieren“ klicken.

2.1 Starten des Zertifikatexport-Assistenten:
cert3

2.2 Auswahl des Ausgabedateityps. Ich habe Schluss gemacht mit p7b – einem Transportcontainer, in dem sich alle Zertifikate in einer Datei (dem sogenannten Bundle) befinden.

cert4

2.3 Wählen Sie das Ausgabeverzeichnis und den Dateinamen mit der Erweiterung p7b für den Export aus

Zertifikat5

2.4 Fortsetzung des Assistenten – Schaltfläche „Weiter“.
cert6

2.5 Meldung über erfolgreichen Abschluss des Exports: „Export erfolgreich abgeschlossen.“
cert8

3. Stammzertifikate aus der p7b-Datei in das System importieren

3.1 Klicken Sie im Explorer mit der rechten Maustaste auf die resultierende p7b-Datei – „Importieren“
Zertifikat9

Vergrößerter Bildschirmausschnitt:
install_certs

3.2 Starten des Zertifikatimport-Assistenten
Zertifikat10
Als nächstes

3.3 Mit der automatischen Speicherauswahl sind wir einverstanden – weiter.
Zertifikat11

3.4 Der letzte Schritt des Assistenten zum Importieren von Zertifikaten in das System:
Zertifikat12

3.5 Meldung über den Abschluss des Imports der Zertifikate in das System: „Import erfolgreich abgeschlossen.“
Zertifikat13

Stammzertifikate wurden aktualisiert.

Hinweis: Anstatt die Methode der Zwischendatei mit p7b zu verwenden, können Sie das Zertifikat-Snap-In verwenden und die SST-Datei direkt importieren:
Führen Sie MMC aus -> Snap-In hinzufügen -> Zertifikate -> Computerkonto> Lokaler Computer.
Klicken Sie mit der rechten Maustaste auf „Vertrauenswürdige Stammzertifizierungsstellen“, „Alle Aufgaben“ -> „Importieren“ und suchen Sie die SST-Datei
(Wählen Sie im Dateityp Microsoft Serialized Certificate Store - *.sst) -> Öffnen
-> Legen Sie alle Zertifikate im folgenden Speicher ab -> Vertrauenswürdige Stammzertifizierungsstellen.

4. Laden Sie das Stammzertifikat des Ministeriums für digitale Entwicklung, Kommunikation und Massenmedien der Russischen Föderation herunter und installieren Sie es.

4.1 Laden Sie das Zertifikat von der Website herunter

https://gosuslugi.ru/tls

4.2 Installieren Sie es auf die gleiche Weise – Rechtsklick – Installieren.
Natürlich können Sie auswählen, wohin importiert werden soll – in den Abschnitt „Vertrauenswürdige Stammzentren“.

5. Andere Zertifikatsquellen – Website des Finanzministeriums

Website des Bundesfinanzministeriums:

Stammzertifikate

6. Methode zum Erhalten gültiger und widerrufener Zertifikate in Form von CAB-Dateien

Liste gültiger Stammzertifikate -http://ctldl.windowsupdate.com/ ...authrootstl.cab
Liste der widerrufenen Stammzertifikate -http://ctldl.windowsupdate.com/ ... disallowedcertstl.cab

Entpacken Sie die Datei beispielsweise mit dem 7ZIP-Archiver (7zip.org) in den Ordner C:\PS

Installation:

*aktive Wurzelzentren- Aus Datei importieren authroot.stl

certutil -enterprise -f -v -AddStore "Root"   "C:\PS\authroot.stl"

*widerrufene Wurzelzentren- Aus Datei importieren disallowedcert.stl

certutil -enterprise -f -v -AddStore disallowed "C:\PS\disallowedcert.stl"

Blog über Radio und Linux