13
январь
2023
Обновление корневых сертификатов на ПК в ОС Windows
16:43

Обновление корневых сертификатов на ПК в ОС Windows

13 январь 2023 16:43

На ОС Windows 7 - Windows 10 требуется время от времени обновлять корневые центры сертификации.

Замечание

Корневые сертификаты - опорные столбы для других, промежуточных сертификатов центров выпуска сертификатов, для удостоверяющих центров и в конечном итоге для сайтов. Без них цепочка доверия не работает и шифрование https не работает. В связи с тем, что необходимо обеспечивать безопасность, получать корневые сертификаты можно лишь из проверенных источников (нельзя загружать никакие файлы для сертификатов с Яндекс Диска, сторонних сайтов и т.п.).

1. Получение корневых сертификатов с сайта Windows Update

Для загрузки корневых сертификатов есть утилита certutil.exe, которую нужно запустить с ключом -generateSSTFromWU и именем выходного файла, например: c:\certs\roots.sst

certutil.exe -generateSSTFromWU c:\certs\roots.sst

Где certs - каталог, который необходимо создать.

Описание всех ключей команды можно прочесть в файле spisok.txt:

Описание ключа программы certutil.exe:

-generateSSTFromWU -- Создание SST в Центре обновления Windows

Здесь SST - актуальные доверенные корневые центры сертификации в файле типа SST.

Источник: updating trusted root certificates in windows 10

Выполнение команды certutil.exe -generateSSTFromWU c:\certs\roots.sst занимает минуты 3-4:
cert1

2. Экспорт корневых сертификатов в файл p7b

Полученный SST-файл открывается двойным щелчком мыши.
cert2
В котором можно отсортировать сертификаты по сроку действия, выделать действующие сертификаты и нажать правую кнопку мыши - Экспорт.

2.1 Начало мастера экспорта сертификатов:
cert3

2.2 Выбор типа выходного файла. Я поставил точку против p7b - транспортный контейнер, в котором все сертификаты в одном файле (так называемый bundle).

cert4

2.3 Выбираем выходной каталог и имя файла с расширением p7b для экспорта

cert5

2.4 Продолжение работы мастера - кнопка "Далее"
cert6

2.5 Сообщение об успешном завершении экспорта: "Экспорт успешно завершен".
cert8

3. Импорт корневых сертификатов из файла p7b в систему

3.1 В Проводнике щелкнуть по получившемуся файлу p7b правой кнопкой мыши - "Импортировать"
cert9

Увеличил фрагмент экрана:
install_certs

3.2 Начало мастера импорта сертификатов
cert10
Далее

3.3 Соглашаемся с автоматическим выбором хранилища - далее.
cert11

3.4 Последний шаг мастера импорта сертификатов в систему:
cert12

3.5 Сообщение о завершении импорта сертифатов в систему: "Импорт успешно завершен".
cert13

Корневые сертификаты обновлены.

Замечание: вместо способа с промежуточным p7b файлом, можно использовать оснастку сертификатов и напрямую импортировать файл SST:
Запустите MMC -> добавить оснастку -> сертификаты -> учетная запись компьютера> локальный компьютер.
Щелкните правой кнопкой мыши Доверенные корневые центры сертификации, Все задачи -> Импорт, найдите файл SST
(в типе файла выберите Microsoft Serialized Certificate Store — *.sst) -> Открыть
-> Поместить все сертификаты в следующее хранилище -> Доверенные корневые центры сертификации.

4. Загрузка и установка корневого сертификата Минцифры

4.1 Скачать сертификат с сайта

https://gosuslugi.ru/tls

4.2 Установить его таким же способом - правой кнопкой мыши - установить.
Для верности можно выбрать, куда импортировать - в раздел "Доверенные корневые центры".

5. Другие источники сертификатов - сайт Казначейства

Сайт Федерального Казначейства:

корневые сертификаты

6. Способ получения действующих и отозванных сертификатов в виде CAB-файлов

Распаковать файл при помощи архиватора 7ZIP (7zip.org), например, в папку C:\PS

Установка:

  • действующие корневые центры - импорт из файла authroot.stl

    certutil -enterprise -f -v -AddStore "Root" "C:\PS\authroot.stl"

  • отозванные корневые центры - импорт из файла disallowedcert.stl

    certutil -enterprise -f -v -AddStore disallowed "C:\PS\disallowedcert.stl"



Похожие публикации